Une nouvelle variante d’un botnet IoT appelé BotenaGo a émergé dans la nature, distinguant spécifiquement les appareils DVR de caméra de sécurité Lilin pour les infecter avec le malware Mirai.

Surnommée « Lilin Scanner » par Nozomi Networks, la dernière version est conçue pour exploiter une vulnérabilité d’injection de commande critique vieille de deux ans dans le micrologiciel DVR qui a été corrigé par la société taïwanaise en février 2020.

BotenaGo, documenté pour la première fois en novembre 2021 par AT&T Alien Labs, est écrit en Golang et propose plus de 30 exploits pour les vulnérabilités connues des serveurs Web, des routeurs et d’autres types d’appareils IoT.

Le code source du botnet a depuis été téléchargé sur GitHub, ce qui le rend propice aux abus par d’autres acteurs criminels. « Avec seulement 2 891 lignes de code, BotenaGo a le potentiel d’être le point de départ de nombreuses nouvelles variantes et de nouvelles familles de logiciels malveillants utilisant son code source », ont déclaré les chercheurs cette année.

Le nouveau malware BotenaGo est le dernier à exploiter les vulnérabilités des appareils Lilin DVR après Chalubo, Fbot et Moobot. Plus tôt ce mois-ci, le laboratoire de recherche sur la sécurité du réseau de Qihoo 360 (360 Netlab) a détaillé un botnet DDoS à propagation rapide appelé Fodcha qui se propage à travers plusieurs failles N-Day, y compris celle de Lilin, et des mots de passe Telnet/SSH faibles.

Un aspect crucial qui distingue Lillin Scanner de BotenaGo est sa dépendance à un programme externe pour créer une liste d’adresses IP d’appareils Lilin vulnérables, exploitant ensuite la faille susmentionnée pour exécuter du code arbitraire à distance sur la cible et déployer des charges utiles Mirai.

Il convient de noter que le logiciel malveillant ne peut pas se propager à la manière d’un ver et ne peut être utilisé que pour frapper les adresses IP fournies en entrée avec les binaires Mirai.

« Un autre comportement associé au botnet Mirai est l’exclusion des plages d’adresses IP appartenant aux réseaux internes du département américain de la Défense (DoD), du service postal américain (USPS), de General Electric (GE), de Hewlett-Packard (HP), et d’autres », ont déclaré les chercheurs.

Comme Mirai, l’émergence de Lilin Scanner indique la réutilisation du code source facilement disponible pour engendrer de nouvelles ramifications de logiciels malveillants.

« Ses auteurs ont supprimé presque tous les 30+ exploits présents dans le code source original de BotenaGo », ont déclaré les chercheurs, ajoutant, « il semble que cet outil ait été rapidement construit en utilisant la base de code du malware BotenaGo ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *