Le botnet BotenaGo cible des millions d’appareils IoT avec 33 exploits

Botnet

Le nouveau botnet malveillant BotenaGo a été découvert en utilisant plus de trente exploits pour attaquer des millions de routeurs et d’appareils IoT.

BotenaGo a été écrit en Golang (Go), dont la popularité a explosé ces dernières années, les auteurs de logiciels malveillants l’aimant pour créer des charges utiles plus difficiles à détecter et à désosser.

Dans le cas de BotenaGo, seuls six des 62 moteurs antivirus de VirusTotal signalent l’échantillon comme malveillant, et certains l’identifient comme Mirai.

BotenaGo passe principalement inaperçu des scanners AV
BotenaGo passe principalement inaperçu des scanners AV
Source : AT&T

Cibler des millions d’appareils

BotenaGo intègre 33 exploits pour une variété de routeurs, modems et périphériques NAS, avec quelques exemples notables ci-dessous :

  • CVE-2015-2051, CVE-2020-9377, CVE-2016-11021 : routeurs D-Link
  • CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334 : appareils Netgear
  • CVE-2019-19824 : Routeurs basés sur le SDK Realtek
  • CVE-2017-18368, CVE-2020-9054 : routeurs Zyxel et périphériques NAS
  • CVE-2020-10987 : Produits Tenda
  • CVE-2014-2321 : Modems ZTE
  • CVE-2020-8958 : Canton 1GE ONU

Les chercheurs de AT&T qui a analysé le nouveau botnet a découvert qu’il cible des millions d’appareils avec des fonctions qui exploitent les failles ci-dessus.

Un exemple donné est la chaîne de recherche pour Boa, qui est un serveur Web open source abandonné utilisé dans les applications embarquées et qui renvoie toujours près de deux millions d’appareils connectés à Internet sur Shodan.

La recherche Shodan a donné 2 millions de résultats sur Boa
La recherche Shodan a donné 2 millions de résultats sur Boa
Source : AT&T

Un autre exemple notable est le ciblage de CVE-2020-10173, une faille d’injection de commandes dans les passerelles Comtrend VR-3033, dont 250 000 sont encore exploitables.

Une fois installé, le malware écoutera sur deux ports (31412 et 19412), où il attend qu’une adresse IP lui soit envoyée. Une fois reçu, le bot exploitera chaque vulnérabilité sur cette adresse IP pour y accéder.

BotenaGo cartographie les fonctions d'attaque.
BotenaGo cartographie les fonctions d’attaque.
Source : AT&T

Une fois que BotenaGo y accède, il exécute des commandes shell à distance pour recruter l’appareil dans le botnet.

Selon l’appareil ciblé, le malware utilise différents liens pour récupérer une charge utile correspondante.

Au moment de l’analyse, cependant, il n’y avait aucune charge utile sur le serveur d’hébergement, donc aucune n’a pu être récupérée pour analyse.

De plus, les chercheurs n’ont pas trouvé de communication C2 active entre BotenaGo et un serveur contrôlé par un acteur, ils donnent donc trois explications potentielles sur son fonctionnement :

  1. BotenaGo n’est qu’une partie (module) d’une attaque de malware modulaire en plusieurs étapes, et ce n’est pas celui qui est responsable de la gestion des communications.
  2. BotenaGo est un nouvel outil utilisé par les opérateurs Mirai sur certaines machines, un scénario qui est soutenu par des liens de suppression de charge utile communs.
  3. Le malware n’est pas encore prêt à fonctionner et un échantillon de sa première phase de développement a été accidentellement divulgué dans la nature.

En conclusion, l’apparition de BotenaGo dans la nature est inhabituelle compte tenu de son état opérationnel incomplet, mais ses capacités sous-jacentes ne laissent aucun doute sur l’intention de ses auteurs.

Heureusement, le nouveau botnet a été repéré tôt et les indicateurs de compromission sont déjà disponibles. Pourtant, tant qu’il existe une multitude d’appareils en ligne vulnérables à exploiter, l’incitation est là pour les acteurs de la menace de poursuivre le développement de BotenaGo.