Ботнет Zerobot — это новый самораспространяющийся IoT-ботнет

Ботнет Zerobot — это новый самораспространяющийся IoT-ботнет который использует не один десяток эксплоитов для заражения умных устройств. Подвержены атаки большинство производителей маршрутизаторов, роутеров, камер наблюдения.  По словам экспертов из Fortinet которые делали анализ ботнета Zerobot он написан на популярном языке программирования Golang. Go очень молодой язык программирования, который разработала компания Google.

Использование уязвимостей в роутерах позволяет ему заражать новых жертв. Первый раз бот попал в поле зрение экспертов по безопасности в прошлом году, целью бы в основном linux устройства. На данный момент известно только о двух версиях IoT ботнета Zerobot. В самой первой версии троян был оснащен базовыми функциями, без модуля самораспространения. В последней версии появился этот модуль selfRepo который отвечает за самораспространение вируса. Атака производится с применением различных уязвимостей CVE. Были обнаружено 4 эксплоита для 0-day уязвимостей которых нету еще в базе данных. Две из которых активно применяются на терминалы GPON и маршрутизаторы D-Link.

Процесс заражения примитивен, как и во всех случаях с IoT устройствами. Как только вирус оказывается в системе, он подключается у правляющему серверу, передает информацию о жертве и ждет ответную команду. Zerobot использует модуль Antikill.

Список команд ботнета:

• ping – для поддержки подключения к C&C;
• attack – запускает DDoS атаку Поддерживает протоколы:  UDP, TCP, HTTP, ICMP, TLS;
• stop – останавливает DDoS атаку;
• update – устанавливает обновление и перезапускает вирус;
• enable_scan – запускает сканирование с целью заражения новых устройств по средствам уязвимотей;
• disable_scan – Останавливает сканирование;
• command – исполняет произвольную команду Linux;
• kill – “убивает” вредоноса.

Список CVE уязвимостей, которые поддерживает Zerobot

• CVE-2022-22965: Spring MVC и Spring WebFlux (уязвимость Spring4Shell);
• CVE-2020-10987: роутер Tenda AC15 AC1900;
• CVE-2017-17215: роутер Huawei HG523;
• CVE-2018-12613: phpMyAdmin;
• CVE-2021-35395: Realtek Jungle SDK;
• CVE-2020-25506: NAS D-Link DNS-320;
• CVE-2022-25075: роутер TOTOLink A3000RU;
• CVE-2021-36260: продукты Hikvision;
• CVE-2017-17106: веб-камеры Zivif PR115-204-P-RS;
• CVE-2021-46422: роутер Telesquare SDT-CW3B1;
• CVE-2022-01388: F5 BIG-IP;
• CVE-2022-26210: роутер TOTOLink A830R;
• CVE-2014-08361: miniigd SOAP сервис в Realtek SDK;
• CVE-2022-26186: роутер TOTOLink N600R;
• CVE-2022-30525: брандмауэр Zyxel USG Flex 100(W);
• CVE-2022-34538: камеры MEGApix IP;
• CVE-2022-37061: камеры с тепловизором FLIX AX8.

По мнению IT специалистов по безопасности из Fortinet, ботнет создавался для проведения DDoS-атак. Но не исключают его дальнейшие развитие и добавление модулей с расширением функционала.