È stata identificata una variante della botnet BotenaGo che sta prendendo di mira i dispositivi DVR delle telecamere di sicurezza Lilin. Per questo motivo, i ricercatori di sicurezza hanno deciso di chiamare la nuova variante Scanner Lilin. Lilin sarebbe anche il nome utilizzato dagli sviluppatori nel codice sorgente /root/lillin.go.
BotenaGo, lo ricordiamo, è un malware relativamente nuovo scritto in Golang, il linguaggio di programmazione open source di Google.
Si tratta di uno dei codici malevoli più furtivi visto finora, in grado di rimanere in esecuzione nei sistemi esposti senza essere rilevato dagli antivirus.
Il codice sorgente della botnet risulta disponibile pubblicamente da circa sei mesi dopo essere stato trapelato nell’ottobre 2021. Ciò avrebbe portato alla creazione di nuove varianti basate sul codice originale.
Indice degli argomenti
La vulnerabilità sfruttata dalla variante di BotenaGo
Lo scanner Lilin, variante di BotenaGo utilizzato per formare gli elenchi di indirizzi IP di dispositivi esposti sfruttabili in Rete, si baserebbe su uno strumento esterno di scansione massiva (utilizzando servizi come Shodan o altri strumenti simili).
Solo successivamente, il malware utilizzerebbe una funzione dedicata (infectFunctionLilinDvr) per infettare tutti gli indirizzi IP validi e accessibili tramite stringhe di testo tratte da un elenco di 11 coppie di credenziali (username:password) codificate in Base64, e forzare così un’autenticazione semplice.
In particolare, lo scanner invierà richieste POST HTTP verso le URL “/dvr/cmd” o “/cn/cmd” al fine di sfruttare una vulnerabilità di iniezione di comandi nell’interfaccia web dei dispositivi colpiti.
L’obiettivo sarebbe quello di modificare la configurazione delle telecamere DVR Lilin, sfruttando una vecchia vulnerabilità di configurazione NTP (Network Time Protocol) che interessa proprio tali dispositivi, scoperta nel 2020 e avente un punteggio CVSS v3.1 critico (10.0).
Qualora l’operazione avesse esito positivo, la nuova configurazione eseguirà un comando wget per scaricare il file wget.sh dall’indirizzo 136.144.41[.]169 ed eseguirlo.
Una volta completato l’attacco, un’altra richiesta allo stesso endpoint ripristinerà la configurazione NTP originale.
L’attacco di terza fase
Il file wget.sh avrà il compito di avviare una terza fase dell’attacco scaricando ricorsivamente diversi eseguibili, coinvolgendo diverse architetture: ARM, Motorola 68000, MIPS, PowerPC, SPARC, SuperH e x86.
Per tutti questi motivi i ricercatori ritengono che l’exploit Lilin fungerebbe principalmente da trampolino di lancio per un’ondata di infezione molto più ampia.
Le similitudini dei payload con la famiglia Mirai
L’analisi condotta sui campioni eseguibili e scaricati avrebbe rivelato inoltre alcune similitudini appartenenti alla famiglia di malware Mirai:
- l’utilizzo per l’attacco a forza bruta di un elenco di credenziali hardcoded;
- l’esclusione degli intervalli IP appartenenti alle reti interne del Dipartimento della Difesa statunitense (DoD), US Postal Service (USPS), General Electric (GE) e Hewlett-Packard (HP);
Conclusioni
La caratteristica più notevole di questa variante di BotenaGo (Lillin) è che al momento della stesura di questo articolo presenta ancora un tasso di rilevazione quasi nullo sulla piattaforma di scansione VirusTotal.
Secondo i ricercatori, questo potrebbe essere dovuto al fatto che “i suoi autori hanno rimosso quasi tutti gli oltre 30 exploit presenti nel codice sorgente originale di BotenaGo e hanno riutilizzato alcune parti per sfruttare una vulnerabilità diversa vecchia di due anni”.
Inoltre, continuano: “l’assenza di qualsiasi protezione [da parte del malware] indica che non sta effettivamente cercando di proteggersi da prodotti di sicurezza e reverse engineer. Rafforza [solo] la teoria secondo cui questo eseguibile potrebbe essere inteso principalmente per essere utilizzato dagli attaccanti in modalità manuale”.
In ogni caso per prevenire un’infezione da qualsiasi malware botnet occorre senza dubbio:
- prestare sempre la massima attenzione ai download sospetti;
- evitare di lasciare esposti su internet dispositivi senza una adeguata protezione;
- aggiornare sempre software e patch di sicurezza.
