Le laboratoire de cybersécurité AlienLabs du fournisseur américain AT&T a détecté un logiciel malveillant qui utilise plus de 30 exploits pour compromettre les appareils et routeurs de l’Internet des objets. D’après le rapport d’analyse du laboratoire, il s’agit probablement d’une version bêta précoce du logiciel malveillant diffusée accidentellement, qui présente également des signes d’un lien avec le botnet Mirai.

Dans le rapport détaillé, les chercheurs en sécurité informatique décrivent les caractéristiques particulières du malware. Par exemple, les programmeurs du logiciel malveillant utilisent le langage de programmation Go de Google, ce qui explique pourquoi les analystes ont choisi le nom de BotenaGo pour le désigner. Ils mentionnent également que, selon un article de blog d’Intezer, l’utilisation du langage Go parmi les logiciels malveillants découverts dans la nature a augmenté de 2 000 % au cours des dernières années.

Le logiciel malveillant met en place une porte dérobée sur les ports 19412 et 31412 et y attend les commandes des opérateurs du botnet, mais il peut également être contrôlé par d’autres modules. Dans l’intervalle, on ne sait toujours pas qui est à l’origine du malware et combien d’appareils ont déjà été attaqués et infectés.

Au moment de la publication de l’article, le taux de détection est encore faible – 28 des 61 scanners sur Virustotal détectent le malware. Comme les liens vers la charge utile ressemblaient à ceux du malware Mirai, certains scanners reconnaissent le malware comme une variante de celui-ci. Toutefois, selon les chercheurs en sécurité d’AT&T, le langage de programmation, le déni de service distribué (DDoS) et les fonctions d’attaque sont différents, de sorte qu’ils supposent une nouvelle famille de logiciels malveillants.

Évolution de l’infection

Le rapport explique ensuite les mécanismes exacts de l’infection. Le logiciel malveillant recherche un répertoire spécifique afin de s’attacher aux scripts qui s’y trouvent et se termine si le répertoire n’est pas présent. S’il continue à fonctionner, le logiciel malveillant recherche ensuite les fonctions vulnérables à l’aide de certaines chaînes de caractères – une sorte d’analyse de signature. Ces chaînes peuvent être un retour d’information sur les versions des serveurs, que BotenaGo peut utiliser pour identifier une fonction vulnérable et utiliser un exploit approprié contre elle.

En prenant l’exemple de la signature « Server : Boa/0.93.15 » pour un service vulnérable sur les dispositifs IoT et les routeurs, les chercheurs en sécurité ont interrogé la base de données Shodan et ont reçu près de deux millions de résultats, c’est-à-dire des dispositifs potentiellement vulnérables. Pour la signature « Basic realm= »Broadband Router » », la base de données Shodan répertoriait encore 250 000 résultats. Selon le rapport, BotenaGo peut attaquer un total de 33 services et fonctions vulnérables. Le malware ouvre deux ports pour une porte dérobée, 31412 et 19412. Pour ce dernier port, les chercheurs montrent comment il peut être utilisé pour lancer une attaque DDoS sur une adresse IP et un numéro de port.

La communication active avec un serveur de commande et de contrôle (C&C) ne semble pas avoir lieu. Le rapport spécule sur le mode de fonctionnement possible des opérateurs de botnet : BotenaGo n’est qu’une partie d’une suite de logiciels malveillants et la communication C&C est gérée par un autre module. Ou bien il s’agit en fait d’un successeur de Mirai, les opérateurs ciblant des adresses IP connues infectées par Mirai. La troisième possibilité est qu’il s’agisse d’une fuite accidentelle d’un malware bêta.

Les experts en sécurité informatique énumèrent les numéros CVE et les dispositifs affectés par les vulnérabilités dans leur rapport – les reproduire ici dépasserait le cadre du rapport. La ligne de conduite recommandée dans le rapport est d’installer les mises à jour disponibles, d’exploiter les dispositifs de l’Internet des objets et les serveurs Linux avec une surface d’attaque aussi réduite que possible sur l’Internet public, et d’observer le trafic réseau, de surveiller les scans de ports sortants et l’utilisation inhabituelle de la bande passante.

Étant donné qu’il n’y a plus de mises à jour pour divers routeurs et appareils IoT plus anciens, du point de vue de la sécurité, nous ne pouvons que recommander de passer aux appareils actuels qui bénéficient encore du soutien du fabricant et donc des mises à jour de sécurité.