Крупнейший IoT-ботнет Hajime за три дня выполнил более 860 тыс. сканирований, сообщили исследователи Netlab. Как пишет издание Bleeping Computer, многие представители ИБ-сообщества зафиксировали повышенную активность зомби-сети, направленную на поиск незакрытых портов в уязвимых роутерах производства MikroTik.

В воскресенье 25 марта ИБ-специалисты заметили подозрительное сканирование TCP-порта 8291. В последующие несколько дней его интенсивность резко возросла. Механизм заражения прост: ботнет Hajime массово проверяет IP-адреса в поисках роутеров MikroTik. Определив жертву, Hajime пытается применить эксплойт через порты 80, 81, 82, 8080, 8081, 8082, 8089, 8181 и 8880. Если атака прошла успешно, скомпрометированный маршрутизатор также начинает сканирование IP-адресов.

Мишенью ботнет-кампании стали роутеры MikroTik, имеющие незакрытую уязвимость Chimay Red, которая позволяет злоумышленникам атаковать устройства с прошивкой версии до 6.38.4 включительно. Согласно публикации Wikileaks, данный дефект входил в дамп Vault 7, содержавший информацию о брешах, предположительно используемых спецслужбами США. Также Chimay Red стала инструментом неизвестных хактивистов, взломавших уязвимые роутеры производства Ubiquiti и MikroTik и изменившие имена устройств на сочетания, включающие в себя слово hacked. Таким образом они пытались привлечь к проблеме внимание администраторов. Хотя производитель маршрутизаторов закрыл дыру еще в прошлом году, прошивка многих девайсов не обновляется своевременно.

Hajime появился в 2016 году и нацелен на IoT-устройства: IP-камеры, системы наблюдения и DVR. Впервые обнаружившие ботнет исследователи из Rapidity отметили, что Hajime использует трехступенчатый механизм заражения и способен к самораспространению. Эти и другие особенности делают его более опасной угрозой, чем известный масштабными инцидентами Mirai, однако Hajime ни разу не был замечен в DDoS-атаках и с момента появления до сего дня используется лишь для сканирования IP-адресов и заражения уязвимых устройств ботами.

Категории: Вредоносные программы, Уязвимости