L'argent n'a pas d'odeur, les langages de programmation non plus, surtout lorsqu'il s'agit de mener des cyberattaques. Outre JavaScript, ActionScript, C# et C++, le langage Go de Google est aussi mis à contribution pour concevoir des malwares, comme vient de le montrer l'équipe de chercheurs en sécurité Alien Labs d'AT&T avec BotenaGo. « Déployé avec plus de 30 exploits, il a le potentiel de cibler des millions de routeurs et d'appareils IoT », a prévenu dans un billet de blog le chercheur en sécurité Ofer Caspi. « Le malware crée une porte dérobée et attend de recevoir une cible à attaquer d'un opérateur distant via le port 19412 ou d'un autre module associé exécuté sur la même machine ». Selon le fournisseur de solutions de sécurité Intezer, le langage Go commence à être de plus en plus utilisé pour mener des cyberattaques sur différents environnements d'exploitation, terminaux et matériels.

Parmi la trentaine d'exploits grâce auquel BotenaGo peut se répandre, on trouve de multiples failles plus ou moins récentes (certaines remontent à 2013). Les correctifs existent, il est donc plus qu'urgent de les appliquer pour les entreprises ou les personnes utilisant des routeurs, NAS et périphériques IoT exposés par ce risque potentiel. Voici quelques failles, associées aux matériels à risque, identifiés par AT&T : CVE-2020-8515 (DrayTek Vigor2960), CVE-2015-2051(D-Link DIR-645), CVE-2016-1555 (Netgear WN604), CVE-2013-3307 (Linksys X3000), CVE-2020-9377 (D-Link DIR-610), CVE-2020-10173 (Comtrend VR-3033), CVE-2019-19824 (TOTOLINK Realtek N302R), CVE-2020-9054 (Zyxel NAS542)... 

Des charges utiles pas encore analysées

« En tant que charge utile, BotenaGo exécutera des commandes shell à distance sur les appareils sur lesquels la vulnérabilité a été exploitée avec succès. Selon le système infecté, le malware utilise différents liens, chacun avec une charge utile différente », explique Ofer Caspi. Néanmoins, au moment de l'analyse, toutes les charges utiles avaient été supprimées des serveurs hébergés par le ou les attaquants, et Alien Labs n'a donc pu analyser aucune d'entre elles. Le chercheur d'AT&T avance par ailleurs plusieurs hypothèses pour expliquer la façon dont BotenaGo communique avec des serveurs de commande et de contrôle.

La première hypothèse serait que ce malware n'est peut être qu'un module d'infection adossé à une suite plus globale de logiciels malveillants. Ensuite, il se pourrait que les liens utilisés pour la charge utile lors d'une attaque réussie soient en rapport avec le défunt Mirai. Mais AT&T pense aussi que ce malware pourrait être encore en phase bêta et a été « accidentellement divulgué », nécessitant donc de prendre quelques précieuses précautions d'usage. A savoir, appliquer les dernières mises à jour de sécurité, exposer a minima sur Internet les serveurs Linux et terminaux IoT, recourir à un pare-feu correctement configuré et surveiller le trafic réseau, les analyses de ports sortants et l'utilisation déraisonnable de bande passante. Des conseils simples de routine mais pourtant loin d'être systématiquement appliqués.