Les chercheurs en cybersécurité ont dévoilé un nouveau botnet détournant des appareils intelligents connectés à Internet dans la nature pour effectuer des tâches néfastes, principalement des attaques DDoS et l'extraction de pièces de monnaie de crypto-monnaie illicite.
Découvert par l'équipe de sécurité Netlab de Qihoo 360, le HEH Botnet - écrit en langage Go et armé d'un protocole propriétaire peer-to-peer (P2P), se propage via une attaque par force brute du service Telnet sur les ports 23/2323 et peut s'exécuter commandes shell arbitraires.
Les chercheurs ont déclaré que les échantillons de botnet HEH découverts jusqu'à présent prennent en charge une grande variété d'architectures de processeur, notamment x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) et PowerPC (PPC).
Le botnet, bien qu'il en soit à ses débuts de développement, est livré avec trois modules fonctionnels: un module de propagation, un module de service HTTP local et un module P2P.
Initialement téléchargé et exécuté par un script Shell malveillant nommé «wpqnbw.txt», HEH utilise ensuite le script Shell pour télécharger des programmes malveillants pour toutes les architectures de processeur différentes à partir d'un site Web («pomf.cat»), avant de terminer un certain nombre de processus de service en fonction de leurs numéros de port.
La deuxième phase commence par le démarrage de l'exemple HEH d'un serveur HTTP qui affiche la Déclaration universelle des droits de l'homme dans huit langues différentes, puis par l'initialisation d'un module P2P qui garde la trace des pairs infectés et permet à l'attaquant d'exécuter des commandes shell arbitraires, y compris la capacité pour effacer toutes les données de l'appareil compromis en déclenchant une commande d'autodestruction.
D'autres commandes permettent de redémarrer un bot, de mettre à jour la liste des pairs et de quitter le bot en cours d'exécution, bien qu'une commande «Attack» n'ait pas encore été implémentée par les auteurs du botnet.
"Une fois que le Bot a exécuté le module P2P, il exécutera la tâche de force brute contre le service Telnet pour les deux ports 23 et 2323 de manière parallèle, puis effectuera sa propre propagation", ont déclaré les chercheurs.
En d'autres termes, si le service Telnet est ouvert sur le port 23 ou 2323, il tente une attaque par force brute à l'aide d'un dictionnaire de mots de passe composé de 171 noms d'utilisateur et 504 mots de passe. En cas d'effraction réussie, la victime nouvellement infectée est ajoutée au botnet, l'amplifiant ainsi.
"Le mécanisme de fonctionnement de ce botnet n'est pas encore mature, [et] certaines fonctions importantes telles que le module d'attaque n'ont pas encore été implémentées", ont conclu les chercheurs.
"Cela étant dit, la nouvelle structure P2P en développement, la prise en charge de l'architecture multi-processeurs, la fonction d'autodestruction intégrée, rendent ce botnet potentiellement dangereux."
