Исследователи кибербезопасности из Netlab обнаружили две новых бот-сети IoT под названием HEH и Ttint.

Netlab — это подразделение сетевых исследований китайского гиганта кибербезопасности Qihoo 360. Исследователи компании впервые обнаружили ботнет Ttint, нацеленный на маршрутизаторы Tenda, используя две уязвимости нулевого уровня.

Ttint распространяет троян для удаленного управления на основе кода вредоносной программы Mirai.

Mirai вызвала массовый хаос в 2016 году, когда поразила DNS-провайдера Dyn и повлияла на популярные сервисы, включая PayPal, Spotify, PlayStation Network, Xbox Live, Reddit, Amazon, GitHub и многие другие.

Netlab отмечает, что, хотя Mirai фокусируется на DDoS-атаках, таких как атака против Dyn, Ttint более сложна.

В дополнение к DDoS-атакам, Ttint поддерживает 12 функций удаленного управления, таких как прокси-сервер Socket5 для маршрутизаторов, вмешательство в DNS маршрутизатора, настройка iptables и выполнение пользовательских системных команд.

Ботнет также обходит обнаружение Mirai с помощью протокола WebSocket-over-TLS на уровне связи C2 и защищает себя, используя множество плавающих IP-адресов инфраструктуры.

На момент написания статьи две уязвимости нулевого дня, используемые Ttint, остаются не исправленными.

Кроме того, Netlab обнаружила еще один ботнет IoT. Он одноранговый, и исследователи назвали его HEH .

HEH написан на языке Go, и Netlab утверждает, что он использует проприетарный протокол P2P. Троян распространяется с помощью перебора Telnet на порты 23/2323 и влияет на многие архитектуры ЦП, включая x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) и PPC.

Ботнет состоит из трех модулей: модуля распространения, модуля локальной службы HTTP и модуля P2P.

В HEH девять команд, но как минимум три еще не реализованы, поскольку бот явно все еще находится в разработке:

В настоящее время наиболее полезными доступными функциями HEH являются выполнение команд оболочки, обновление списка одноранговых узлов и загрузка определенного файла, который будет использоваться в качестве данных ответа HTTP локальным сервером HTTP.

Интересно, что функция Атака в настоящее время пуста, однако вряд ли так и останется в будущем.

Оба ботнета демонстрируют растущее желание хакеров взломать устройства Интернета вещей. Неудивительно, что Интернет вещей стал такой целью, учитывая быстрое распространение подключенных устройств и их зачастую слабую безопасность.

По материалам: Iottechnews