Les auteurs d'un échantillon de logiciels malveillants dangereux ciblant des millions de routeurs et d'appareils Internet des objets (IoT) ont téléchargé son code source sur GitHub, ce qui signifie que d'autres criminels peuvent désormais créer rapidement de nouvelles variantes de l'outil ou l'utiliser tel quel, dans leur propre attaque. campagnes.

Les chercheurs d'AT&T Alien Labs ont repéré le malware pour la première fois en novembre dernier et l'ont nommé "BotenaGo". Le malware est écrit en Go, un langage de programmation devenu très populaire parmi les auteurs de malwares. Il est livré avec des exploits pour plus de 30 vulnérabilités différentes dans les produits de plusieurs fournisseurs, notamment Linksys, D-Link, Netgear et ZTE.

BotenaGo est conçu pour exécuter des commandes shell distantes sur des systèmes où il a réussi à exploiter une vulnérabilité. Une selon une analyse de l’Université de Princeton qu'Alien Labs a menée l'année dernière lorsqu'il a repéré le logiciel malveillant pour la première fois a montré que BotenaGo utilisait deux méthodes différentes pour recevoir des commandes pour cibler les victimes. L'un d'eux impliquait deux ports de porte dérobée pour écouter et recevoir les adresses IP des périphériques cibles, et l'autre impliquait de configurer un écouteur sur l'entrée utilisateur d'E / S système et de recevoir des informations cibles via celui-ci.

Les chercheurs d'Alien Labs ont découvert que bien que le logiciel malveillant soit conçu pour recevoir des commandes d'un serveur distant, il n'a aucune communication active de commande et de contrôle. Cela a conduit le fournisseur de sécurité à supposer à l'époque que BotenaGo faisait partie d'une suite de logiciels malveillants plus large et probablement l'un des multiples outils d'une chaîne d'infection. Le fournisseur de sécurité a également constaté que les liens de charge utile de BotenaGo étaient similaires à ceux utilisés par les opérateurs du tristement célèbre malware botnet Mirai. Cela a conduit Alien Labs à théoriser que BotenaGo était un nouvel outil que les opérateurs de Mirai utilisent pour cibler des machines spécifiques qui leur sont connues.

Périphériques IoT et routeurs touchés
Pour des raisons qui ne sont pas claires, l'auteur inconnu du malware a récemment rendu public le code source de BotenaGo via GitHub. Cette décision pourrait potentiellement entraîner une augmentation significative des variantes de BotenaGo, car d'autres auteurs de logiciels malveillants utilisent et adaptent le code source à leurs objectifs spécifiques et à leurs campagnes d'attaque, a déclaré Alien Labs dans un communiqué. blogue cette semaine. La société a déclaré avoir observé de nouveaux échantillons de la surface de BotenaGo et être utilisés pour propager le malware du botnet Mirai sur les appareils et les routeurs IoT. L'un des serveurs de charge utile de BotenaGo figure également dans la liste des indicateurs de compromission pour les vulnérabilités Log4j récemment découvertes.

Le malware BotenaGo se compose de seulement 2,891 30 lignes de code, ce qui en fait un bon point de départ potentiel pour plusieurs nouvelles variantes. Le fait qu'il regorge d'exploits pour plus de 2015 vulnérabilités dans plusieurs routeurs et appareils IoT est un autre facteur que les auteurs de logiciels malveillants sont susceptibles de considérer comme attrayant. Les nombreuses vulnérabilités que BotenaGo peut exploiter incluent CVE-2051-2016 dans certains routeurs sans fil D-Link, CVE-1555-2013 impactant les produits Netgear, CVE-3307-2014 sur les appareils Linksys et CVE-2321-XNUMX impactant certains câbles ZTE. modèles de modems.

"Alien Labs s'attend à voir de nouvelles campagnes basées sur des variantes de BotenaGo ciblant les routeurs et les appareils IoT à l'échelle mondiale", a déclaré Ofer Caspi, chercheur sur les logiciels malveillants d'Alien Labs, dans le billet de blog mentionné précédemment. "Au moment de la publication de cet article, la détection des fournisseurs d'antivirus (AV) pour BotenaGo et ses variantes reste en retrait avec une très faible couverture de détection de la plupart des fournisseurs d'AV."

Selon Alien Labs, seuls trois AV sur 60 sur VirusTotal sont actuellement capables de détecter le malware.

La société a comparé cette décision à celle que les auteurs de Mirai ont effectuée en 2016, lorsqu'ils ont téléchargé le code source du logiciel malveillant sur un forum communautaire de piratage. La publication du code a entraîné le développement de nombreuses variantes de Mirai, telles que Satori, Moobot et Masuta, qui sont à l'origine de millions d'infections d'appareils IoT. La publication du code Mirai a donné lieu à des variantes avec des fonctionnalités uniques, de nouvelles capacités et de nouveaux exploits.

• Coinsmart. Le meilleur échange Bitcoin et Crypto d'Europe.
• Platoblockchain. Intelligence métaverse Web3. Connaissance amplifiée. ACCÈS LIBRE.
• CryptoHawk. Radar Altcoins. Essai gratuit.
• Source : https://www.darkreading.com/vulnerabilities-threats/source-code-for-malware-targeting-millions-of-routers-iot-devices-uploaded-to-github