روترها و دستگاه‌های IoT قربانیان بات‌نت HEH

کمیته رکن چهارم – بات‌نت جدید HEH حاوی کدی است که می‌تواند تمام داده‌های سیستم‌های آلوده مانند روترها، سرورها و دستگاه‌هایIoT را پاک کند.

بات‌نت HEH با حمله به هر سیستم متصل به اینترنت که درگاه‌های (۲۳ و ۲۳۲۳) Telnet خود را به‌صورت آنلاین در معرض دید قرار می‌دهد، گسترش پیدا می‌کند.

اگر دستگاه از نسخه پیش‌فرض یا easy-to-guess Telnet استفاده کند، این بات‌نت به سیستم دسترسی پیدا می‌کند و بلافاصله یکی از هفت باینری را دانلود کرده و در پی آن بدافزار HEH را نصب می‌کند. این بدافزار HEH فاقد هرگونه ویژگی ناپسند ازجمله توانایی راه‌اندازی حملات DDoS، امکان نصب Crypto-miners یا کدی برای اجرای پروکسی‌ها و پخش ترافیک برای عاملان مخرب است.

تنها ویژگی موجود آن، عملکردی است که دستگاه‌های آلوده را به دام می‌اندازد و آنها را مجبور به انجام حملات Telnet در اینترنت می‌کند تا باعث تقویت بات‌نت شود. این ویژگی به مهاجمان اجازه می‌دهد تا دستورات Shell را روی دستگاه آلوده اجرا کنند و همچنین لیستی از عملیات shell از پیش تعریف‌شده را اجرا کند تا تمام پارتیشن‌های دستگاه را پاک کند.

بات‌نت در مراحل اولیه توسعه خود است. از آنجا که این بات‌نت نسبتاً جدید است، محققان نمی‌توانند تشخیص دهند که آیا عمل پاک‌سازی دستگاه از روی عمد انجام می‌شود یا فقط یک روال خودتخریبی با کدگذاری ضعیف است.

اما صرف‌نظر از هدف، اگر این ویژگی بات‌نت راه‌اندازی شود، می‌تواند منجر به غیرفعال شدن صدها یا هزاران دستگاه شود. این مسئله می‌تواند شامل روترهای خانگی، دستگاه‌های هوشمند اینترنت اشیا IoT و حتی سرورهای لینوکس باشد. بات‌نت می‌تواند با پورت‌های Telnet هر چیزی با امنیت ضعیف، حتی سیستم‌های ویندوز را آلوده کند، اما بدافزار HEH فقط در سیستم عامل * NIX کار می‌کند.
از آنجا که پاک کردن همه پارتیشن‌ها، سیستم عامل یا firmware دستگاه را نیز پاک می‌کند، این عملیات قابلیت این را دارد که به‌طور موقت دستگاه‌ها را brick کند تا زمانی که firmware یا سیستم عامل آنها دوباره نصب شود.

با این حال در بعضی موارد، می‌تواند به معنای سیستم‌های bricked دائمی باشد، زیرا برخی از دارندگان دستگاه ممکن است دانش نصب مجدد سیستم عامل بر روی تجهیزات اینترنت اشیا خود را نداشته باشند و ممکن است تصمیم بگیرند که دستگاه قدیمی را دور بیندازند و به جای آن یک دستگاه جدید خریداری کنند.

در حال حاضر، Netlab نمونه‌های HEH را اعلام کرده است که می‌توانند با معماری‌های CPU x۸۶ (۳۲/۶۴) ، ARM (۳۲/۶۴) ، MIPS (MIPS۳۲ / MIPS-III) و PPC اجرا شوند.

منبع : مرکز مدیریت راهبردی افتا