Gruppo TIM
Gruppo TIM

Il virus HEH

Dallo scorso anno circola un virus: si chiama HEH e può infettare praticamente tutto: dai router ai dispositivi IoT. Questa nuova minaccia che si sta propagando nella rete potrebbe fare enormi danni su milioni di dispositivi, qualora non dovesse essere affrontata in tempi brevi. 

 

Il virus

HEH è stato scoperto dai ricercatori di Netlab, la divisione di sicurezza informatica e delle reti del gigante tecnologico cinese Qihoo 360, che ha appena reso nota la sua esistenza in un recentissimo report.

Le Botnet sono una rete di computer zombie che, dopo l’infezione, vengono usati per lanciare attacchi verso altri computer e infettarli a loro volta; per ulteriori dettagli, vi invitiamo a leggere il focus sulle botnet nel nostro blog.

Questa botnet è nuova come il virus che veicola e quasi nulla si sa su di essa, se non il modo in cui vengono attaccati gli altri computer: un’azione di forza bruta sulle porte SSH 23 e 2323. 

Gli attacchi di forza bruta consistono nel bombardare di richieste un router (o un server) fino a quando non si trova la giusta combinazione di credenziali di accesso. 

Se il dispositivo usa le credenziali standard, o credenziali poco robuste, il virus riesce ad entrare facilmente nel sistema e a inserire il dispositivo infetto nella botnet, usandolo poi per sferrare altri attacchi.

 

Come funziona HEH

Stando a quanto affermano i ricercatori HEH sarebbe ancora un virus abbozzato, senza funzionalità realmente offensive come la capacità di lanciare attacchi DDoS, installare altri virus per produrre criptovalute o smistare il traffico Web verso i server degli attaccanti.

L’unica cosa che può fare HEH, al momento, è lanciare attacchi alle porte SSH per estendere la sua stessa diffusione. Sembrerebbe, quindi, che chi lo ha inventato abbia una strategia in due fasi: prima diffondere il malware, poi attivarlo.

 

I rischi di HEH

La cosa preoccupante, però, è che se gli attaccanti riescono a forzare un computer con un attacco SSH possono dopo fare anche altro, sfruttando la presenza di HEH sul device.

Ad esempio, eseguire dei comandi, tra i quali c’è anche quello per distruggere tutte le partizioni del dispositivo.

Netlab afferma di aver trovato copie di HEH che possono essere eseguite su dispositivi x86, ARM, MIPS e PPC.

Praticamente tutto, insomma, dai normali computer domestici ai server aziendali fino ai dispositivi IoT, cioè i device smart per la domotica, smart speaker inclusi.

Cosa vuol dire tutto ciò? Che qualcuno sta infettando migliaia di dispositivi con un virus, che a sua volta infetterà altri dispositivi, in vista di un assai probabile attacco futuro.