Hajime стал активно искать устройства MikroTik

image

Теги: IoT, Интернет вещей, ботнет, Hajime, MikroTik, RouterOS

За последние три дня ботнет провел свыше 860 тыс. сканирований.

Целый ряд исследователей безопасности обнаружили массовое заражение IoT-ботнетом Hajime устройств MikroTik.

Шумиха вокруг возросшей активности Hajime началась в воскресенье, 25 марта, когда «ханипоты» исследователей стали массово фиксировать сканирование в поисках портов 8291. В последующие дни сканирование продолжалось без каких-либо признаков снижения активности, привлекая внимание исследователей безопасности по всему миру.

Сканирование осуществлялось очень интенсивно и в больших масштабах. Первым его обнаружили специалисты из Qihoo 360 Netlab. По их подсчетам, за последние три дня Hajime провел свыше 860 тыс. сканирований, однако число успешных заражений исследователи назвать не могут.

Инфицирование происходит через известную уязвимость под названием Chimay Red в версии прошивки MikroTik RouterOS 6.38.4 и более ранних, позволяющую осуществить код и получить контроль над устройством. Ранее эксплоит Chimay Red входил в хакерский арсенал ЦРУ и был опубликован WikiLeaks в рамках проекта Vault 7.

Заражение происходит следующим образом. Боты Hajime сканируют произвольные IP-адреса на наличие порта 8291, указывающего на устройства MikroTik. Найдя нужное устройство, они пытаются инфицировать его с помощью публично доступного набора эксплоитов через один из портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 или 8880. После заражения инфицированное устройство также начинает осуществлять сканирование в поисках порта 8291.

По словам представителей MikroTik, вышеуказанная уязвимость была исправлена почти год назад с выходом версии RouterOS 6.38.5. В настоящее время актуальной версией прошивки является 6.41.3.

Примечательно, что предназначение ботнета Hajime до сих пор остается загадкой для исследователей. В отличие от других ботсетей, он никогда не использовался для осуществления масштабных DDoS-атак. До сих пор Hajime занимается исключительно поиском и заражением новых устройств, но дальше этого его активность не распространяется.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.