BotenaGo Botnet

Un nouveau botnet nommé BotenaGo a été identifié dans la nature. La menace a la capacité d'infecter des millions d'appareils et de routeurs IoT (Internet des objets) vulnérables. En effet, après avoir analysé un échantillon de la menace, les chercheurs d'AT&T ont découvert qu'elle pouvait exploiter plus de 33 vulnérabilités trouvées dans les routeurs, les modems et les périphériques NAS. Certaines des machines ciblées incluent des routeurs D-link (via CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), des routeurs basés sur Realtek SDK (CVE-2019-19824), des modems ZTE (CVE-2014 -2321), les appareils Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340), et plus encore.

Comme son nom l'indique, le botnet BotenaGo est créé à l'aide du langage de programmation Go. Go a gagné en popularité parmi les cybercriminels au cours des dernières années, car il offre des fonctionnalités multiplateformes tout en rendant les menaces à la fois plus difficiles à détecter et à rétro-concevoir.

Fonctionnalité menaçante

Lorsqu'il est déployé sur l'appareil ciblé, le malware BotenaGo établira des routines d'écoute sur deux ports spécifiques - 31412 et 194121. La menace attend qu'une adresse IP lui soit fournie par les attaquants. Dès réception d'une adresse IP appropriée, BotenaGo procédera à l'analyse des vulnérabilités de son exploitation pour tenter d'y accéder. Ensuite, il exécutera plusieurs commandes shell pour ajouter l'appareil à son botnet. La menace récupère une charge utile adaptée à l'appareil ciblé via plusieurs liens différents.

Pas encore opérationnel

Les chercheurs n'ont pu obtenir aucune charge utile du serveur d'hébergement et n'ont détecté aucune communication entre BotneaGo et son serveur Command-and-Control (C2, C&C). Il n'y a pas assez de données pour une explication concrète, mais les experts d'infosec ont trois scénarios potentiels :

1. Le botnet BotenaGo trouvé n'est qu'un des nombreux modules faisant partie d'une attaque de malware en plusieurs étapes.
2. La menace pourrait être un nouvel outil utilisé par les opérateurs de Mirai. Cette conjecture est supportée par plusieurs liens utilisés pour livrer des charges utiles.
3. Le manque de communication C2 peut simplement être un signe que BotenaGo n'est pas encore prêt pour le déploiement et que l'échantillon capturé par les chercheurs a été relâché accidentellement dans la nature.

Les utilisateurs et les entreprises doivent prendre note des IoC (Indicateurs de compromission) de la menace et mettre en œuvre des contre-mesures suffisantes.