L'ANALISI TECNICA

BotenaGo, la botnet che mette a rischio milioni di router e dispositivi IoT: i dettagli

È stata ribattezzata BotenaGo la botnet che, sfruttando più di 30 differenti exploit, potrebbe potenzialmente colpire milioni di router o dispositivi IoT e sfruttarli per compiere attività malevoli di ogni tipo. Ecco tutti i dettagli e i consigli per difendersi

15 Nov 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Si chiama BotenaGo la nuova botnet identificata dai ricercatori di sicurezza AT&T Alien Labs che, sfruttando più di 30 exploit, potrebbe potenzialmente colpire milioni di router e dispositivi IoT. Sebbene non sia ancora chiara l’identità dell’attore della minaccia responsabile e nessuna comunicazione C2 risulti attiva, il rischio d’impatto stimato risulta comunque elevatissimo.

BotenaGo: il malware scritto in GoLang

Il malware BotenaGo è stato scritto in Go (Golang), un linguaggio di programmazione open source progettato da Google nel 2007 e che negli ultimi anni ha aumentato la sua popolarità tra gli sviluppatori di malware (con un incremento del +2.000% secondo Intezer), soprattutto grazie alla facilità di compilazione dello stesso codice per sistemi diversi e alla possibilità di creare payload difficili da rilevare e decodificare.

WHITEPAPER
Aumenta la competitività della tua azienda con IoT e RTLS
IoT
Industria 4.0

Il tasso di rilevamento della minaccia

Nel caso specifico, il campione intercettato dagli analisti al momento della stesura del presente articolo presenta un modesto tasso di rilevamento tra i sistemi di sicurezza (quasi il 50%) e risulta identificato da alcuni motori antivirus come una backdoor Linux Mirai.

A tal riguardo, il ricercatore di sicurezza Ofer Caspi afferma, però, che sebbene i collegamenti ai payload siano simili, risultano esserci sostanziali differenze tra Mirai e la nuova variante di malware, non solo per il linguaggio di programmazione utilizzato, ma anche nell’architettura e nelle funzionalità di attacco. Per tutti questi motivi, Alien Labs ritiene che BonetaGo rappresenti una nuova minaccia.

BotenaGo: il funzionamento della botnet

Dopo una prima fase d’inizializzazione dei contatori d’infezioni globali che serviranno a informare il presidio sul numero di contagi totali riusciti, il malware BotenaGo carica un file di script shell e richiama una funzione “scannerInitExploits” deputata alla mappatura di tutte le funzioni offensive previste e associate tramite una stringa (che funge da firma) a un determinato e potenziale sistema vulnerabile.

Mappatura delle funzioni di attacco

Successivamente, per fornire l’exploit, il malware interroga prima il target con una semplice richiesta “GET” e dopo sulla base dei dati restituiti invoca la relativa funzione associata secondo la mappatura di stringhe preconfigurata.

In base al dispositivo preso di mira, il malware utilizzerà così un payload differente (purtroppo non è stato possibile esaminare nessuno di questi payload perché non presenti sui server di hosting durante l’analisi).

Secondo la ricostruzione, il BotenaGo potrebbe ricevere i comandi da un operatore remoto tramite una backdoor in comunicazione attraverso le porte 31412 e 19412 oppure da un altro modulo correlato e in esecuzione sulla stessa macchina target.

Alcuni esempi d’impatto rilevanti

Un esempio significativo riportato sul rapporto è l’exploit associato alla stringa di ricerca “Server: Boa/0.93.15” riferita ad un server Web open source fuori produzione utilizzato nelle applicazioni integrate e che risulta su Shodan ancora presente su quasi due milioni di dispositivi connessi su Internet.

Nello specifico la relativa funzione mappata “main_infectFunctionGponFiber” tenta di sfruttare sul target la vulnerabilità CVE-2020-8958, permettendo all’attaccante di eseguire un comando del sistema operativo tramite una specifica richiesta web.

Funzione BotenaGo

Un altro esempio rilevante menzionato è quello relativo allo sfruttamento della vulnerabilità CVE-2020-10173, un difetto di iniezione di comandi nei gateway Comtrend VR-3033, di cui circa 250.000 potenziali dispositivi potrebbero essere ancora interessati (report Shodan).

In questo caso, la stringa di ricerca “Basic realm=”Broadband Router”” viene mappata, secondo lo stesso principio, alla funzione identificata come “m_infectFunctionComtrend”.

BotenaGo in Shodan

Le vulnerabilità sfruttabili da BotenaGo

In totale, il malware BotanaGo prevederebbe ben 33 funzioni di exploit pronte a infettare potenziali vittime. Ecco alcune delle vulnerabilità sfruttabili elencate da Alien Labs per una varietà di router, modem e dispositivi NAS molto diffusi:

  • DrayTek (CVE-2020-8515),
  • D-Link (CVE-2015-2051, CVE-2020-9377, CVE-2016-11021, CVE-2013-5223)
  • Netgear (CVE-2016-1555, CVE-2016-6277, CVE-2017-6077, CVE-2017-6334)
  • GPON (CVE-2018-10561, CVE-2018-10562)
  • Linksys (CVE-2013-3307)
  • XiongMai (CVE-2018-10088)
  • TOTOLINK (CVE-2019-19824)
  • Tenda (CVE-2020-10987)
  • ZyXEL (CVE-2020-9054, CVE-2017-18368)
  • ZTE (CVE-2014-2321)

Alcune ipotesi di funzionamento

Senza escludere l’eventualità che il malware sia ancora in fase di sviluppo e che il campione in esame sia stato trapelato accidentalmente, gli esperti, non trovando una comunicazione C2 attiva con un server di presidio, hanno ipotizzato che BotenaGo possa essere solo una componente di un attacco malware modulare a più stadi e non l’unico responsabile della gestione delle comunicazioni oppure effettivamente un nuovo strumento utilizzato dagli operatori Mirai su macchine specifiche.

In conclusione

Il fatto che BotenaGo possa essere eseguito come botnet su diverse piattaforme dimostra come gli attori delle minacce continuano a creare sempre nuove tecniche per implementare codice malevolo con funzionalità sempre più aggiornate.

Anche se fortunatamente diversi IoC sono già stati resi disponibili e il malware potrebbe ancora essere in una fase beta, il cospicuo numero di dispositivi presenti online e potenzialmente vulnerabili, può senza dubbio incentivare il cyber crime a continuarne lo sviluppo.

In generale per prevenire un’infezione causata dal malware di una botnet occorre senza dubbio prestare attenzione a qualsiasi download sospetto e, come suggerito dagli stessi analisti, mantenere sempre aggiornati software e patch di sicurezza, evitando di lasciare esposti su Internet server e dispositivi senza una adeguata protezione.

INFOGRAFICA
Manufacturing 5.0: ecco i vantaggi della monetizzazione dei dati!
Big Data
IoT
@RIPRODUZIONE RISERVATA

Articolo 1 di 2