Telecamere di sicurezza, individuata la variante della botnet BotenaGo: cosa può succedere se colpisce i dispositivi
Virus, variante, ormai sono termini con i quali, purtroppo, abbiamo imparato a conoscere per via della pandemia di Covid-19. Il virus, però, non riguarda solo gli esseri umani perché la stessa parola la usiamo per una “malattia” che riguarda gli apparecchi elettronici.
È stata infatti individuata una variante della botnet BotenaGo che ha preso di mira i dispositivi DVR delle telecamere di sicurezza Lilin. Ma come la Delta (proveniente dall’India) del Coronavirus o Omicron, anche in questo caso i ricercatori hanno dato un nome ben preciso alla variante. Siccome colpisce proprio quelle telecamere si sicurezza è stato deciso di chiamarla variante Scanner Lilin.
Ricordiamo cos’è BotenaGo. Si tratta di un un malware scritto in Golang, il linguaggio di programmazione open source del motore di ricerca Google.
Viene considerato come uno dei codici malevoli più furtivi che fino ad oggi sono stati conosciuti ed è in grado di rimanere in esecuzione nei sistemi esposti senza che l’antivirus si accorga della sua pericolosissima presenza.
Il codice sorgente della botnet pare essere disponibile da circa sei mesi. Era ottobre del 2021 quando infatti era trapelato, portando così alla creazione di nuove varianti che si sono basate sul codice originale.
Lo scanner Lilin viene utilizzato per formare gli elenchi di indirizzi IP dei dispositivi che sono esposti e sfruttabili in rete, si baserebbe (condizionale d’obbligo) su uno strumento esterno di scansione massiva; utilizzerebbe alcuni servizi come Shodan o altri che sono simili ad esso.
Lo scanner invia richieste di POST HTTP verso le URL “/dvr/cmd” o “/cn/cmd” con l’obiettivo di sfruttare la vulnerabilità di iniezione di comandi nell’interfaccia della rete web che dispositivi che restano vittime.
Ma l’obiettivo finale qual è? Sembrerebbe essere quello di modificare la configurazione delle telecamere DVR Lilin facendo leva su una vecchia vulnerabilità di configurazione NTP (la Network Time Protocol) che riguarda in particolare proprio tali dispositivi. Quando l’attacco è stato completato, un’altra richiesta allo stesso endpoint provvederà a ripristinare la configurazione NTP originale.
C’è poi una terza fase dell’attacco affidato al dile wget.sh che si occuperò di scaricare ricorsivamente diversi eseguibili, coinvolgendo diverse architetture: ARM, Motorola 68000, MIPS, PowerPC, SPARC, SuperH e x86. Per tale motivo si sospetta e si teme che che l’exploit Lilin sarebbe solo il prima passo duna nuova ondata, molto più grande e pericolosa.