Miliony urządzeń IoT i routerów narażonych na szkodliwe oprogramowanie BotenaGo
Nowy szczep złośliwego oprogramowania został zauważony, a następnie zbadany przez badaczy bezpieczeństwa. Nowe złośliwe oprogramowanie nosi nazwę BotenaGo i atakuje urządzenia Internetu Rzeczy — stale rosnącą grupę technologii obsługujących Internet, która coraz częściej pojawia się w domach.
Naukowcy współpracujący z AT&T Alien Labs opublikowali na swoim blogu artykuł badawczy, w którym szczegółowo opisano działanie BotenaGo. Szkodnik ten atakuje aż 30 różnych luk w zabezpieczeniach znalezionych w urządzeniach IoT, wszystkie zawarte w wygodnym pakiecie, który hakerzy mogą wykorzystać.
Mimo że niektóre platformy chroniące przed złośliwym oprogramowaniem wykrywają nowe złośliwe oprogramowanie jako wariant niesławnego botnetu Mirai, który działa również z urządzeniami IoT, dokładniejsze przyjrzenie się pokazuje, że tak nie jest. W przeciwieństwie do Mirai, BotenaGo jest napisany i skompilowany w Go – języku programowania podobnym do C, który istnieje już od ponad 10 lat, ale powoli zyskuje na popularności, a także w przypadku złośliwego oprogramowania.
BotenaGo ma wbudowany skaner, który zapewnia operatorom bieżącą liczbę zainfekowanych i zhakowanych urządzeń. Wykorzystując luki, na które atakuje szkodliwe oprogramowanie, cyberprzestępcy i operatorzy mogą zdalnie uruchamiać polecenia powłoki na zainfekowanych urządzeniach. Można to wykorzystać jako odskocznię do uzyskania dostępu do szerszej sieci w środowisku konkretnego urządzenia IoT, o którym mowa.
Szkodnik dostarcza również narzędzia do przesyłania szkodliwych ładunków, ale podczas analizy przeprowadzonej przez AT&T badacze stwierdzili, że serwery przeznaczone do hostowania tych ładunków były puste.
Pomimo faktu, że ze względu na swoje możliwości i atakowane exploity BotenaGo można wykorzystać do ataku na potencjalną pulę milionów urządzeń, serwery dowodzenia i kontroli szkodliwego oprogramowania były bezczynne, a komunikacja między zainfekowanymi urządzeniami a hakerami nie zachodziła.
Czy to oznacza, że BotenaGo wciąż nie zostało wprowadzone do sieci przez cyberprzestępców, którzy go opracowali, czy też jest to tylko element większej układanki i szerszego zestawu narzędzi do złośliwego oprogramowania, który obecnie nie jest używany, jest wiadome.