Hàng triệu bộ định tuyến, thiết bị IoT có nguy cơ bị mã nguồn phần mềm độc hại xuất hiện trên GitHub

Các tác giả của một mẫu phần mềm độc hại nguy hiểm nhắm vào hàng triệu bộ định tuyến và thiết bị Internet of Things (IoT) đã tải mã nguồn của nó lên GitHub, nghĩa là các tội phạm khác giờ đây có thể nhanh chóng tạo ra các biến thể mới của công cụ này hoặc sử dụng nó như hiện tại trong cuộc tấn công của riêng chúng. các chiến dịch.

Các nhà nghiên cứu tại AT&T Alien Labs lần đầu tiên phát hiện ra phần mềm độc hại này vào tháng 30 năm ngoái và đặt tên nó là “BotenaGo”. Phần mềm độc hại được viết bằng Go - một ngôn ngữ lập trình đã trở nên khá phổ biến đối với các tác giả phần mềm độc hại. Nó đi kèm với các cách khai thác hơn XNUMX lỗ hổng khác nhau trong các sản phẩm từ nhiều nhà cung cấp, bao gồm Linksys, D-Link, Netgear và ZTE.

BotenaGo được thiết kế để thực thi các lệnh shell từ xa trên các hệ thống đã khai thác thành công lỗ hổng. MỘT phân tích mà Alien Labs đã tiến hành vào năm ngoái khi lần đầu tiên phát hiện ra phần mềm độc hại cho thấy BotenaGo sử dụng hai phương pháp khác nhau để nhận lệnh nhắm mục tiêu vào nạn nhân. Một trong số chúng liên quan đến hai cổng cửa sau để nghe và nhận địa chỉ IP của thiết bị mục tiêu, còn cổng còn lại liên quan đến việc thiết lập trình nghe cho đầu vào của người dùng I/O hệ thống và nhận thông tin mục tiêu thông qua nó.

Các nhà nghiên cứu tại Alien Labs phát hiện ra rằng mặc dù phần mềm độc hại được thiết kế để nhận lệnh từ máy chủ từ xa nhưng nó không có bất kỳ giao tiếp ra lệnh và kiểm soát hoạt động nào. Điều này khiến nhà cung cấp dịch vụ bảo mật tại thời điểm đó phỏng đoán rằng BotenaGo là một phần của bộ phần mềm độc hại rộng hơn và có thể là một trong nhiều công cụ trong chuỗi lây nhiễm. Nhà cung cấp bảo mật này cũng phát hiện ra rằng các liên kết tải trọng của BotenaGo tương tự như các liên kết được sử dụng bởi những kẻ điều hành phần mềm độc hại botnet Mirai khét tiếng. Điều này khiến Alien Labs đưa ra giả thuyết rằng BotenaGo là một công cụ mới mà những người điều hành Mirai đang sử dụng để nhắm mục tiêu vào các máy cụ thể mà họ đã biết.

Thiết bị và bộ định tuyến IoT
Vì những lý do chưa rõ ràng, tác giả chưa xác định của phần mềm độc hại gần đây đã công khai mã nguồn của BotenaGo thông qua GitHub. Động thái này có khả năng dẫn đến sự gia tăng đáng kể các biến thể của BotenaGo khi các tác giả phần mềm độc hại khác sử dụng và điều chỉnh mã nguồn cho các mục đích và chiến dịch tấn công cụ thể của họ, Alien Labs cho biết trong một báo cáo. Blog của chúng tôi. tuần này. Công ty cho biết họ đã quan sát thấy các mẫu bề mặt BotenaGo mới và được sử dụng để phát tán phần mềm độc hại botnet Mirai trên các thiết bị và bộ định tuyến IoT. Một trong những máy chủ tải trọng của BotenaGo cũng nằm trong danh sách có dấu hiệu bị xâm phạm đối với các lỗ hổng Log4j được phát hiện gần đây.

Phần mềm độc hại BotenaGo chỉ bao gồm 2,891 dòng mã, khiến nó trở thành điểm khởi đầu tiềm năng cho một số biến thể mới. Thực tế là nó có chứa nhiều cách khai thác hơn 30 lỗ hổng trong nhiều bộ định tuyến và thiết bị IoT là một yếu tố khác mà các tác giả phần mềm độc hại có thể cân nhắc. Nhiều lỗ hổng mà BotenaGo có thể khai thác bao gồm CVE-2015-2051 trong một số bộ định tuyến không dây D-Link, CVE-2016-1555 ảnh hưởng đến các sản phẩm Netgear, CVE-2013-3307 trên các thiết bị Linksys và CVE-2014-2321 ảnh hưởng đến một số cáp ZTE nhất định các mô hình modem.

“Alien Labs hy vọng sẽ thấy các chiến dịch mới dựa trên các biến thể của BotenaGo nhắm mục tiêu vào các bộ định tuyến và thiết bị IoT trên toàn cầu,” nhà nghiên cứu phần mềm độc hại Ofer Caspi của Alien Labs cho biết trong bài đăng trên blog đã đề cập trước đó. “Tính đến thời điểm xuất bản bài viết này, khả năng phát hiện của nhà cung cấp phần mềm chống vi-rút (AV) cho BotenaGo và các biến thể của nó vẫn ở phía sau với phạm vi phát hiện rất thấp từ hầu hết các nhà cung cấp AV.”

Theo Alien Labs, chỉ có 60 trong số XNUMX AV trên VirusTotal hiện có khả năng phát hiện phần mềm độc hại.

Công ty đã so sánh động thái này với động thái mà các tác giả của Mirai đã thực hiện vào năm 2016, khi họ tải mã nguồn của phần mềm độc hại lên một diễn đàn cộng đồng hack. Việc phát hành mã dẫn đến sự phát triển của nhiều biến thể Mirai, chẳng hạn như ngộ, Moobot và Masuta là nguyên nhân gây ra hàng triệu vụ lây nhiễm thiết bị IoT. Việc phát hành mã Mirai đã tạo ra các biến thể với chức năng độc đáo, khả năng mới và cách khai thác mới.

Trí thông minh dữ liệu tạo

Hàng triệu bộ định tuyến, thiết bị IoT có nguy cơ là bề mặt mã nguồn phần mềm độc hại trên GitHub

Một studio do người đứng đầu phần nhiều người chơi của StarCraft 2 chỉ đạo muốn tạo ra một 'sự thay đổi mô hình' RTS với trò chơi chưa được báo trước của mình

No Rest for the Wicked không phải là Diablo, nhưng nó có thể là một trong những tựa game có tâm hồn thông minh nhất mà tôi từng chơi trong một thời gian dài

Tin tức mới nhất

Moment Factory khai thác các công nghệ thế hệ tiếp theo của Sphere để tái tạo trải nghiệm hòa nhạc

Giới thiệu chương trình đào tạo tự động cho các giải pháp trong Amazon Personalize | Dịch vụ web của Amazon

Tiết kiệm 20% khi không nghỉ ngơi cho kẻ ác và nhận trò chơi miễn phí trong thời gian có hạn

Hướng dẫn về Ngày cộng đồng Pokémon Go Bellsprout

Bandai Namco Tháng 2024 năm XNUMX Giảm giá Switch eShop: giá thấp nhất từ trước đến nay cho Digimon World: Next Order, We Love Katamari, hơn thế nữa

Giờ đây bạn có thể mua và bán USDt trên TON với Mạng Ramp – Tech Startups

Trò chuyện trực tiếp với chúng tôi (chat)