Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Исследователи из Alien Labs компании AT&T выявили новую вредоносную программу, нацеленную на сетевые и IoT-устройства. Linux-зловред с кодовым именем BotenaGo ищет потенциально уязвимые мишени и пытается применить эксплойты, коих у него более трех десятков.

На момент анализа написанные на Go боты, по словам экспертов, плохо детектились антивирусами. По состоянию на 14 ноября их распознают половина защитных решений из коллекции VirusTotal (29/60), некоторые — с вердиктом Mirai, но DDoS-функциональности у новобранца не обнаружено.

После запуска BotenaGo включает счетчик заражений, чтобы информировать оператора об успехах.

 

После этого вредонос ищет папку dlrs для загрузки своих шелл-скриптов. Если эта папка не найдена, он прекращает свою работу. В противном случае происходит вызов функции scannerInitExploits, отвечающей за подготовку площади атаки — сопоставление эксплойтов с сигнатурами целевых систем.

 

Сама атака происходит следующим образом: BotenaGo отправляет простой запрос GET, ищет в ответе знакомую строку (сигнатуру) и, обнаружив совпадение, пускает в ход эксплойт.

Список уязвимостей, используемых зловредом (только те, что имеют CVE-идентификатор), в разделении по производителям устройств:

Поиск по Shodan строки Server: Boa/0.93.15, которая для бота является сигналом к атаке, показал около 2 млн потенциально уязвимых устройств. Результаты по строке Basic realm=\"Broadband Router\, на которую вредонос реагирует эксплойтом CVE-2020-10173 для Comtrend VR-3033, оказались скромнее, но тоже впечатляющими — 250 тыс. потенциальных мишеней.

Команды BotenaGo получает двумя способами: прослушивает порты 31412 и 19412 (на последнем получает IP-адрес цели) или использует терминал системы. Так, при работе зловреда локально в виртуальной машине оператор может подавать команды через Telnet.

После успешного эксплойта бот по идее должен продолжать атаку, используя присланную ссылку. Однако определить его дальнейшие действия не удалось: к моменту анализа вся полезная нагрузка уже была удалена с сервера BotenaGo.

Из-за отсутствия активной связи зловреда с C2-сервером исследователям осталось только гадать о причинах его появления в интернете. По мнению Alien Labs, варианты могут быть такими:

  1. BotenaGo является частью тулкита; в этом случае должен существовать другой модуль, передающий ему IP-адреса целей или обновляющий такую информацию на C2. 
  2. Ссылки на полезную нагрузку говорят о связи с Mirai; не исключено, что BotenaGo — новый инструмент, который операторы Mirai задействуют лишь на определенных устройствах в составе ботнета, отдавая команды вручную. 
  3. BotenaGo проходит бета-тестирование, и его код случайно слили в Сеть.

Как бы то ни было, зловред с таким богатым арсеналом составляет большую угрозу для многочисленных устройств, прошивки которых редко обновляются. Эксперты предупреждают, что число эксплойтов, которыми оперирует BotenaGo, может со временем возрасти.

Заметим, для Mirai-подобных ботнетов и аналогов использование большого количества эксплойтов для наращивания потенциала — не редкость. Достаточно вспомнить Satori, Hakai, Mozi и совсем недавний Gitpaste-12.

Минцифры чаще всего отказывает российскому ПО из-за иностранного софта

Главным врагом российских разработчиков при попытке попасть в реестр отечественного ПО оказались не документы и даже не интерфейс, а иностранные компоненты внутри продукта.

Пользователь Хабра ksalnikova проанализировала 115 отказных заключений Минцифры, вынесенных с марта по июнь 2026 года. В 60% случаев причиной стали зарубежные компоненты с экспортными или лицензионными ограничениями.

Абсолютные лидеры антирейтинга — NVIDIA CUDA, упомянутая в 14 отказах, а также CentOS и Red Hat Enterprise Linux — по 12 случаев. Причем проблемный софт нередко прятался внутри Docker-контейнеров, о составе которых сами разработчики, похоже, вспоминали только после отказа.

 

Также под удар попадали Windows Server, Oracle Linux, VMware, Microsoft SQL Server, Oracle JDK и даже Microsoft Office. В отдельных случаях заявители сами указывали иностранную платформу как обязательную для работы продукта — и фактически приносили экспертам готовое основание для отказа.

 

Каждый шестой провал оказался еще обиднее: эксперт просто не смог запустить программу. Где-то не распаковался архив, где-то протух сертификат, не работал SSH или инструкция заканчивалась раньше, чем начиналась установка.

Еще 16% отказов связаны с зависимостью от зарубежных сервисов. Среди них GitHub, Telegram, Steam, AWS, OpenAI, DeepSeek и даже Google Fonts. Если без внешней платформы продукт превращается в тыкву, отечественным его признавать не спешат.

В список причин также вошли хранение кода за пределами России, отсутствие русского интерфейса, проблемы с правами на продукт и нарушения лицензий.

RSS: Новости на портале Anti-Malware.ru