Miliony routerů a zařízení IoT v ohrožení, zdrojový kód nebezpečného malwaru se objevil na GitHubu

Zpět na blog

Autoři nebezpečného malwaru zaměřeného na miliony routerů a zařízení internetu věcí (IoT) nahráli jeho zdrojový kód na server GitHub, což znamená, že další zločinci mohou rychle vytvořit nové varianty tohoto nástroje nebo jej použít ve stávající podobě ve svých vlastních útočných kampaních.

Výzkumníci ze společnosti AT&T Alien Labs si tohoto malwaru poprvé všimli loni v listopadu a pojmenovali ho BotenaGo. Malware je napsán v jazyce Go – programovacím jazyce, který se stal mezi autory malwaru poměrně oblíbeným. Je vybaven exploity pro více než 30 různých zranitelností v produktech od různých výrobců, včetně společností Linksys, D-Link, Netgear a ZTE.

BotenaGo je navržen tak, aby na systémech, kde úspěšně zneužil zranitelnost, spouštěl vzdálené příkazy shellu. Analýza, kterou společnost Alien Labs provedla v loňském roce, ukázala, že BotenaGo používá dvě různé metody přijímání příkazů pro cílení na oběti. Jedna z nich zahrnovala dva backdoor porty pro naslouchání a přijímání IP adres cílových zařízení a druhá zahrnovala nastavení posluchače na systémový vstup/výstup uživatele a přijímání cílových informací jeho prostřednictvím.

Výzkumníci z Alien Labs zjistili, že ačkoli je malware navržen tak, aby přijímal příkazy ze vzdáleného serveru, nemá žádnou aktivní příkazovou a řídicí komunikaci. To vedlo výrobce bezpečnostních řešení k tehdejší domněnce, že BotenaGo je součástí širší sady malwaru a pravděpodobně jedním z více nástrojů v infekčním řetězci. Společnost také uvedla, že odkazy na payload nástroje BotenaGo jsou podobné těm, které používají provozovatelé nechvalně známého botnetového malwaru Mirai. To vedlo laboratoře Alien Labs k teorii, že BotenaGo je nový nástroj, který provozovatelé Mirai používají k cílení na konkrétní počítače, které jsou jim známé.

Z nejasných důvodů neznámý autor malwaru nedávno zveřejnil zdrojový kód BotenaGo prostřednictvím služby GitHub. Tento krok by mohl potenciálně vést k výraznému nárůstu variant BotenaGo, protože další autoři malwaru zdrojový kód používají a přizpůsobují pro své specifické účely a útočné kampaně, uvedla společnost Alien Labs na svém blogu. Společnost uvedla, že zaznamenala nové vzorky BotenaGo k šíření malwaru botnetu Mirai na zařízeních internetu věcí a routerech. Jeden ze serverů s payloady BotenaGo je také na seznamu indikátorů kompromitace pro nedávno objevené zranitelnosti Log4j.

Malware BotenaGo se skládá z pouhých 2 891 řádků kódu, což z něj činí potenciálně dobrý výchozí bod pro několik nových variant. Dalším faktorem, který autoři malwaru pravděpodobně považují za atraktivní, je skutečnost, že je vybaven exploity pro více než 30 zranitelností v několika routerech a zařízeních IoT. Mezi mnoha zranitelnostmi, které může BotenaGo využívat, je například CVE-2015-2051 v některých bezdrátových routerech D-Link, CVE-2016-1555 ovlivňující produkty Netgear, CVE-2013-3307 v zařízeních Linksys a CVE-2014-2321, která ovlivňuje některé modely kabelových modemů ZTE.

Už v roce 2016 tvůrci malwaru Mirai nahráli zdrojový kód malwaru na fórum hackerské komunity. Zveřejnění kódu vedlo k vývoji mnoha variant Mirai, jako jsou Satori, Moobot a Masuta, které mají na svědomí miliony infekcí zařízení IoT. Uvolnění kódu Mirai vedlo ke vzniku variant s jedinečnou funkčností, novými schopnostmi a novými způsoby zneužití.

Zdroj: Darkreading

2. 2. 2022