Sicurezza

Iot Security: si chiama BotenaGo la nuova minaccia per router e dispositivi

Forse un malware sperimentale, forse una variante di Mirai. Per quanto poco si sappia al momento di BotenaGo, è chiaro che si tratta di una minaccia da non sottovalutare non solo per la sicurezza dei dispositivi IoT, ma anche per le reti aziendali

Pubblicato il 16 Nov 2021

cybersecurity

Si chiama BotenaGo, è stata rilevata dai ricercatori degli AT&T Labs ed è una nuova minaccia indirizzata in modo specifico ai dispositivi IoT.

È di fatto un malware che ha come obiettivo router e dispositivi IoT e sfrutta più di 30 metodi di exploit per compromettere i dispositivi target. Il che significa, sostengono i ricercatori del Lab, milioni di dispositivi sui quali potenzialmente distribuire payload di malware difficili da rilevare e decodificare.

BotenaGo: un malware sperimentale?

Secondo quanto si sa al momento, BotenaGo sarebbe un malware ancora in fase sperimentale e sarebbe stato rilasciato per errore.
Sperimentale o meno, in ogni caso sembrerebbe trattarsi di una variante del malware Mirai che crea una backdoor e attende di ricevere un obiettivo da attaccare da un operatore remoto  attraverso le porte 31412 e 19412 o da un altro modulo correlato in esecuzione sulla stessa macchina.
Il codice sarebbe stato scritto utilizzando Go, o Golang, un linguaggio di programmazione open source progettato da Google, che pare stia riscuotendo parecchio interesse e popolarità tra i creatori di malware (tanto da registrare crescite del 2000% dei casi di utilizzo, secondo quanto emerge da alcune analisi recenti) in ragione della facilità di compilazione dello stesso codice per sistemi diversi, che rende più semplice per gli aggressori diffondere malware su più sistemi operativi.

Come funziona BotenaGo

Stando a quanto scrivono i tecnici dei Labs, un BotenaGo Exploit inizia con la scansione delle vulnerabilità online e con la mappatura delle potenziali vittime e delle funzioni verso le quali lanciare l’attacco.
Una volta completate queste fasi preliminari, il malware interroga dispositivo il target con una richiesta GET e sulla base dei dati restituiti da quel momento inizia a sfruttarlo. Gli aggressori BotenaGo sfruttano principalmente le vulnerabilità nei dispositivi connessi ed eseguono script shell remoti e sono in grado di utilizzare payload differenti in base al dispositivo preso di mira.

Al momento non è chiaro se BotenaGo debba essere considerato come una componente di un attacco malware modulare, strutturato in più stadi, oppure se possa essere considerato a tutti gli effetti un nuovo strumento, utilizzato dagli operatori Mirai per aggredire macchine specifiche.

I rischi legati a BotenaGo

Proprio in ragione della sua capacità di sfruttare i dispositivi collegati tramite porte Internet, BotenaGo può essere potenzialmente pericoloso per le reti aziendali, cui può accedere tramite dispositivi vulnerabili. Di fatto, può utilizzare i dispositivi target come piattaforma dalla quale lanciare altri attacchi, sottolineano molti analisti.
In attesa di dai e analisi più precisi, al momento l’unica cosa che si può affermare con ragionevole certezza è che, dato il numero di vulnerabilità di cui può trarre vantaggio, BotenaGo è la lampante dimostrazione di quanto l’IoT security sia un tema oggi non più trascurabile e di come sia importante mantenere IoT e router aggiornati con il firmware e le patch più recenti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4