Как стало известно журналистам ZDNet, ботнет на роутерах, появившийся на радарах ИБ-исследователей два месяца назад, сильно вырос и приобрел новые эксплойты.

Ботнет, которому в ИБ-сообществе было присвоено кодовое имя Hakai (яп. «разрушение»), первыми обнаружили исследователи из NewSky Security. Как оказалось, используемый ботоводами зловред был создан на основе Qbot (он же Gafgyt, Bashlite, Lizkebab, Torlus и LizardStresser), исходный код которого был слит в Сеть несколько лет назад.

Комментируя эволюцию Hakai для ZDNet, эксперт NewSky Анкит Анубхав (Ankit Anubhav) отметил, что первоначальная версия бота была довольно бесхитростной и малоактивной. Тем не менее, его автор жаждал славы и обратился к исследователю с предложением написать о новой бот-сети. «Он даже поместил мое фото на домашнюю страницу своего C&C-сервера на hakaiboatnet[.]pw», — заявил собеседник ZDNet.

Вначале Hakai был вооружен лишь эксплойтом к уязвимости CVE-2017-17215 в роутерах HG352 производства Huawei. К слову, эту брешь также использовали несколько других IoT-ботов, в том числе Satori.

Через месяц исследователи заметили, что Hakai начал атаковать роутеры D-Link через уязвимость инъекции кода в HNAP (которую также использует вариант Satori, именуемый PureMasuta). Новый IoT-бот обрел также эксплойт к CVE-2014-8361 — давней бреши в комплекте разработчика от Realtek, которая до сих пор присутствует в сетевых устройствах разных вендоров. Со слов Анубхава, ныне в арсенале Hakai числятся еще два эксплойта для роутеров D-Link.

Помимо этого, на ботнет был загружен эффективный сканер Telnet, что позволило ботоводу расширять свою армию посредством взлома учетных записей с дефолтным или ходовым паролем.

В конце августа бразильская ИБ-компания Tempest Security отрапортовала, что Hakai активно завоевывает Латинскую Америку, повсеместно заражая роутеры D-Link DSL-2750B. За неполный месяц исследователи насчитали 119 IP-адресов, ассоциируемых с этим ботнетом.

Зафиксировано также появление двух новых вариантов Hakai — Kenjiro и Izuku, которые уже активно распространяются онлайн.

Создатель нового IoT-бота тем временем прекратил все контакты с экспертами и сменил хостинг центров управления. Вполне возможно, что его напугал пример Nexus Zeta — создателя Satori, который тоже активно привлекал внимание к своим «достижениям» и в итоге оказался на скамье подсудимых.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости