Ботнет BotenaGo использует 33 эксплоита против IoT-девайсов

16.11.2021

Эксперты компании AT&T обнаружили новый ботнет BotenaGo. Малварь применяет более тридцати эксплоитов для атак на маршрутизаторы и другие устройства интернета вещей.

Как можно понять из названия, ботнет написан на языке Golang (Go), который в последние годы становится все популярнее у разработчиков малвари. Только 6 из 62 антивирусных продуктов на VirusTotal определяют BotenaGo как вредоноса (при этом некоторые идентифицируют его как вариацию Mirai).

Исследователи рассказывают, что BotenaGo использует 33 эксплоита для различных маршрутизаторов, модемов и NAS-устройств. Среди них есть эксплоиты для следующих проблем:

CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: маршрутизаторы D-Link;
CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: устройства Netgear;
CVE-2019-19824: маршрутизаторы на базе Realtek SDK;
CVE-2017-18368, CVE-2020-9054: маршрутизаторы и NAS компании Zyxel;
CVE-2020-10987: продукция Tenda;
CVE-2014-2321: модемы ZTE;
CVE-2020-8958: 1GE ONU.

Благодаря такому количеству эксплоитов, малварь способна атаковать миллионы устройств. К примеру, эксперты пишут, что, по данным Shodan, один только уязвимый опенсорсный веб-сервер Boa, чья поддержка уже прекращена, по-прежнему используют более двух миллионов девайсов.

Отчет AT&T гласит, что вредонос использует разные ссылки для получения пейлоадов, в зависимости от атакуемого устройства. К сожалению, во время изучения малвари на сервере вообще не было полезных нагрузок, поэтому изучить их не удалось.

Кроме того, исследователи пишут, что пока не обнаружили активных коммуникаций между BotenaGo и сервером, который контролируют злоумышленники. Они дают этому три возможных объяснения:

BotenaGo — это только часть (модуль) многоэтапной модульной атаки, и вовсе он не отвечает за связь с управляющим сервером.
BotenaGo — это новый инструмент, используемый операторами Mirai на определенных машинах. Эту теорию подтверждают общие ссылки для пейлоадов.
Малварь еще не готова к работе, и образец случайно попал в сеть.

похожие материалы

Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика

Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.

подробнее