Millionen von Routern und NAS anfällig für BotenaGo-Malware
Das Team von Alien Labs-Forschern von AT & T hat in der Sprache Go geschriebene Malware entdeckt, die Millionen von Routern, NAS und IoT-Geräten gefährdet. Es nutzt rund dreißig mehr oder weniger alte Exploits, die uns daran erinnern, dass Sicherheitspatches nach und nach installiert werden müssen.
Geld riecht nicht und Programmiersprachen auch nicht, insbesondere wenn es um Cyber-Angriffe geht. Neben JavaScript, ActionScript, C# und C++ wird auch Googles Go-Sprache zum Entwerfen von Malware verwendet, wie AT&Ts Sicherheitsforscher Alien Labs mit BotenaGo gerade gezeigt hat. „Mit über 30 Exploits bereitgestellt, hat es das Potenzial, auf Millionen von Routern und IoT-Geräten abzuzielen“, hat davor gewarnt in einem Blogbeitrag des Sicherheitsforschers Ofer Caspi. „Die Malware erstellt eine Hintertür und wartet darauf, ein Angriffsziel von einem Remote-Operator über Port 19412 oder ein anderes zugehöriges Modul, das auf demselben Computer ausgeführt wird, zu erhalten.“ Laut dem Anbieter von Sicherheitslösungen Intezer wird die Go-Sprache immer häufiger verwendet, um Cyberangriffe auf verschiedene Betriebsumgebungen, Geräte und Hardware durchzuführen.
Unter den dreißig Exploits, dank denen sich BotenaGo verbreiten kann, gibt es mehrere mehr oder weniger neue Fehler (einige stammen aus dem Jahr 2013). Die Fixes sind vorhanden, daher ist es mehr als dringend erforderlich, sie für Unternehmen oder Personen anzuwenden, die Router, NAS und IoT-Geräte verwenden, die diesem potenziellen Risiko ausgesetzt sind. Hier sind einige Fehler im Zusammenhang mit riskanten Materialien, die von AT&T identifiziert wurden: CVE-2020-8515 (DrayTek Vigor2960), CVE-2015-2051 (D-Link DIR-645), CVE-2016-1555 (Netgear WN604), CVE- 2013-3307 (Linksys X3000), CVE-2020-9377 (D-Link DIR-610), CVE-2020-10173 (Comtrend VR-3033), CVE-2019-19824 (TOTOLINK Realtek N302R), CVE-2020-9054 (Zyxel NAS542) …
Nutzlasten noch nicht analysiert
„Als Nutzlast wird BotenaGo Shell-Befehle remote auf Geräten ausführen, auf denen die Schwachstelle erfolgreich ausgenutzt wurde. Je nach infiziertem System verwendet die Malware unterschiedliche Links mit jeweils unterschiedlicher Nutzlast“, sagt Ofer Caspi. Zum Zeitpunkt der Analyse waren jedoch alle Payloads von den Servern entfernt, die von den Angreifern gehostet wurden, und Alien Labs war daher nicht in der Lage, sie zu analysieren. Der AT&T-Forscher stellt auch mehrere Hypothesen auf, um die Art und Weise zu erklären, wie BotenaGo mit Kommando- und Kontrollservern kommuniziert.
Die erste Hypothese wäre, dass diese Malware möglicherweise nur ein Infektionsmodul ist, das von einer globaleren Malware-Suite unterstützt wird. Dann könnte es sein, dass die Links, die bei einem erfolgreichen Angriff für die Nutzlast verwendet werden, sich auf das verstorbene Mirai beziehen. AT&T glaubt jedoch auch, dass sich diese Malware noch in der Beta-Phase befinden könnte und „versehentlich offengelegt wurde“, sodass einige nützliche Vorkehrungen getroffen werden müssen. Nämlich die neuesten Sicherheitsupdates installieren, Linux-Server und IoT-Terminals mindestens dem Internet aussetzen, eine richtig konfigurierte Firewall verwenden und den Netzwerkverkehr, ausgehende Port-Scans und unangemessene Bandbreitennutzung überwachen. Einfache Routineberatung, aber weit davon entfernt, systematisch angewendet zu werden.
