อาชญากรไซเบอร์เพื่อทำกำไรทำการโจมตีประเภทต่างๆ ที่มักจะรายงานผลลัพธ์ที่ดีที่สุดคือ ransomware และ Phishing ในบางครั้ง ทั้งแบบเดี่ยวและแบบกลุ่ม พวกมันสร้างมัลแวร์นี้โดยมีจุดประสงค์เพื่อแพร่ระบาดในอุปกรณ์ต่างๆ สิ่งที่ทำให้มีประสิทธิภาพมากขึ้นคือการรวมช่องโหว่ที่ยังไม่ได้ค้นพบในเราเตอร์และอุปกรณ์อื่นๆ อย่างไรก็ตาม วันนี้สิ่งที่เกิดขึ้นคือมีการเผยแพร่ซอร์สโค้ดของมัลแวร์ที่มีอยู่แล้ว ในบทความนี้เราจะมาดูกันว่าเราเตอร์นับล้านและ IoT อุปกรณ์กำลังถูกบุกรุกโดยซอร์สโค้ดของมัลแวร์ที่เผยแพร่บน GitHub
เราเตอร์และอุปกรณ์อื่นๆ นับล้านตกอยู่ในความเสี่ยง
ตามที่ผู้จำหน่ายความปลอดภัย ” โบเตน่าโก " ประกอบด้วย หาช่องโหว่มากกว่า 30 รายการในผลิตภัณฑ์จากผู้ขายหลายราย และใช้เพื่อแพร่กระจายมัลแวร์บ็อตเน็ต Mirai ผู้เขียนมัลแวร์ที่เป็นอันตรายซึ่งกำหนดเป้าหมายเราเตอร์หลายล้านเครื่องและอุปกรณ์ Internet of Things (IoT) ได้อัปโหลดซอร์สโค้ดไปยัง GitHub ซึ่งหมายความว่าอาชญากรรายอื่นๆ สามารถสร้างเครื่องมือรูปแบบใหม่ได้อย่างรวดเร็วหรือใช้งานได้ทันทีเพื่อดำเนินการแคมเปญ คุณอาจสนใจที่จะทราบว่า IP ของคุณเป็นส่วนหนึ่งของบ็อตเน็ตหรือไม่และจะหลีกเลี่ยงได้อย่างไร
นักวิจัยจาก AT&T Alien Labs เป็นคนแรกที่ตรวจพบมัลแวร์นี้และตั้งชื่อมันว่า BotenaGo มัลแวร์นี้เขียนในภาษา Go ซึ่งเป็นภาษาโปรแกรมที่ได้รับความนิยมอย่างมากในหมู่อาชญากรไซเบอร์ ในกรณีนี้มันมา อัดแน่นด้วยช่องโหว่กว่า 30 จุด กระทบหลายแบรนด์ ซึ่งรวมถึง Linksys, D-Link, NETGEAR และ ZTE.
มัลแวร์นี้ทำงานอย่างไร
สำหรับ BotenaGo นั้นได้รับการออกแบบมาเพื่อรันคำสั่งเชลล์ระยะไกลบนระบบที่มีการใช้ประโยชน์จากช่องโหว่ได้สำเร็จ ปีที่แล้ว an การวิเคราะห์ AT&T Alien Labs ครั้งแรกพบว่ามัลแวร์ BotenaGo ใช้สองวิธีที่แตกต่างกันเพื่อรับคำสั่งโจมตีเหยื่อ สองขั้นตอนนี้ประกอบด้วย:
- พวกเขาใช้แบ็คดอร์สองประตูเพื่อฟังและรับที่อยู่ IP ของอุปกรณ์เป้าหมาย
- พวกเขาตั้งค่า Listener สำหรับอินพุตของผู้ใช้ระบบ I/O และรับข้อมูลปลายทางผ่านมัน
นักวิจัยเหล่านี้ยังค้นพบด้วยว่ามัลแวร์ถูกออกแบบมาเพื่อรับคำสั่งจากเซิร์ฟเวอร์ระยะไกล มันไม่มีการสื่อสารคำสั่งและการควบคุมที่ใช้งานอยู่ ดังนั้นพวกเขาจึงสันนิษฐานว่า BotenaGo เป็นส่วนหนึ่งของแพ็คเกจมัลแวร์ที่ใหญ่กว่าและน่าจะเป็นหนึ่งในหลายเครื่องมือที่ใช้ในการโจมตี นอกจากนี้ พบว่าลิงก์เพย์โหลดคล้ายกับที่ใช้โดยมัลแวร์บ็อตเน็ต Mirai จากข้อมูลนี้สรุปได้ว่า BotenaGo น่าจะเป็นเครื่องมือใหม่ของผู้ให้บริการ Mirai
อุปกรณ์ IoT และเราเตอร์นับล้านได้รับผลกระทบ
สาเหตุที่ ซอร์สโค้ด BotenaGo ได้รับการเผยแพร่ผ่าน GitHub ไม่ชัดเจน อย่างไรก็ตาม ผลที่ตามมาสามารถประมาณการได้ ดิ การเผยแพร่ซอร์สโค้ดสามารถเพิ่มรูปแบบต่างๆ ของ BotenaGo . ได้อย่างมาก . เหตุผลก็คือผู้เขียนมัลแวร์รายอื่นใช้และปรับซอร์สโค้ดเพื่อวัตถุประสงค์เฉพาะและโจมตีแคมเปญ สิ่งนี้จะทำให้เราเตอร์และอุปกรณ์ IoT หลายล้านเครื่องได้รับผลกระทบอย่างไม่ต้องสงสัย แบรนด์ที่ได้รับผลกระทบจะต้องทำงานอย่างเต็มที่เพื่อแก้ไขจุดอ่อนและเผยแพร่การอัปเดตที่เกี่ยวข้องโดยเร็วที่สุดเพื่อปกป้องคอมพิวเตอร์เหล่านี้ นอกจากนี้ หนึ่งในเซิร์ฟเวอร์เพย์โหลดของ BotenaGo ยังระบุรายการช่องโหว่ของ Log4j ที่เพิ่งค้นพบอีกด้วย
สำหรับมัลแวร์ BotenaGo ประกอบด้วยโค้ดเพียง 2,891 บรรทัด และสามารถเป็นจุดเริ่มต้นที่ดีสำหรับตัวแปรใหม่ นอกจากนี้ การที่มันมาพร้อมกับช่องโหว่มากกว่า 30 จุดสำหรับเราเตอร์และอุปกรณ์ IoT หลายล้านเครื่อง ก็เป็นอีกปัจจัยหนึ่งที่ผู้เขียนมัลแวร์น่าจะมองว่าน่าสนใจ ท่ามกลางช่องโหว่มากมายที่ BotenaGo สามารถใช้ประโยชน์ได้ เราพบ:
- CVE-2015-2051 ที่ส่งผลต่อเราเตอร์ D-Link Wi-Fi บางตัว
- CVE-2016-1555 ส่งผลกระทบต่อผลิตภัณฑ์ Netgear
- CVE-2013-3307 บนอุปกรณ์ Linksys
- CVE-2014-2321 ที่ส่งผลต่อโมเด็มเคเบิล ZTE บางรุ่น
สุดท้าย ข้อเท็จจริงที่น่าเป็นห่วงคือตาม AT&T Alien Labs มีเพียงสามจาก 60 แอนตี้ไวรัส VirusTotal เท่านั้นที่สามารถตรวจจับมัลแวร์นี้ได้
