I ricercatori di Netlab hanno scoperto una nuova botnet, denominata come HEH Botnet, che consente di cancellare tutti i dati dai sistemi infetti, come router, dispositivi IoT e server. Il loro sistema di rilevamento delle minacce, 360Netlab, ha acquisito un lotto di campioni sconosciuti che supporta architetture CPU ampie, tra cui x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) e PPC. La botnet è scritta in linguaggio Go, utilizza il protocollo P2P e mira i sistemi con porte SSH (23 e 2323) esposte online lanciando attacchi di brute force.
Gli esperti hanno osservato che si sta diffondendo attraverso la brute force del servizio Telnet sulle porte 23/2323, il che significa che il bot non si preoccupa di quali siano i dispositivi finali, bensì di poter entrare nel dispositivo così da tentare di infettare il bersaglio. Dopo aver ottenuto l’accesso il bot scarica uno dei sette file binari che installano il malware HEH.
HEH contiene tre moduli funzionali: modulo di propagazione, modulo di servizio HTTP locale e modulo P2P.
I ricercatori hanno anche rilevato e sottolineano che non può lanciare attacchi DDoS o mine cryptocurrency, il che suggerisce che il malware è in fase di sviluppo.
“Al momento, le funzioni più utili per l’intera Botnet sono l’esecuzione dei comandi della Shell, l’aggiornamento dell’elenco dei peer e UpdateBotFile. La funzione Attack nel codice è solo una funzione vuota riservata e non è stata implementata. Si può vedere che la Botnet è ancora in fase di sviluppo. Vedremo cosa escogiterà l’autore con la funzione Attack“, si legge nell’analisi pubblicata dai ricercatori.
“La funzione per analizzare Bot Cmd in Bot è main.executeCommand (), la caratteristica più notevole notata dagli esperti relativa a un cmd con numero di codice 8 . Quando il bot riceverà questo comando proverà a cancellare il contenuto dei dischi tramite una serie di comandi Shell.
ll malware è in grado di cancellare i contenuti da router domestici, dispositivi intelligenti Internet of Things (IoT) e server Linux”.
Anche se HEH Botnet si sta diffondendo, i ricercatori hanno osservato che ha grossi problemi nella sua implementazione, ad esempio, l’implementazione P2P ha ancora dei difetti.
“Detto questo, la struttura P2P nuova e in via di sviluppo, il supporto dell’architettura di CPU multiple, la funzione di autodistruzione incorporata, rendono questa botnet potenzialmente pericolosa”, conclude il post.
https://securityaffairs.co/wordpress/109186/hacking/heh-botnet.html
https://blog.netlab.360.com/heh-an-iot-p2p-botnet/
