BotenaGo Botnet

W środowisku naturalnym zidentyfikowano nowy botnet o nazwie BotenaGo. Zagrożenie może zainfekować miliony podatnych na ataki urządzeń i routerów IoT (Internet of Things). Rzeczywiście, po przeanalizowaniu próbki zagrożenia naukowcy z AT&T odkryli, że może ono wykorzystywać ponad 33 luki w routerach, modemach i urządzeniach NAS. Niektóre z docelowych maszyn obejmują routery D-link (przez CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), routery oparte na Realtek SDK (CVE-2019-19824), modemy ZTE (CVE-2014 -2321), urządzenia Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) i inne.

Jak sama nazwa może sugerować, botnet BotenaGo jest tworzony przy użyciu języka programowania Go. Go od kilku lat zyskuje popularność wśród cyberprzestępców, ponieważ oferuje funkcjonalność międzyplatformową, jednocześnie utrudniając wykrywanie zagrożeń i ich odtworzenie.

Groźna funkcjonalność

Po wdrożeniu na zaatakowanym urządzeniu złośliwe oprogramowanie BotenaGo ustanowi procedury nasłuchiwania na dwóch określonych portach — 31412 i 194121. Zagrożenie czeka na podanie adresu IP przez atakujących. Po otrzymaniu odpowiedniego adresu IP BotenaGo przystąpi do sprawdzania luk w zabezpieczeniach swojego exploita, próbując uzyskać dostęp. Następnie uruchomi kilka poleceń powłoki, aby dodać urządzenie do swojego botnetu. Zagrożenie pobiera ładunek odpowiedni dla zaatakowanego urządzenia za pośrednictwem kilku różnych łączy.

Jeszcze nie działa

Badacze nie byli w stanie uzyskać żadnych ładunków z serwera hostingowego i nie wykryli komunikacji między BotneaGo a jego serwerem Command-and-Control (C2, C&C). Nie ma wystarczających danych do konkretnego wyjaśnienia, ale eksperci Infosec mają trzy potencjalne scenariusze:

1. Odnaleziony botnet BotenaGo to tylko jeden z kilku modułów, które są częścią wieloetapowego ataku złośliwego oprogramowania.
2. Zagrożeniem może być nowe narzędzie wykorzystywane przez operatorów Mirai. Ta hipoteza jest poparta kilkoma łączami używanymi do dostarczania ładunków.
3. Brak komunikacji C2 może być po prostu znakiem, że BotenaGo nie jest jeszcze gotowy do wdrożenia, a próbka złapana przez badaczy została przypadkowo wypuszczona na wolność.

Użytkownicy i firmy powinni zwrócić uwagę na IoC (wskaźniki kompromitacji) zagrożenia i wdrożyć odpowiednie środki zaradcze.