Libero
SICUREZZA INFORMATICA

Il nuovo virus HEH sta infettando router e dispositivi smart

C'è un nuovo virus in giro ed è pericoloso: si chiama HEH e può infettare praticamente tutto: dai router ai dispositivi IoT

virus malware Fonte foto: Shutterstock

C’è una nuova minaccia che sta strisciando nei sotterranei di Internet e che potrebbe fare enormi danni su milioni di dispositivi, se non viene affrontata in tempi brevi: si tratta del nuovo virus HEH, veicolato da una botnet. Cioè una rete di computer “zombie” che, dopo l’infezione, vengono usati per lanciare attacchi verso altri computer e infettarli a loro volta.

HEH è stato scoperto dai ricercatori di Netlab, la divisione di sicurezza informatica e delle reti del gigante tecnologico cinese Qihoo 360, che ha appena reso nota la sua esistenza in un recentissimo report. Questa botnet è nuova come il virus che veicola e quasi nulla si sa su di essa, se non il modo in cui vengono attaccati gli altri computer: una azione di forza sulle porte SSH 23 e 2323. Gli attacchi di forza bruta consistono nel bombardare di richieste un router (o un server) fino a quando non si trova la giusta combinazione di credenziali di accesso. Se il dispositivo usa le credenziali standard, o credenziali poco robuste, il virus riesce ad entrare facilmente nel sistema e a inserire il dispositivo infetto nella botnet, usandolo poi per sferrare altri attacchi.

Come funziona HEH

Stando a quanto affermano i ricercatori HEH sarebbe ancora un virus abbozzato, senza funzionalità realmente offensive come la capacità di lanciare attacchi DDoS, installare altri virus per produrre criptovalute o smistare il traffico Web verso i server degli attaccanti.

L’unica cosa che può fare HEH, al momento, è lanciare attacchi alle porte SSH per estendere la sua stessa diffusione. Sembrerebbe, quindi, che chi lo ha inventato abbia una strategia in due fasi: prima diffondere il malware, poi attivarlo.

I rischi di HEH

La cosa preoccupante, però, è che se gli attaccanti riescono a forzare un computer con un attacco SSH possono dopo fare anche altro, sfruttando la presenza di HEH sul device. Ad esempio eseguire dei comandi, tra i quali c’è anche quello per distruggere tutte le partizioni del dispositivo.

Netlab afferma di aver trovato copie di HEH che possono essere eseguite su dispositivi x86, ARM, MIPS e PPC. Praticamente tutto, insomma, dai normali computer domestici ai server aziendali fino ai dispositivi IoT, cioè i device smart per la domotica. Smart Speaker inclusi.

Cosa vuol dire tutto ciò? Che qualcuno sta infettando migliaia di dispositivi con un virus, che a sua volta infetterà altri dispositivi, in vista di un assai probabile attacco futuro.