Hi-Tech

Legyalulja a merevlemezeket az új zombivírus

A HEH botnet routereket és IoT eszközöket támad, és van benne egy funkció, amelynek aktiválásával minden adat törölhető a rendszerről.

Egy frissen felfedezett zombivírus olyan kódot tartalmaz, amely a megtámadott rendszer minden adatát törli. A HEH nevű botnet egy folyamatos, gyors jelszópróbálgatáson alapuló, úgynevezett „brute-force” támadást indít az internetre Telnet portokon (23 vagy 2323) keresztül csatlakozó rendszerek ellen. Ha az eszköz alapértelmezett vagy könnyen kitalálható Telnet hitelesítőt használ, a botnet hozzáférést szerez a rendszerhez, és azonnal letölti a hét bináris kód egyikét, ami telepíti a digitális kártevőt.

A zombivírus ezután arra kényszeríti a fertőzött eszközt, hogy maga is Telnet brute-force támadásokat hajtson végre más gépek ellen, és így tovább erősítse a zombigépek hadseregét. Emellett van benne egy funkció, amely lehetővé teszi a támadónak, hogy Shell utasításokat futtasson a fertőzött gépen, illetve az előbbi funkció egyik alváltozataként végrehajtson egy előre megadott Shell műveletsort, ami törli az eszköz összes partícióját.

A kártékony kódot a Netlab biztonsági kutatói fedezték fel, akik szerint nehéz megmondani, hogy a partíciók törlése szándékos-e, vagy egyszerűen csak egy rosszul beprogramozott önmegsemmisítési rutin. De valójában mindegy is, mert rengeteg gépet lehet vele működésképtelenné tenni – egyelőre csak elméletben, mert a funkciót szerencsére még nem használták.

Veszélyben vannak a routerek, IoT okoseszközök, sőt, még a Linux szerverek is. A gyengén védett Telnet portokon keresztül a botnet bármit meg tud fertőzni, közvetetten még Windows rendszereket is, de HEH kártevő csak *NIX alapú platformokon fut. Mivel a törlés az eszköz firmware-ére és operációs rendszerére is kiterjed, ezek újratelepítéséig a számítógép teljesen lebénul. És hogy örömünk teljes legyen, a Netlab nemrég azzal egészítette közleményét, hogy olyan HEH mintákat detektált, amelyek x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) és PPC architektúrákon is futnak.

A védekezéshez itt is annyit érdemes szem előtt tartani, hogy az összes internetre csatlakozó eszközünk firmware-ét tartsuk folyamatosan frissen, és a jelszavainkat lehetőség szerint úgy találjuk ki, hogy azok minél hosszabbak és bonyolultabbak legyenek, ezáltal a brute force támadások során sem tudja percek alatt megfejteni a támadó kód.

ComputerWorld.hu