Ботнет BotenaGo использует 33 эксплоита против IoT-девайсов

Эксперты компании AT&T обнаружили новый ботнет BotenaGo. Малварь применяет более тридцати эксплоитов для атак на маршрутизаторы и другие устройства интернета вещей.

Как можно понять из названия, ботнет написан на языке Golang (Go), который в последние годы становится все популярнее у разработчиков малвари. Только 6 из 62 антивирусных продуктов на VirusTotal определяют BotenaGo как вредоноса (при этом некоторые идентифицируют его как вариацию Mirai).

Исследователи рассказывают, что BotenaGo использует 33 эксплоита для различных маршрутизаторов, модемов и NAS-устройств. Среди них есть эксплоиты для следующих проблем:

  • CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: маршрутизаторы D-Link;
  • CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: устройства Netgear;
  • CVE-2019-19824: маршрутизаторы на базе Realtek SDK;
  • CVE-2017-18368, CVE-2020-9054: маршрутизаторы и NAS компании Zyxel;
  • CVE-2020-10987: продукция Tenda;
  • CVE-2014-2321: модемы ZTE;
  • CVE-2020-8958: 1GE ONU.

Благодаря такому количеству эксплоитов, малварь способна атаковать миллионы устройств. К примеру, эксперты пишут, что, по данным Shodan, один только уязвимый опенсорсный веб-сервер Boa, чья поддержка уже прекращена, по-прежнему используют более двух миллионов девайсов.

Отчет AT&T гласит, что вредонос использует разные ссылки для получения пейлоадов, в зависимости от атакуемого устройства. К сожалению, во время изучения малвари на сервере вообще не было полезных нагрузок, поэтому изучить их не удалось.

Кроме того, исследователи пишут, что пока не обнаружили активных коммуникаций между BotenaGo и сервером, который контролируют злоумышленники. Они дают этому три возможных объяснения:

  • BotenaGo — это только часть (модуль) многоэтапной модульной атаки, и вовсе он не отвечает за связь с управляющим сервером.
  • BotenaGo — это новый инструмент, используемый операторами Mirai на определенных машинах. Эту теорию подтверждают общие ссылки для пейлоадов.
  • Малварь еще не готова к работе, и образец случайно попал в сеть.

Источник 📢