Uudet BotenaGo-botti-käytöt 33 Hyökkäykset IoT-laitteita vastaan
AT&T asiantuntijat ovat löytäneet uusi botnet BotenaGo. Haittaohjelma käyttää yli kolmeakymmentä hyväksikäyttöä hyökätäkseen reitittimiin ja muihin esineiden Internet-laitteisiin.
Kuten nimestä voi päätellä, botnet on kirjoitettu Golangilla (Mennä) Kieli, josta on tullut viime vuosina yhä suositumpi haittaohjelmien kehittäjien keskuudessa. Vain 6 ulos 62 virustorjuntatuotteet päällä VirusTotal tunnistaa BotenaGo haittaohjelmina (joidenkin mielestä se on a Mirai vaihtelua).
Tutkijat sanovat, että BotenaGo käyttää 33 hyödyntää erilaisia reitittimiä, modeemit ja NAS-laitteet. Niiden joukossa on hyväksikäyttöjä seuraaviin ongelmiin:
- CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: D-Link reitittimet;
- CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: Netgear laitteet;
- CVE-2019-19824: Realtek SDK-pohjaiset reitittimet;
- CVE-2017-18368, CVE-2020-9054: Zyxel reitittimet ja NAS;
- CVE-2020-10987: Teltta Tuotteet;
- CVE-2014-2321: ZTE Modeemit;
- CVE-2020-8958: 1GE ON.
Niin monen hyväksikäytön takia, haittaohjelmat voivat hyökätä miljooniin laitteisiin. Esimerkiksi, asiantuntijat kirjoittavat näin, mukaan Shodan, pelkästään haavoittuva avoimen lähdekoodin Boa-verkkopalvelin, joiden tuki on jo lopetettu, Sitä käyttää edelleen yli kaksi miljoonaa laitetta.
The AT&T raportin mukaan haittaohjelma käyttää erilaisia linkkejä vastaanottaakseen hyötykuormia, riippuen laitteesta, johon hyökätään. valitettavasti, haittaohjelman tutkimuksen aikana, palvelimella ei ollut lainkaan hyötykuormia, joten niitä ei ollut mahdollista tutkia.
Lisäksi, tutkijat kirjoittavat, että he eivät ole vielä löytäneet aktiivista viestintää BotenaGon ja hyökkääjien hallitseman palvelimen välillä. He antavat tälle kolme mahdollista selitystä:
- BotenaGo on vain osa (moduuli) monivaiheisesta modulaarisesta hyökkäyksestä, eikä se ole ollenkaan vastuussa kommunikoinnista C:n kanssa&C-palvelin.
- BotenaGo on uusi työkalu, jota Mirai-operaattorit käyttävät tietyissä koneissa. Tätä teoriaa tukevat yleiset viittaukset hyötykuormille.
- Haittaohjelmat eivät ole vielä valmiita toimintaan, ja näyte pääsi vahingossa verkkoon.
Haluan muistuttaa teitä siitä, että kirjoitin myös sen Vaaleanpunainen botnet on saanut tartunnan 1.5 miljoonaa laitetta, yhtä hyvin kuin MyKings botnet varastaa kryptovaluuttoja leikepöydän kautta.