Ботнет распространяется с помощью брутфорс-атак на подключенные к интернету устройства с открытыми портами SSH.
Специалисты подразделения Netlab китайского технологического гиганта Qihoo 360 рассказали о новом ботнете, способном стирать все данные с зараженного устройства, будь то маршрутизатор, сервер или IoT-гаджет.
Ботнет, получивший название HEH, распространяется с помощью брутфорс-атак на любые подключенные к интернету устройства с открытыми портами SSH (23 и 2323). Если устройство использует заводские или ненадежные учетные данные, ботнет получает доступ к системе и сразу же загружает на нее один из семи двоичных файлов, устанавливающих вредоносное ПО HEH. Ботнет может заражать любые устройства с незащищенными портами SSH, но вредоносное ПО HEH работает только на *NIX-системах.
Вредонос не имеет никаких наступательных функций, таких как запуск DDoS-атак, установка криптовалютных майнеров или прокси для переадресации трафика. Одна из двух его функций заключается в обнаружении зараженных устройств и принуждении их выполнять брутфорс-атаки на SSH с целью расширения ботсети. Вторая функция – запуск shell-команд на зараженном устройстве. Вариант второй функции – выполнение списка заранее заданных shell-операций, стирающих все данные с устройства.
Поскольку ботнет сравнительно новый, исследователи пока затрудняются сказать, является ли операция по удалению данных предусмотренной, или это просто неудачная попытка разработчиков HEH реализовать функцию самоуничтожения. Как бы то ни было, независимо от первоначальных намерений разработчиков, данная функция может нести весьма разрушительный характер и превратить сотни, а то и тысячи устройств в бесполезный «кирпич». Пока что данная функция ботнета не использовалась.