Специалисты продолжают наблюдать за действиями IoT-малвари Hajime, которая была обнаружена в октябре 2016 года, вскоре после того, как исходные коды трояна Mirai стали достоянием общественности, и началась массовая компрометация «умных» устройств.
Хотя в настоящее время на интернет вещей направлено немало угроз, Hajime интересует исследователей больше других вредоносов, потому как он является своеобразной «темной лошадкой» среди IoT-малвари, — его предназначение до сих пор неясно. Так, на прошлой неделе аналитики компании Symantec представили развернутый отчет, посвященный Hajime, в котором предположили, что малварь мог написать неизвестный white hat, который вообще не имел никаких дурных намерений. Эта теория подкрепляется не только сообщением, которое автор малвари оставил в коде (см. иллюстрацию ниже), но и тем фактом, что после заражения вредонос блокирует порты 23, 7547, 5555 и 5358, которые чаще всего атакует другая малварь, включая Mirai.
Теперь Hajime изучили специалисты «Лаборатории Касперского», которые сообщили, что на данный момент под контролем Hajime находятся почти 300 000 устройств гаджетов по всему миру. Напомню, что исследователи Symantec писали лишь о 10 000 зараженных устройствах.
«Лаборатория Касперского» выявила, что наибольшее число зараженных девайсов находится в Иране – около 20%. Следом идут Бразилия (9%) и Вьетнам (8%). Россия также оказалась одной из приоритетных стран для злоумышленников – в составе ботнета Hajime сегодня 7,5% устройств, расположенных в России.
Равно как и их коллеги, исследователи «Лаборатории Каспеского» отмечают, что в Hajime нет функций, позволяющих осуществлять атаки; на данный момент малварь содержит только модуль, отвечающий за распространение. Для заражения устройств Hajime использует разные техники, но чаще отдает предпочтение брутфорс-атакам. Эксперты пишут, что Hajime не слишком избирателен – он готов заразить любой гаджет, подключенный к интернету. Однако в числе его жертв все же преобладают DVR, веб-камеры и роутеры. Также исследователи обнаружили, что Hajime избегает некоторых сетей, среди которых сети General Electric, Hewlett-Packard, почтовой службы США и Министерства обороны США.
«Самая большая интрига Hajime – это его цель. Ботнет быстро растет, а для чего до сих пор неизвестно. Мы не заметили присутствия Hajime в каких-либо атаках или другой вредоносной активности. Тем не менее не стоит недооценивать угрозу. Мы рекомендуем всем владельцам устройств интернета вещей сменить пароли на гаджетах, при этом выбирать сложные комбинации, которые нелегко угадать, а также по возможности обновить ПО от производителя», – говорит Константин Зыков, старший аналитик «Лаборатории Касперского».
Фото: Depositphotos