BotenaGo Botnet

Se ha identificado una nueva botnet llamada BotenaGo en estado salvaje. La amenaza tiene la capacidad de infectar millones de dispositivos y enrutadores IoT (Internet de las cosas) vulnerables. De hecho, después de analizar una muestra de la amenaza, los investigadores de AT&T descubrieron que podía explotar más de 33 vulnerabilidades encontradas en enrutadores, módems y dispositivos NAS. Algunas de las máquinas objetivo incluyen enrutadores D-link (a través de CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), enrutadores basados en Realtek SDK (CVE-2019-19824), módems ZTE (CVE-2014) -2321), dispositivos Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) y más.

Como su nombre sugiere, la botnet BotenaGo se crea utilizando el lenguaje de programación Go. Go ha ido ganando popularidad entre los ciberdelincuentes durante los últimos años, ya que ofrece una funcionalidad multiplataforma al tiempo que hace que las amenazas sean más difíciles de detectar y de realizar ingeniería inversa.

Funcionalidad amenazante

Cuando se implementa en el dispositivo objetivo, el malware BotenaGo establecerá rutinas de escucha en dos puertos específicos: 31412 y 194121. La amenaza está esperando que los atacantes le proporcionen una dirección IP. Al recibir una IP adecuada, BotenaGo procederá a ejecutar las vulnerabilidades de su exploit en un intento de obtener acceso. Luego, ejecutará varios comandos de shell para agregar el dispositivo a su botnet. La amenaza obtiene una carga útil adecuada para el dispositivo objetivo a través de varios enlaces diferentes.

Aún no operativo

Los investigadores no pudieron obtener ninguna carga útil del servidor de alojamiento y no detectaron ninguna comunicación entre BotneaGo y su servidor de Comando y Control (C2, C&C). No hay datos suficientes para una explicación concreta, pero los expertos en seguridad informática tienen tres escenarios posibles:

1. La botnet BotenaGo encontrada es solo uno de varios módulos que forman parte de un ataque de malware de múltiples etapas.
2. La amenaza podría ser una nueva herramienta que utilizan los operadores de Mirai. Esta conjetura está respaldada por varios enlaces que se utilizan para entregar cargas útiles.
3. La falta de comunicación C2 puede ser simplemente una señal de que BotenaGo aún no está listo para su implementación y la muestra capturada por los investigadores fue liberada accidentalmente.

Los usuarios y las empresas deben tomar nota de los IoC (indicadores de compromiso) de la amenaza e implementar suficientes contramedidas.