Miljoenen IoT-apparaten en routers blootgesteld aan BotenaGo-malware
Een nieuwe vorm van malware is ontdekt en vervolgens ontleed door beveiligingsonderzoekers. De nieuwe malware heet BotenaGo en richt zich op Internet of Things-apparaten - een steeds groter wordende groep internettechnologieën die steeds vaker in huizen opduikt.
Onderzoekers die met AT&T Alien Labs werken, hebben een onderzoeksartikel op hun blog gepubliceerd waarin wordt beschreven hoe BotenaGo werkt. De malware richt zich op maar liefst 30 verschillende kwetsbaarheden in IoT-apparaten, allemaal gebundeld in een handig pakket dat hackers kunnen misbruiken.
Hoewel sommige anti-malwareplatforms de nieuwe malware detecteren als een variant van het beruchte Mirai-botnet dat ook met IoT-apparaten werkt, blijkt bij nadere inspectie dat dit niet echt het geval is. In tegenstelling tot Mirai is BotenaGo geschreven en gecompileerd in Google's Go - een programmeertaal die lijkt op C en die al meer dan 10 jaar bestaat, maar langzaam aan populariteit wint en ook grip krijgt op malware.
BotenaGo heeft een ingebouwde scanner die zijn operators voorziet van een live telling van geïnfecteerde en gecompromitteerde apparaten. Door misbruik te maken van de kwetsbaarheden waarop de malware zich richt, kunnen bedreigingsactoren en operators op afstand shell-opdrachten uitvoeren op geïnfecteerde apparaten. Dit kan als opstapje worden gebruikt om toegang te krijgen tot het bredere netwerk in de omgeving van het specifieke IoT-apparaat in kwestie.
De malware biedt ook de tools om kwaadaardige payloads te uploaden, maar tijdens de analyse door AT&T ontdekten onderzoekers dat de servers die bedoeld waren voor het hosten van die payloads leeg waren.
Ondanks het feit dat BotenaGo, gezien de mogelijkheden en de exploits waarop het zich richt, kan worden gebruikt om een potentiële pool van miljoenen apparaten aan te vallen, werden de commando- en controleservers van de malware inactief bevonden en was er geen communicatie tussen geïnfecteerde apparaten en de hackers.
Of dit betekent dat BotenaGo nog steeds niet online is gebracht door de bedreigingsactoren die het ontwikkelen of dat het slechts een stukje van een grotere puzzel is en een bredere malware-toolkit die momenteel niet wordt gebruikt, is een gok.