BotenaGo Botnet

BotenaGo Botnet Descrizione

Una nuova botnet denominata BotenaGo è stata identificata in natura. La minaccia ha la capacità di infettare milioni di dispositivi e router IoT (Internet of Things) vulnerabili. Infatti, dopo aver analizzato un campione della minaccia, i ricercatori di AT&T hanno scoperto che potrebbe sfruttare oltre 33 vulnerabilità rilevate in router, modem e dispositivi NAS. Alcune delle macchine mirate includono router D-link (tramite CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), router basati su Realtek SDK (CVE-2019-19824), modem ZTE (CVE-2014 -2321), dispositivi Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) e altro.

Come suggerisce il nome, la botnet BotenaGo viene creata utilizzando il linguaggio di programmazione Go. Go sta guadagnando popolarità tra i criminali informatici negli ultimi anni in quanto offre funzionalità multipiattaforma rendendo le minacce più difficili da rilevare e da decodificare.

Funzionalità minacciosa

Quando viene distribuito sul dispositivo mirato, il malware BotenaGo stabilirà routine di ascolto su due porte specifiche: 31412 e 194121. La minaccia è in attesa che gli venga fornito un indirizzo IP dagli aggressori. Dopo aver ricevuto un IP adatto, BotenaGo procederà a eseguire le vulnerabilità del suo exploit nel tentativo di ottenere l'accesso. Successivamente, eseguirà diversi comandi shell per aggiungere il dispositivo alla sua botnet. La minaccia recupera un payload adatto al dispositivo mirato attraverso diversi collegamenti.

Non ancora operativo

I ricercatori non sono stati in grado di ottenere alcun payload dal server di hosting e non hanno rilevato alcuna comunicazione tra BotneaGo e il suo server Command-and-Control (C2, C&C). Non ci sono dati sufficienti per una spiegazione concreta, ma gli esperti di infosec hanno tre possibili scenari:

  1. La botnet BotenaGo trovata è solo uno dei numerosi moduli che fanno parte di un attacco malware a più fasi.
  2. La minaccia potrebbe essere un nuovo strumento utilizzato dagli operatori Mirai. Questa congettura è supportata da diversi collegamenti utilizzati per fornire i payload.
  3. La mancanza di comunicazione C2 potrebbe semplicemente essere un segno che BotenaGo non è ancora pronto per il dispiegamento e il campione catturato dai ricercatori è stato rilasciato in natura accidentalmente.

Gli utenti e le aziende dovrebbero prendere nota degli IoC (Indicators of Compromise) della minaccia e implementare contromisure sufficienti.