Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.
Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.
Malware HEH ini tidak mengandung fitur ofensif.
Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.
HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.
Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.
Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.
Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.
Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet
