ΑρχικήsecurityΤο HEH botnet αφαιρεί δεδομένα από routers, servers και IoT συσκευές!

Το HEH botnet αφαιρεί δεδομένα από routers, servers και IoT συσκευές!

Πρόσφατα, ερευνητές ασφαλείας του Netlab (το τμήμα ασφάλειας δικτύου του κινεζικού τεχνολογικού γίγαντα “Qihoo 360”), ανακάλυψαν ένα νέο botnet με την ονομασία HEH, το οποίο περιέχει κώδικα που μπορεί να αφαιρέσει όλα τα δεδομένα από μολυσμένα συστήματα, όπως routers, servers και IoT (Internet of Things) συσκευές. Το HEH botnet εξαπλώνεται μέσω brute-force επιθέσεων που διεξάγονται εναντίον οποιουδήποτε συνδεδεμένου στο διαδίκτυο συστήματος που έχει τις SSH θύρες (23 και 2323) του εκτεθειμένες στο διαδίκτυο.

Εάν η συσκευή χρησιμοποιεί προεπιλεγμένα SSH credentials ή SSH credentials που είναι εύκολο να τα μαντέψει κανείς, το botnet αποκτά πρόσβαση στο σύστημα-στόχο, όπου κατεβάζει αμέσως ένα από τα επτά δυαδικά αρχεία που εγκαθιστούν το HEH malware. Αυτό το malware δεν διαθέτει “επιθετικές” λειτουργίες, όπως για παράδειγμα την ικανότητα εκτέλεσης DDoS επιθέσεων, τη δυνατότητα εγκατάστασης crypto-miners ή κώδικα για την εκτέλεση proxies.

Όπως αναφέρει το ZDNet, τα μόνα χαρακτηριστικά που διαθέτει το συγκεκριμένο malware είναι μια λειτουργία που παγιδεύει τις μολυσμένες συσκευές και τις εξαναγκάζει να εκτελέσουν SSH brute-force επιθέσεις στο διαδίκτυο για να βοηθήσουν στην ενίσχυση του botnet. Αυτή η δυνατότητα επιτρέπει στους χάκερς να εκτελέσουν εντολές Shell στη μολυσμένη συσκευή. Την ίδια στιγμή, μια παραλλαγή αυτής της δεύτερης δυνατότητας που εκτελεί μια λίστα προκαθορισμένων λειτουργιών Shell, αφαιρεί όλα τα δεδομένα μιας συσκευής.

Το HEH αναλύθηκε για πρώτη φορά σε μια έκθεση που δημοσιεύθηκε χθες. Επειδή πρόκειται για ένα σχετικά νέο botnet, οι ερευνητές του Netlab δεν μπορούν να καταλάβουν εάν η λειτουργία αφαίρεσης δεδομένων συσκευών είναι σκόπιμη ή αν είναι απλώς μια ρουτίνα αυτοκαταστροφής με “κακή” κωδικοποίηση. Όμως, ανεξάρτητα από τον σκοπό του, εάν ενεργοποιηθεί αυτή η λειτουργία, θα μπορούσε να θέσει εκτός λειτουργίας εκατοντάδες ή και χιλιάδες συσκευές.

Το HEH botnet αφαιρεί δεδομένα από routers, servers και IoT συσκευές!

Το HeH στοχεύει μεταξύ άλλων οικιακά routers, έξυπνες IoT συσκευές και Linux servers. Το botnet μπορεί να μολύνει οτιδήποτε με θύρες SSH με χαμηλή ασφάλεια, ακόμη και συστήματα Windows. Ωστόσο, το HEH malware λειτουργεί μόνο σε πλατφόρμες * NIX.

Επιπλέον, το HeH επηρεάζει και το firmware ή το λειτουργικό σύστημα μιας συσκευής, έχοντας τη δυνατότητα να θέσει την συσκευή εκτός λειτουργίας, έως ότου επανεγκατασταθεί το firmware ή το λειτουργικό της σύστημα. Ορισμένοι κάτοχοι συσκευών ενδέχεται να μην ξέρουν πώς να επανεγκαταστήσουν firmware στον IoT εξοπλισμό τους και μπορεί απλώς να επιλέξουν να πετάξουν την παλιά συσκευή και να αγοράσουν μια καινούργια.

Το HEH botnet αφαιρεί δεδομένα από routers, servers και IoT συσκευές!

Το Netlab δήλωσε ότι εντόπισε δείγματα HEH που μπορούν να εκτελεστούν στις ακόλουθες αρχιτεκτονικές CPU x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) και PPC. Το botnet εξακολουθεί να εξαπλώνεται.

Το HEH, παρόλο που δεν έχει θέσει εκτός λειτουργίας καμία συσκευή μέχρι στιγμής, δεν θα ήταν το πρώτο botnet που αφαιρεί δεδομένα από IoT συσκευές, καθώς αυτό το έχουν κάνει και δύο άλλα botnets – το BirckerBot και το Silex.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS