Các nhà nghiên cứu an ninh mạng đã tóm gọn một mạng botnet mới đang tấn công các thiết bị thông minh được kết nối Internet để thực hiện các nhiệm vụ bất chính, chủ yếu là các cuộc tấn công DDoS và khai thác tiền điện tử bất hợp pháp.
Được phát hiện bởi nhóm bảo mật Netlab của Qihoo 360, HEH Botnet – được viết bằng ngôn ngữ Go và được trang bị giao thức ngang hàng (P2P) độc quyền, lây lan qua một cuộc tấn công brute-force của dịch vụ Telnet trên các cổng 23/2323 và có thể thực hiện các lệnh shell tùy ý.
Các nhà nghiên cứu cho biết các mẫu botnet HEH được phát hiện cho đến nay hỗ trợ nhiều loại kiến trúc CPU, bao gồm x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) và PowerPC (PPC).
Mạng botnet, mặc dù đang trong giai đoạn phát triển ban đầu, đi kèm với ba mô-đun chức năng: một mô-đun truyền bá, một mô-đun dịch vụ HTTP cục bộ và một mô-đun P2P.
Ban đầu được tải xuống và thực thi bởi một tập lệnh Shell độc hại có tên “wpqnbw.txt”, mẫu HEH sau đó sử dụng tập lệnh Shell để tải xuống các chương trình giả mạo cho tất cả các kiến trúc CPU khác nhau từ một trang web (“pomf.cat”), trước khi cuối cùng chấm dứt một số quy trình dịch vụ dựa trên số cổng của chúng.
Giai đoạn thứ hai bắt đầu với mẫu HEH bắt đầu một máy chủ HTTP hiển thị Tuyên ngôn Nhân quyền Toàn cầu bằng tám ngôn ngữ khác nhau và sau đó khởi tạo mô-đun P2P để theo dõi các đối tượng bị nhiễm và cho phép kẻ tấn công chạy các lệnh shell tùy ý, bao gồm khả năng để xóa tất cả dữ liệu khỏi thiết bị bị xâm phạm bằng cách kích hoạt lệnh tự hủy.
Các lệnh khác giúp bạn có thể khởi động lại bot, cập nhật danh sách đồng nghiệp và thoát khỏi bot đang chạy hiện tại, mặc dù lệnh “Tấn công” vẫn chưa được các tác giả botnet triển khai.
Các nhà nghiên cứu cho biết: “Sau khi Bot chạy mô-đun P2P, nó sẽ thực hiện nhiệm vụ brute-force chống lại dịch vụ Telnet cho hai cổng 23 và 2323, sau đó hoàn thành quá trình truyền bá của chính nó”.
Nói cách khác, nếu dịch vụ Telnet được mở trên cổng 23 hoặc 2323, nó sẽ cố gắng tấn công brute-force bằng cách sử dụng từ điển mật khẩu bao gồm 171 tên người dùng và 504 mật khẩu. Khi đột nhập thành công, nạn nhân mới bị nhiễm sẽ được thêm vào mạng botnet, do đó khuếch đại nó.
“Cơ chế hoạt động của mạng botnet này vẫn chưa hoàn thiện, [and] một số chức năng quan trọng như mô-đun tấn công vẫn chưa được thực hiện ”, các nhà nghiên cứu kết luận.
“Như đã nói, cấu trúc P2P mới và đang phát triển, hỗ trợ kiến trúc nhiều CPU, tính năng tự hủy được nhúng, tất cả đều khiến mạng botnet này có khả năng nguy hiểm.”
