Seluruh dunia masih disibukkan oleh Mirai IoT Botnet yang menyebarkan luas yang berakibat pada pemadaman internet pada pekan lalu dengan meluncurkan DDoS attack terhadap penyedia DNS Dyn, dan peneliti keamanan juga telah menemukan IoT botnet jahat lainnya. Peneliti keamanan di MalwareMustDie telah menemukan keluarga malware baru yang dirancang untuk mengubah Internet berbasis perangkat Linux yang tidak aman pada IoT devices untuk melakukan serangan DDoS besar.


Dijuluki Linux/IRCTelnet, malware jahat yang ditulis menggunakan bahasa C++, malware ini mempunyai kemampuan seperti Mirai malware, mempunyai kemampuan memecahkan default hard-coded passwords dalam upaya untuk menginfeksi IoT devices berbasis Linux yang rentan.  IRCTelnet malware bekerja menggunakan teknik Brute-force attack untuk memecahkan sandi pada port Telnet pada perangkat target, menginfeksi sistem operasi perangkat dan kemudian menambahkannya ke jaringan botnet yang dikendalikan melalui IRC (Internet Relay Chat) - sebuah lapisan protokol aplikasi yang memungkinkan salaing komunikasi dalam bentuk teks.

Jadi, setiap perangkat (IoT device) yang terinfeksi akan saling berhubungan melalui saluran IRC berbahaya dan membaca perintah yang dikirim dari server command-and-control. Konsep menggunakan IRC untuk mengelola bots, menurut para peneliti, dipinjam dari malware Kaiten. The IRCTelnet malware menginfeksi perangkat yang tidak aman menjalankan versi Linux Kernel 2.6.32 atau di atasnya dan mampu meluncurkan serangan DDoS menggunakan IP palsu IPv4 dan IPv6, meskipun pemindai diprogram untuk menemukan dan melakukan brute-force Telnet melalui IPv4.

    "Botnet memiliki mekanisme serangan DoS seperti UDP flood, TCP flood, bersama dengan metode serangan lainnya, baik IPv4 dan IPv6 protokol, dengan menambahkan IP spoof pada IPv4 atau IPv6 juga," para peneliti mencatat dalam posting blog.

Para peneliti keamanan juga menganalisis kode sumber malware ini, dan mereka menemukan pesan dalam bahasa Italia di antarmuka komunikasi pengguna, hal tersebut diperkirakan bahwa penulis malware tersebut bisa berbahasa Italia. Perusahaan keamanan tersebut mengatakan bahwa saat ini telah ditemukan sekitar 3.400 bots malware IRCTelnet dan mengatakan bahwa malware jahat ini mampu menginfeksi lebih banyak lagi dalam waktu 5 hari. Dan malware ini didistribusikan dari alamat IP yang terletak di Turki, Moldova, dan Filipina.
 
Top