Güvenlik kamera sistemleri için özel olarak DVR’yi hedefleyen BotenaGo kötü amaçlı yazılımının yeni bir çeşidi, güvenlik araştırmacıları tarafından keşfedildi.
Bilmeyenler için BotenaGo, Google’ın açık kaynaklı Golang programlama dilinde yazılmış nispeten yeni bir kötü amaçlı yazılımdır. Başlangıçta botnet oluşturmak amacıyla IoT cihazlarını hedeflemek için kullanılırken, BotenaGo’nun kaynak kodu geçen yılın Ekim ayında çevrimiçi olarak sızdırıldı.
O zamandan beri, siber suçlular kötü amaçlı yazılımın birkaç yeni çeşidini geliştirirken aynı zamanda milyonlarca bağlı cihazı hedef alan yeni istismarlar ekleyerek orijinali iyileştirdi.
Şimdi ise Nozomi Networks Labs, sızdırılan kaynak kodundan türetilmiş gibi görünen yeni bir varyant keşfetti. Ancak, firmanın güvenlik araştırmacıları tarafından analiz edilen örnek, yalnızca Lilin güvenlik kamerası DVR cihazlarını hedef alıyor, bu nedenle “Lillin tarayıcı” olarak adlandırıldı.
Lillin BotenaGo varyantı
Lillin tarayıcıyı orijinal BotenaGo kötü amaçlı yazılımından ayıran bir başka şey de, varyantın şu anda VirusTotal’daki her antivirüs motoru tarafından algılanmamasıdır.
göre rapor itibaren BleeBilgisayar, bunun nedeni kötü amaçlı yazılım varyantının yazarlarının orijinal BotenaGo’da bulunan tüm açıkları kaldırmış olması olabilir. Bunun yerine, kötü amaçlı yazılımı, iki yıllık kritik bir uzaktan kod yürütme güvenlik açığından yararlanarak yalnızca Lilin DVR’lere odaklanmak üzere yazdılar. Potansiyel hedefler için daha küçük bir ağ oluşturmak, bu durumda, vahşi ortamda hala önemli sayıda yama uygulanmamış Lilin DVR cihazı olduğu için mantıklıdır.
BotenaGo ve Lillin tarayıcı arasındaki ek bir önemli fark, yeni kötü amaçlı yazılım varyantının, savunmasız cihazların IP adreslerinin listelerini oluşturmak için harici bir toplu tarama aracını kullanmasıdır. Nozomi’nin araştırmacıları, makalelerindeki gerçeği de vurgulamaktadır. Blog yazısı Lillin tarayıcının arkasındaki siber suçluların, onu ABD Savunma Bakanlığı (DOD), ABD Posta Servisi (USPS), General Electric, Hewlett Packard ve diğer işletmelere ait IP adreslerine bulaşmasını önlemek için özel olarak programladıkları konusunda.
Güvenlik açığı olan bir cihaza Lillin tarayıcısı bulaştığında, Mirai yükleri indirilir ve üzerinde çalıştırılır. Yine de, bu yeni BotenaGo varyantı, yalnızca belirli bir üreticinin cihazlarını hedef aldığı için çok büyük bir tehdit değil.
Aracılığıyla BleeBilgisayar