BotenaGo Botnet

Descrição do BotenaGo Botnet

Um novo botnet chamado BotenaGo foi identificado recentemente. A ameaça tem a capacidade de infectar milhões de dispositivos e roteadores IoT (Internet das Coisas) vulneráveis. De fato, depois de analisar uma amostra da ameaça, os pesquisadores da AT&T descobriram que ela poderia explorar mais de 33 vulnerabilidades encontradas em roteadores, modems e dispositivos NAS. Algumas das máquinas alvo incluem roteadores D-link (via CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), roteadores baseados em Realtek SDK (CVE-2019-19824), modems ZTE (CVE-2014 -2321), dispositivos Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) e mais.

Como o próprio nome pode sugerir, o botnet BotenaGo foi criado usando a linguagem de programação Go. Go tem ganhado popularidade entre os criminosos cibernéticos nos últimos anos, pois oferece funcionalidade de plataforma cruzada enquanto torna as ameaças mais difíceis de detectar e fazer engenharia reversa.

Funcionalidade Ameaçadora

Quando implantado no dispositivo visado, o malware BotenaGo estabelecerá rotinas de escuta em duas portas específicas - 31412 e 194121. A ameaça está esperando que um endereço IP seja fornecido a ela pelos invasores. Ao receber um IP adequado, o BotenaGo continuará a percorrer as vulnerabilidades de sua exploração na tentativa de obter acesso. Posteriormente, ele executará vários comandos shell para adicionar o dispositivo ao seu botnet. A ameaça busca uma carga adequada para o dispositivo visado por meio de vários links diferentes.

Ainda Não Operacional

Os pesquisadores não conseguiram obter nenhuma carga útil do servidor de hospedagem e não detectaram nenhuma comunicação entre o BotneaGo e seu servidor Command-and-Control (C2, C&C). Não há dados suficientes para uma explicação concreta, mas os especialistas em infosec têm três cenários potenciais:

  1. O botnet BotenaGo encontrado é apenas um dos vários módulos que fazem parte de um ataque de malware em vários estágios.
  2. A ameaça pode ser uma nova ferramenta usada por operadores do Mirai. Essa conjectura é apoiada por vários links usados para entregar cargas úteis.
  3. A falta de comunicação C2 pode ser simplesmente um sinal de que o BotenaGo ainda não está pronto para implantação e que a amostra capturada pelos pesquisadores foi lançada na natureza acidentalmente.

Usuários e empresas devem tomar nota dos IoCs (Indicadores de Compromisso) da ameaça e implementar contramedidas suficientes.