Kali ini ditemukan botnet baru berisi kode yang dapat menghapus semua data dari sistem yang terinfeksi, seperti router, server, dan perangkat Internet of Things (IoT). Botnet ini dijuluki HEH, terdeteksi menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet dengan port SSH (23 dan 2323) yang terekspos secara online.
Jika perangkat menggunakan akun SSH default atau yang mudah ditebak, botnet bisa mendapatkan akses ke sistem, dan segera mengunduh salah satu dari tujuh biner penginstal malware HEH.
Malware HEH ini tidak berisi fitur ofensif, seperti kemampuan untuk meluncurkan serangan DDoS, kemampuan untuk menginstal crypto-miner, atau kode untuk menjalankan proxy dan trafik relay untuk pelaku kejahatan.
Satu-satunya fitur yang ada adalah fungsi menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua menjalankan daftar operasi Shell yang telah ditentukan sebelumnya untuk menghapus semua partisi perangkat.
HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang mereka terbitkan.
Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan data perangkat disengaja atau apakah itu hanya metode untuk penghancuran diri.
Tetapi terlepas dari tujuannya, jika fitur ini terpicu, itu dapat mengakibatkan ratusan atau ribuan perangkat rusak dan menjadi tidak berfungsi.
Ini dapat mencakup router, perangkat Internet of Things (IoT), dan bahkan server Linux. Botnet dapat menginfeksi apa pun dengan port SSH dengan keamanan yang lemah, bahkan sistem Windows, tetapi malware HEH hanya berfungsi pada platform *NIX.
Baca Juga: “Ensiklopedia Botnet Guardicore, Permudah Analisis Aktivitas Mencurigakan di Data Center“
Karena menghapus semua partisi juga menghapus firmware perangkat atau sistem operasinya, operasi ini berpotensi memblokir perangkat untuk sementara – hingga firmware atau sistem operasinya diinstal kembali.
Namun, dalam beberapa kasus, pemilik perangkat mungkin tidak memiliki pengetahuan untuk menginstal ulang firmware pada peralatan IoT mereka dan mungkin memilih untuk membuang yang lama dan membeli perangkat baru sebagai gantinya.
Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) dan PPC.
Pada saat artikel ini diterbitkan, botnet dikatakan masih menyebar.
