Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Исследователи из Alien Labs компании AT&T выявили новую вредоносную программу, нацеленную на сетевые и IoT-устройства. Linux-зловред с кодовым именем BotenaGo ищет потенциально уязвимые мишени и пытается применить эксплойты, коих у него более трех десятков.

На момент анализа написанные на Go боты, по словам экспертов, плохо детектились антивирусами. По состоянию на 14 ноября их распознают половина защитных решений из коллекции VirusTotal (29/60), некоторые — с вердиктом Mirai, но DDoS-функциональности у новобранца не обнаружено.

После запуска BotenaGo включает счетчик заражений, чтобы информировать оператора об успехах.

 

После этого вредонос ищет папку dlrs для загрузки своих шелл-скриптов. Если эта папка не найдена, он прекращает свою работу. В противном случае происходит вызов функции scannerInitExploits, отвечающей за подготовку площади атаки — сопоставление эксплойтов с сигнатурами целевых систем.

 

Сама атака происходит следующим образом: BotenaGo отправляет простой запрос GET, ищет в ответе знакомую строку (сигнатуру) и, обнаружив совпадение, пускает в ход эксплойт.

Список уязвимостей, используемых зловредом (только те, что имеют CVE-идентификатор), в разделении по производителям устройств:

Поиск по Shodan строки Server: Boa/0.93.15, которая для бота является сигналом к атаке, показал около 2 млн потенциально уязвимых устройств. Результаты по строке Basic realm=\"Broadband Router\, на которую вредонос реагирует эксплойтом CVE-2020-10173 для Comtrend VR-3033, оказались скромнее, но тоже впечатляющими — 250 тыс. потенциальных мишеней.

Команды BotenaGo получает двумя способами: прослушивает порты 31412 и 19412 (на последнем получает IP-адрес цели) или использует терминал системы. Так, при работе зловреда локально в виртуальной машине оператор может подавать команды через Telnet.

После успешного эксплойта бот по идее должен продолжать атаку, используя присланную ссылку. Однако определить его дальнейшие действия не удалось: к моменту анализа вся полезная нагрузка уже была удалена с сервера BotenaGo.

Из-за отсутствия активной связи зловреда с C2-сервером исследователям осталось только гадать о причинах его появления в интернете. По мнению Alien Labs, варианты могут быть такими:

  1. BotenaGo является частью тулкита; в этом случае должен существовать другой модуль, передающий ему IP-адреса целей или обновляющий такую информацию на C2. 
  2. Ссылки на полезную нагрузку говорят о связи с Mirai; не исключено, что BotenaGo — новый инструмент, который операторы Mirai задействуют лишь на определенных устройствах в составе ботнета, отдавая команды вручную. 
  3. BotenaGo проходит бета-тестирование, и его код случайно слили в Сеть.

Как бы то ни было, зловред с таким богатым арсеналом составляет большую угрозу для многочисленных устройств, прошивки которых редко обновляются. Эксперты предупреждают, что число эксплойтов, которыми оперирует BotenaGo, может со временем возрасти.

Заметим, для Mirai-подобных ботнетов и аналогов использование большого количества эксплойтов для наращивания потенциала — не редкость. Достаточно вспомнить Satori, Hakai, Mozi и совсем недавний Gitpaste-12.

В Иркутской области школьника удалили с ЕГЭ за умные очки с камерой

В Иркутской области выпускник решил зайти на ЕГЭ с технологическим апгрейдом и быстро пожалел об этом. Школьника удалили с экзамена после того, как наблюдатели заметили камеру в его умных очках.

Об этом сообщает телеграм-канал Baza. По данным издания, одиннадцатиклассник пришел на экзамен в очках, которые внешне выглядели как обычная оптика.

Однако наблюдатели, контролировавшие проведение ЕГЭ, заметили встроенную камеру. После этого у школьника забрали бланки, работу аннулировали, а самого выпускника вывели из аудитории.

Официальной причиной удаления указали использование средств связи. Для ЕГЭ это жесткое нарушение: на экзамене запрещены телефоны, умные устройства, камеры, наушники и любые гаджеты, которые могут использоваться для передачи или получения информации.

Самое неприятное для выпускника — пересдать экзамен он сможет только в следующем году.

В региональной комиссии этот случай уже назвали одним из самых технологичных за всю историю проведения ЕГЭ в Иркутской области.

История показывает, что экзаменационные аудитории постепенно превращаются в поле боя не только со шпаргалками, но и с носимыми гаджетами. Если раньше наблюдатели искали телефоны в карманах и записки в рукавах, теперь приходится внимательно смотреть даже на очки.

RSS: Новости на портале Anti-Malware.ru