ИБ-специалисты обнаружили, что IoT-ботнет Hajime активизировался и теперь осуществляет массовые сканирования сети, в поисках роутеров компании MikroTik.

Издание Bleeping Computer сообщает, что множество ИБ-специалистов и компаний обнаружили, что сканирования начались в прошлые выходные, 25 марта 2018 года. Тогда многочисленные серверы-ловушки экспертов зафиксировали странную активность, в частности обращенную к порту 8291. В последующие дни массовые сканы сети продолжились и не ослабли, что привлекло внимание специалистов по безопасности со всего мира. Например, свои отчеты о происходящем уже представили Qihoo 360 Netlab и Radware.

По информации Qihoo 360 Netlab, только за три дня наблюдений операторы Hajime осуществили более 860 000 сканов.

Как выяснилось, злоумышленники ищут уязвимые роутеры компании MikroTik, и пытаются эксплуатировать проблему известную под названием Chimay Red — это уязвимость в RouterOS версии 6.38.4 и ниже. Баг позволяет злоумышленнику выполнить произвольный код на проблемном устройстве.

Именно эта уязвимость была описана в документах, опубликованных Wikileaks под грифом Vault 7. С ее помощью в прошлом году неизвестные шутники «переименовали» тысячи устройств, изменив имя хоста на комбинации вроде HACKED FTP server, HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED или HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD.

Операторы  ботнета Hajime шутками, конечно, не ограничиваются. Посредством эксплуатации бага осуществляется распространение малвари Hajime. Уже находящиеся в составе ботнета устройства сканируют случайные IP-адреса, обращаясь к порту 8291 и таким образом вычисляют роутеры MikroTik. Затем, когда цель выявлена, боты используют публично доступный эксплоит и адресуют его портам 80, 81, 82, 8080, 8081, 8082, 8089, 8181 и 8880. Если эксплуатация бага удалась, устройство становится новым «винтиком» в механизме Hajime.

Представители MikroTik знают и происходящем (в том числе и из-за сообщений, оставленных на официальных форумах компании напуганными пользователями). В официальном Twitter компания напомнила пользователям о том, что патч для проблемы Chimay Red был выпущен год назад, так что достаточно обновить RouterOS до новейшей версии 6.41.3 (или, по крайней мере, до 6.38.5, в составе которой было представлено исправление), а также закрыть порты файрволом.

Следует заметить, что предназначение крупного ботнета Hajime по-прежнему остается для ИБ-экспертов загадкой. Зараженные устройства не используются для DDoS-атак, проксирования трафика или иных целей, лишь для заражения себе подобных. Напомню, что в 2017 году специалисты предполагали, что за Hajime могут стоять неизвестные white hat’ы, которые таким образом борются с Mirai и другими IoT-угрозами.

1 комментарий

  1. Red4

    27.07.2018 at 13:42

    Мой роутер взломали таким образом.
    Добавили скрипт и установили задание(scheduled task) — раз в тридцать секунд пытаться загрузить некий php файл. Но т.к. в стране тотальный режим и полный контроль интернет-трафика — великий файрвол спас ситуацию, хак прошел не как надо, видимо. Файл приходил весом 0 байт, т.к. указанный в их скрипте айпи был не доступен от меня.

    Ну и бонусом включили мне веб-прокси. Одичавшие бедные китайцы, наверное на радостях, в первую очередь пошли слушать оппозиционерское радио-запрещенку, которое как я думаю заблокировано у них, но нашим властям не интересно, также через мой роутер, — шастали по сайтам со смехуечками (кстати, так себе мемасики, локальные какие-то), параллельно пытались скачать какой-то софт, там страница вся в иероглифах, не смог даже найти ссылку «скачать», да не суть. Хакеры тоже люди.
    И что вот вообще странно, атаки были с американских и сев.европейских айпи…

    Накатил бэкап прошлого месяца, благо на нем пароль стоит хороший такой, и все настройки выглядят чистыми. Выяснил, что кнопка «автоапгрейд» — работает не так, как можно было подумать, — на самом деле надо было набрать еще несколько команд в консоли и пара перезагрузок для самомделешного применения обновления.

    Вот и всё. Левые скрипты не появляются сами по себе, сеть перестала падать, процессор больше не захлебывается. Только иногда бедный, судя по всему одинокий китаец, раз или два в день пытается получить какой-то ответ от pptp (даже не подбирая паролей), иногда меняя свой айпи и точку на карте мира.

Оставить мнение