BotenaGo: il malware open-source contro i dispositivi IoT

News
Visite: 6320

Il mondo IoT è l’attuale frontiera per le scorribande degli agenti di minaccia. La struttura minima dei software che realizzano i servizi in questo dominio, l’immaturità o mancanza di aggiornamento dei software stessi, l’immaturità in termini di sicurezza di chi realizza e utilizza questi strumenti in azienda o in casa, rende questi (quando esposti su Internet) oggetti e soggetti di attacchi: soggetti quando utilizzati come strumenti (loro malgrado) per attacchi DDoS riflessi, oggetti, come in questo caso, quando consentono il loro controllo remoto ed eventuale assimilazione in una BotNet. 

Un esempio classico è il caso dei dispositivi IoT che adottino ancora Boa come servizio web per l’implementazione delle sue interfacce (pubbliche): Boa è un server web open-source, piccolo e quindi dedicato alle applicazioni incapsulate nei dispositivi, ma è stato abbandonato fin dal 2005. 

La presenza su Internet di tali dispositivi è ampia, e questo è facilmente verificabile con strumenti di OSINT come il servizio online Shodan: abbiamo più di 2 milioni di obiettivi potenziali. 

E qui sta il nocciolo della questione: vulnerabilità come queste sono note e già facilmente e ampiamente sfruttabili da agenti di minaccia; ma quando a questo ci si aggiunge la costruzione di uno strumento open-source specifico per attaccare questa e altre vulnerabilità, il gioco si fa fin troppo semplice. 

È il caso di BotenaGo, un malware realizzato in Go, il linguaggio di programmazione open-source di Google, capace di sfruttare ben 30 vulnerabilità che ruotano attorno al mondo dell’IoT ed in particolare ai dispositivi di rete (router) domestici (D-Link, ZyXEL, ecc). L’uso del linguaggio Go non sembra affatto una novità nel panorama: fonti suggeriscono un incremento del 2000% nel numero di malware sviluppati in questo linguaggio, grazie probabilmente alla sua semplicità e capacità di lavorare su molti sistemi differenti. 

Il numero e anzianità delle vulnerabilità è impressionante: andiamo dalla CVE-2013-3307 alla CVE-2020-10987, con le restanti rilevate negli anni in questo intervallo. Questo indica chiaramente come il problema della sicurezza non sia affatto secondario in questi oggetti, che nascono e muoiono spesso con il livello di sicurezza che avevano in uscita dalla fabbrica. 

Il malware è stato segnalato dai laboratori AlienLabs (ex Alien Vault, ora AT&T) che ne ha esaminato struttura e tattiche di attacco. Ne ha ricavato una lunga lista di IoC (indicatori di compromissione), regole per l’intercettazione (firme per IDS come Snort o Suricata, anche prodotte da Emerging Threat). 

La cosa più evidente che emerge da questo malware è la creazione di una backdoor (porta 19412 e 31421) sul dispositivo attaccato. Cosa fare con questa backdoor è una parte del mistero, in quanto non è stata osservata alcuna attività con una C&C. L’ipotesi è che la comunicazione possa essere predisposta da moduli software (malware) presenti nella medesima macchia e dunque creare una specie di “malware connection”, una collaborazione tra malware che possa rendere operante questo strumento per conto di un altro. 

Le capacità di BotenaGo, ovvero le vulnerabilità che sfrutta, gli consentono di operare sulla vittima fino a eseguire comandi di sistema operativo, che per un router o altro dispositivo IoT significa ottenere tutto quanto è operativo nel dispositivo (non ci sono informazioni, non tante e significative per un’agente di minaccia). 

Viste le relazioni tra gli indirizzi utilizzati da BotenaGo per il payload ed il malware Mirai, si crede possa far parte dunque del medesimo ecosistema, ed esserne dunque il “braccio armato” nel mondo IoT. 

La verità è difficile da trovare al momento, probabilmente in quanto il malware è ancora allo stato embrionale, ma certe connessioni sono evidenziate dagli strumenti di difesa, che, benché non tutti siano in grado di rilevarlo (si nasconde bene), altri lo confondono proprio con Mirai (per alcuni IoC in comune). 

Ancora però non è chiara l’identità degli attori di minaccia che lo abbiano in uso o lo abbiano sviluppato, così come non è ancora chiara la dimensione completa della superficie di attacco, ovvero quali dispositivi possano essere vulnerabili a questo nuovo strumento. 

Quello che è chiaro è che, qualora i dispositivi IoT venissero attaccati da questo malware, diverrebbero zombie capaci di agire sia su Internet (compartecipando a campagne DDoS anche di natura estorsiva) o contro obiettivi aziendali (disponendo di un “piede” all’interno del perimetro e del pieno controllo di questo). 

Pin It

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta