Nyt HEH botnet kan slette routere og IoT-enheder

Af Eskil Sørensen, 08/10/20

Et nyt botnet har kode, der kan slette alle data i inficerede systemer

Sikkerhedsforskere ved Netlab, sikkerhedsafdelingen i den kinesisk techvirksomhed Qihoo 360, har fundet et nyt botnet, der truer data i routere, servere og IoT-enheder (Internet of Things). Det skriver ZDNet m.fl.

Der er tale om en såkaldt disk-wiping-funktion, der findes i koden, men som efter det oplyste ikke er blevet brugt endnu. Selve botnettet kan spredes ved brute-force angreb mod ethvert internetforbundet system, der har sine Telnet-porte (23 og 2323) eksponeret online. Det betyder, at hvis enheden bruger standard- eller Telnet-legitimationsoplysninger, der er lette at gætte, får botnettet adgang til systemet, hvor det straks downloader en fil, der installerer HEH-malwaren.

Også af denne grund bør man ikke have Telne-porte åbne ud mod internettet.

Første spredning så sletning

HEH-malwaren har ikke evnen til at starte DDoS-angreb, installere crypto miners eller kode til at køre proxyer og videresende trafik. Til gengæld indeholder den en funktion, der indfanger inficerede enheder og tvinger dem til at udføre Telnet-brute force-angreb over internettet, hvilket igen kan styrke spredningen af botnettet.

Funktionen gør det muligt for angribere at køre Shell-kommandoer på den inficerede enhed; det er en variation af dette, der udfører en liste over foruddefinerede Shell-operationer, der sletter alle enhedens partitioner.

Uklart formål

Ifølge ZDNet kan Netlab-forskere ikke fortælle – eftersom det er et nyt botnet - om wipe-funktionen er bevidst lavet, eller om det er et udtryk for dårlig kode. Men uanset dets formål, hvis denne funktion nogensinde bliver udløst, kan den resultere i hundreder eller tusinder af låste og ikke-fungerende enheder.

Dette kan omfatte hjemmeroutere, Internet of Things (IoT) enheder og endda Linux-servere. Botnet kan inficere alt med svagt sikrede Telnet-porte, selv Windows-systemer, men HEH-malware fungerer kun på Unix-platforme.

Da sletning af alle partitioner også omfatter enhedens firmware eller operativsystem, har denne handling potentialet til midlertidigt at blokere enheder - indtil deres firmware eller operativsystemer er geninstalleret. 

Links:

https://www.zdnet.com/article/new-heh-botnet-can-wipe-routers-and-iot-devices/

https://blog.netlab.360.com/heh-an-iot-p2p-botnet/

https://securityaffairs.co/wordpress/109186/hacking/heh-botnet.html