Une nouvelle variante d’un botnet IoT appelé BotenaGo a émergé dans la nature, distinguant spécifiquement les appareils DVR de caméra de sécurité Lilin pour les infecter avec le malware Mirai.
Surnommé « Numériseur Lilin » par Nozomi Networks, le dernière version est conçu pour exploiter une critique vieille de deux ans vulnérabilité d’injection de commande dans le firmware du DVR qui a été corrigé par la société taïwanaise en février 2020.
BotenaGo, documenté pour la première fois en novembre 2021 par AT&T Alien Labs, est écrit en Golang et propose plus de 30 exploits pour les vulnérabilités connues des serveurs Web, des routeurs et d’autres types d’appareils IoT.
Le code source du botnet a depuis été téléchargé sur GitHub, ce qui le rend propice aux abus par d’autres acteurs criminels. « Avec seulement 2 891 lignes de code, BotenaGo a le potentiel d’être le point de départ de nombreuses nouvelles variantes et de nouvelles familles de logiciels malveillants utilisant son code source », ont déclaré les chercheurs cette année.
Le nouveau malware BotenaGo est le dernier pour exploiter les vulnérabilités des appareils Lilin DVR après Chalubo, Fbot et Moobot. Plus tôt ce mois-ci, le laboratoire de recherche sur la sécurité du réseau de Qihoo 360 (360 Netlab) a détaillé un botnet DDoS à propagation rapide appelé Fodcha qui s’est propagé à travers différentes failles N-Day et des mots de passe Telnet/SSH faibles.
Un aspect crucial qui distingue Lillin Scanner de BotenaGo est sa dépendance à un programme externe pour créer une liste d’adresses IP d’appareils Lilin vulnérables, exploitant ensuite la faille susmentionnée pour exécuter du code arbitraire à distance sur la cible et déployer des charges utiles Mirai.
Il convient de noter que le logiciel malveillant ne peut pas se propager à la manière d’un ver et ne peut être utilisé que pour frapper les adresses IP fournies en entrée avec les binaires Mirai.
« Un autre comportement associé au botnet Mirai est l’exclusion des plages d’adresses IP appartenant aux réseaux internes du département américain de la Défense (DoD), du service postal américain (USPS), de General Electric (GE), de Hewlett-Packard (HP), et d’autres », ont déclaré les chercheurs.
Comme Mirai, l’émergence de Lilin Scanner indique la réutilisation du code source facilement disponible pour engendrer de nouvelles ramifications de logiciels malveillants.
« Ses auteurs ont supprimé presque tous les 30+ exploits présents dans le code source original de BotenaGo », ont déclaré les chercheurs, ajoutant, « il semble que cet outil ait été rapidement construit en utilisant la base de code du malware BotenaGo ».