skip to Main Content

Cybercrime: arriva HEH, la botnet che cancella tutto

di Pierguido Iezzi

Si chiama HEH ed è una nuova variante di botnet, in grado di cancellare tutti i dati dai dispositivi infetti

Una nuova variante di botnet, HEH, è appena stata scoperta da un gruppo di ricercatori di cybersecurity, questa volta con un twist devastante: contiene un codice in grado di cancellare tutti i dati dai device infetti. Secondo quanto rilevato, HEH prende di mira tutti i dispositivi che utilizzano il protocollo Telnet sulle porte 23/2323. Ai Criminal Hacker non manca neppure il senso dell’umorismo a quanto pare, visto che a ogni infezione viene accompagnata una copia della Dichiarazione dei Diritti dell’uomo. Secondo i report prodotti da 360Netlab, campioni dei bot impiegati da HEH possono essere trovati nella maggior parte delle architetture CPU (x86, ARM, MIPS e PPC). Ciò significa che non ci sono pc desktop, laptop, device mobile o IoT che non possono essere colpiti.

Il malware si propaga attraverso bruteforcing di credenziali (Telnet) e infetta la vittima con un codice binario in Go che comunica con altre retu. Attraverso un protocollo P2P

Secondo gli esperti di cybersecurity, come tante altre botnet, HEH si propaga attraverso bruteforcing di credenziali (questa volta le credenziali Telnet) e – una volta entrata – infetta il suo target con un codice binario (compilato in Go) che comunica con altre reti attraverso un protocollo P2P (Peer-to-peer). L’utilizzo di Go (o Golang) è parte di un trend abbastanza recente nello sviluppo di malware, in particolare quelli studiati per colpire dispositivi IoT, grazie alla capacità che questo offre di poter produrre eseguibili che funzionano nella maggior parte delle architetture. Un certo “cambio di passo” rispetto a infezioni come Mirari che si affida al “caro e vecchio” C.

L’attacco di HEH segue tre fasi principali: propagazione, connessione P2P e comandi

Inizia tutto con un attacco di brute force. Fatto questo, uno script shell chiamato wpqnbw.txt viene eseguito sull’host. Non si tratta di altro che del modulo di propagazione, un loader che procede a scaricare versioni multiple dei codici binari (uno per ogni tipo di device che potrebbe potenzialmente essere infettato). Script e programmi binari vengono “pescati” da un sito legittimo – ovviamente compromesso ad hoc – per evitare ogni tipo di rilevazione da parte di sistemi di sicurezza. Una volta determinata la versione “giusta” dell’architettura CPU da colpire inizia la vera e propria infezione. HEH crea un server http on la porta :80 in locale. Lo stato iniziale di questo server sarà impostato a 80:0 fino a 80:9 per un totale di 10 url. Impostata la connessione, la botnet del cybercrime recupera tutti i dati necessari per installare il modulo P2P e inizia a “fare danni”.

Il meccanismo “ping pong” permette alla botnet di dialogare con altri bot

In una botnet P2P come HEH ogni nodo ha la capacità di “parlare” con altri bot attraverso un meccanismo chiamato di “ping pong”. Con questo ogni “peer” condivide la propria funzione di C2C in maniera in maniera distribuita dando la possibilità di “passare” componenti e payload ad altri bot. Nel caso di HEH il modulo P2P comprende tre componenti separate, la prima che esegue il ping per tutti gli altri nodi (peer) nella botnet a intervalli di 0,1 secondi (tramite una porta UDP) e attende un pong back. La seconda aggiorna il nodo con gli ultimi indirizzi dei peer. La terza e ultima componente, UDP, si occupa della maggior parte del lavoro: monitora dati e istruzioni, li analizza e esegue ciò che viene ricevuto.

I comandi di HEH: dal riavvio all’auto-distruzione

I comandi sono divisi in due categorie: Istruzioni funzionali legate al protocollo P2P, che essenzialmente mantengono il nodo aggiornato e continuamente connesso ad altri peers. e un modulo responsabile delle istruzioni di controllo (“Bot Cmd”). La lista Bot Cmd supportata da HEH bot include comandi per il riavvio o l’uscita, l’esecuzione di comandi di shell, l’aggiornamento della lista dei peer, l’aggiornamento del malware stesso e soprattutto qualcosa chiamato “SelfDestruct”, che è la funzione wiper. SelfDestruct, che è il comando n. 8, dirà al bot di cancellare tutto dagli hardisk dell’host. Wiper come questo sono di solito visti come un’arma contro le infrastrutture critiche. Altri due comandi, “launch attacks” e “Misc”, sono elencati ma non implementati nei campioni analizzati da 360 Netlab; il che significa che potenzialmente la botnet è ancora in fase di sviluppo.

P2P è il futuro delle botnet?

Le architetture P2P sono particolarmente pericolose quando adottate dalle botnet perché introducono ridondanza e decentralizzazione, rendendole difficili da smantellare. Inoltre, è sufficiente una singola comunicazione verso un unico nodo per propagare un nuovo comando o una nuova funzionalità, consentendo agli operatori maggiori opportunità di offuscamento quando si tratta della loro infrastruttura di controllo. A seguito di ciò, le reti bot P2P sono in crescita. Per esempio, la botnet DDG (specializzata in crypto mining) ha adottato in aprile un meccanismo proprietario peer-to-peer (P2P) che, secondo i ricercatori, ha trasformato il DDG in una minaccia altamente sofisticata e “apparentemente inarrestabile”. Nel frattempo, a settembre, è arrivata la notizia che la botnet Mozi, un malware P2P noto in precedenza per aver colpito i router Netgear, D-Link e Huawei, si è gonfiata in dimensioni tali da rappresentare il 90% del traffico osservato che scorre da e verso tutti i dispositivi IoT.

Per prevenire la diffusione di HEH bisogna controllare che tutte le porte 23/2323 con protocollo Telnet non siano esposte in rete, oltre ad assicurarsi che le credenziali di queste siano sufficientemente sicure

Per quanto riguarda HEH al momento il miglior modo per prevenirne la diffusione del malware è quello di controllare che tutte le porte 23/2323 con protocollo Telnet non siano esposte in rete, oltre ad assicurarsi che le credenziali di queste siano sufficientemente sicure. A questa va abbinata un’attività di Threat Intelligence per scoprire se c’è già attività collegata a questa botnet sulla vostra rete.

Non abbassiamo la guardia!

Back To Top