Se ha descubierto una nueva botnet que puede hacer que los enrutadores, servidores y dispositivos de Internet de las cosas (IoT) no funcionen al eliminar todos los datos de los sistemas infectados. El hallazgo fue revelado por investigadores de seguridad de Netlab, la división de seguridad de red del gigante tecnológico chino Qihoo 360.
Apodada HEH, la botnet está escrita en lenguaje Go, utiliza el protocolo P2P propietario y contiene tres módulos funcionales: módulo de propagación, módulo de servicio HTTP local y módulo P2P. Se propaga mediante el lanzamiento de ataques de fuerza bruta contra cualquier dispositivo que tenga puertos Telnet 23/2323 expuestos a Internet.
Los investigadores descubrieron varias muestras de malware que admiten varias arquitecturas de CPU, incluidas x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) y PPC. Una vez que la botnet obtuvo acceso al sistema, descargaría uno de los siete binarios que instalan el malware HEH.
“Las muestras de HEH Botnet que capturamos fueron originalmente descargadas y ejecutadas por un script de Shell malicioso llamado wpqnbw.txt. El script de Shell malicioso luego descarga y ejecuta todos y cada uno de los programas maliciosos para todas las arquitecturas de CPU diferentes, no hay verificación del entorno o cosas así, simplemente ejecute todos los programas por turno ”, escribieron los investigadores.
Actualmente, la botnet tiene una funcionalidad limitada sin capacidades ofensivas, lo que significa que aún se encuentra en la etapa de desarrollo.
“En la actualidad, las funciones más útiles para toda la Botnet son ejecutar comandos de Shell, actualizar Peer List y UpdateBotFile. La función de ataque en el código es solo una función vacía reservada y no se ha implementado ”, dijo el equipo de investigación.
Sin embargo, el análisis del código reveló algo interesante: cuando el bot recibe un comando específico, intentará borrar todo en todos los discos a través de una serie de comandos de Shell.
“El mecanismo operativo de esta botnet aún no está maduro, algunas funciones importantes como el módulo de ataque aún no se han implementado. Además, la implementación de P2P todavía tiene fallas, el Bot mantiene una Peer List internamente y existe una comunicación Ping <--> Pong continua entre pares, pero toda la Botnet aún se considera centralizada, ya que actualmente el nodo del bot no puede enviar comandos de control. Además, el mecanismo de llevar la muestra a través del servidor HTTP local no es muy bonito. Dicho esto, la estructura P2P nueva y en desarrollo, el soporte de arquitectura de CPU múltiple, la función de autodestrucción incorporada, hacen que esta botnet sea potencialmente peligrosa ”, concluyeron los investigadores.
