به تازگی کد منبع یک رشته بدافزار مخربی که حاوی بیش از 30 اکسپلویت از روتر ها دستگاههای مختلف اینترنت اشیاء است در گیتهاب سر باز کرده است. این بدافزار موجب شده تا اکنون میلیونها دستگاه در معرض خطر باشند. با ما همراه شوید تا شما را از چند و چون ماجرا باخبر سازیم.
متخصصین امنیتی میگویند انتشار کد در Github میتوند به افزایش تعداد حملات سایبری منجر شود زیرا عوامل تهدید قادرند براحتی از آن برای کمپینهای حمله خود استفاده کرده و یا بر اساس آن رشته بدافزارهای جدیدی را طراحی کنند. AT&T Alien Labs اولین بار اواخر ماه نوامبر این بدافزار را که نامش BotenaGo است شناسایی کرد. این بدافزار به زبان برنامهنویسی منبع باز Golang گوگل نوشته شده است؛ بدینترتیب مهاجمین میتوانند روی سیستمهای دستکاریشده فرمانهای ریموت پوسته اجرا کنند. BotenaGo میزبان بیش از 30 اکسپلویت از آسیبپذیری موجود در فروشندگانی چون D-Link, Netgear, Linksys و Tenda است. این بدافزار برای هدف قرار دادن قربانیان به روشهای گوناگون، فرمانهایی را دریافت میکند. در یکی از سناریوها، بدافزار مذکور دو پورت بکدر را درست میکند تا آدرس آیپی تارگت را رصد کرده و این درحالیست که بقیه شامل بکارگیری یک شنود در سیستم ورودی I/O میشوند (از آن برای دریافت اینتل تارگت استفاده میشود). به نقل از محققین، گرچه این بدافزار میتواند از راه دور فرمانها را دریافت کند اما زیرساخت C&C (فرمان و کنترل) ندارد. با این وجود، گفته میشود این شرایط تغییر کرده است: یکی از سویههای جدید BotenaGo طوری طراحی شده که بتواند از سرور C&C استفاده کند. بر اساس گزارشها، لینکهای پیلود BotenaGo مشابه با آنچه است که توسط اپراتورهای بدافزار باتنت Mirai استفاده شده بود. برای همین محققین اکنون گمان میکنند عاملین تهدید Mirai از BotenaGo برای هدف قرار دادن دستگاههای شناختهشده و آسیبپذیری استفاده میکنند. علیرغم قاب سبکش (تنها 2981 خط کد) بدافزار تازهکشفشده دارای پانچ جدیای است: میزبان بیش از 30 اکسپلویت آسیبپذیری در دستگاههای ریموت. اینها شامل موارد زیر میشوند (البته محدود به همینها هم نخواهند بود):
نکته مهم اینکه این بدافزار همچنین نرخ پایین شناسایی را از آن خود کرده است: در زمان شناساییاش تنها سه آنتیویروس (از 60 آنتی ویروس) توانستند نمونههای جدید BotenaGo را شناسایی کنند.