قام مؤلفو عينة من البرامج الضارة الخطيرة التي تستهدف الملايين من أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) بتحميل كود المصدر الخاص بها إلى GitHub ، مما يعني أنه يمكن للمجرمين الآخرين الآن تطوير أشكال جديدة من الأداة بسرعة أو استخدامها كما هي ، في هجومهم الخاص. الحملات.
اكتشف الباحثون في AT&T Alien Labs لأول مرة البرنامج الضار في نوفمبر الماضي وأطلقوا عليه اسم "BotenaGo". تمت كتابة البرامج الضارة بلغة Go - وهي لغة برمجة أصبحت شائعة جدًا بين مؤلفي البرامج الضارة. يأتي مزودًا بمآثر لأكثر من 30 نقطة ضعف مختلفة في المنتجات من بائعين متعددين ، بما في ذلك Linksys و D-Link و Netgear و ZTE.
تم تصميم BotenaGo لتنفيذ أوامر shell عن بُعد على الأنظمة التي نجحت في استغلال ثغرة أمنية. ان تحليل التي أجرتها شركة Alien Labs العام الماضي عندما رصدت لأول مرة البرنامج الضار ، أظهرت أن BotenaGo يستخدم طريقتين مختلفتين لتلقي أوامر لاستهداف الضحايا. تضمن أحدهما منفذين للباب الخلفي للاستماع إلى عناوين IP للأجهزة المستهدفة وتلقيها ، بينما تضمن الآخر تعيين مستمع لإدخال مستخدم نظام الإدخال / الإخراج وتلقي معلومات الهدف من خلاله.
اكتشف الباحثون في Alien Labs أنه على الرغم من أن البرامج الضارة مصممة لتلقي أوامر من خادم بعيد ، إلا أنها لا تحتوي على أي اتصال نشط للقيادة والتحكم. أدى ذلك إلى تخمين بائع الأمن في ذلك الوقت أن BotenaGo كان جزءًا من مجموعة برامج ضارة أوسع ومن المحتمل أنه أحد الأدوات المتعددة في سلسلة العدوى. اكتشف بائع الحماية أيضًا أن روابط حمولة BotenaGo كانت مشابهة لتلك المستخدمة من قبل مشغلي البرامج الضارة Mirai botnet سيئة السمعة. أدى ذلك إلى قيام شركة Alien Labs بوضع نظرية أن BotenaGo كانت أداة جديدة يستخدمها مشغلو Mirai لاستهداف أجهزة معينة معروفة لهم.
أجهزة إنترنت الأشياء والموجهات ضرب
لأسباب غير واضحة ، أتاح المؤلف المجهول للبرنامج الضار مؤخرًا شفرة مصدر BotenaGo للجمهور من خلال GitHub. قد تؤدي هذه الخطوة إلى زيادة كبيرة في متغيرات BotenaGo حيث يستخدم مؤلفو البرامج الضارة الآخرون شفرة المصدر وتكييفها لأغراضهم الخاصة وحملات الهجوم ، حسبما قالت شركة Alien Labs في مدونة هذا الاسبوع. قالت الشركة إنها رصدت عينات جديدة من سطح BotenaGo وهي قيد الاستخدام لنشر برامج Mirai botnet الضارة على أجهزة IoT وأجهزة التوجيه. أحد خوادم حمولة BotenaGo مدرج أيضًا في قائمة مؤشرات الاختراق لثغرات Log4j المكتشفة مؤخرًا.
تتكون برامج BotenaGo الضارة من 2,891 سطرًا فقط من التعليمات البرمجية ، مما يجعلها نقطة انطلاق جيدة للعديد من المتغيرات الجديدة. حقيقة أنها تأتي مليئة بالاستغلال لأكثر من 30 نقطة ضعف في أجهزة توجيه متعددة وأجهزة إنترنت الأشياء هي عامل آخر من المرجح أن يعتبره مؤلفو البرامج الضارة أمرًا جذابًا. تشمل نقاط الضعف العديدة التي يمكن أن يستغلها BotenaGo CVE-2015-2051 في بعض أجهزة التوجيه اللاسلكية D-Link ، و CVE-2016-1555 التي تؤثر على منتجات Netgear ، و CVE-2013-3307 على أجهزة Linksys ، و CVE-2014-2321 التي تؤثر على بعض كبلات ZTE نماذج المودم.
قال Ofer Caspi ، الباحث في البرامج الضارة من Alien Labs ، في منشور المدونة المذكور سابقًا: "تتوقع شركة Alien Labs رؤية حملات جديدة تعتمد على متغيرات BotenaGo التي تستهدف أجهزة التوجيه وأجهزة إنترنت الأشياء على مستوى العالم". "اعتبارًا من نشر هذه المقالة ، يظل اكتشاف بائع مكافحة الفيروسات (AV) لـ BotenaGo ومتغيراته متخلفًا مع تغطية اكتشاف منخفضة للغاية من معظم بائعي AV."
وفقًا لـ Alien Labs ، فإن ثلاثة فقط من أصل 60 AV على VirusTotal قادرون حاليًا على اكتشاف البرامج الضارة.
وقارنت الشركة الانتقال بالذي قام به مؤلفو Mirai في عام 2016 ، عندما قاموا بتحميل كود المصدر للبرامج الضارة إلى منتدى مجتمع القرصنة. أدى إصدار الكود إلى تطوير العديد من متغيرات Mirai ، مثل ساتوريو Moobot و Masuta ، التي تسببت في ملايين الإصابات بأجهزة إنترنت الأشياء. نتج عن إصدار كود ميراي متغيرات ذات وظائف فريدة وقدرات جديدة ومآثر جديدة.
- كوينسمارت. أفضل بورصة للبيتكوين والعملات المشفرة في أوروبا.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. دخول مجاني.
- كريبتوهوك. الرادار. تجربة مجانية.
- المصدر: https://www.darkreading.com/vulnerabilities-threats/source-code-for-malware-targeting-millions-of-routers-iot-devices-uploaded-to-github
