ИБ-специалисты обнаружили, что IoT-ботнет Hajime активизировался и теперь осуществляет массовые сканирования сети, в поисках роутеров компании MikroTik.
Издание Bleeping Computer сообщает, что множество ИБ-специалистов и компаний обнаружили, что сканирования начались в прошлые выходные, 25 марта 2018 года. Тогда многочисленные серверы-ловушки экспертов зафиксировали странную активность, в частности обращенную к порту 8291. В последующие дни массовые сканы сети продолжились и не ослабли, что привлекло внимание специалистов по безопасности со всего мира. Например, свои отчеты о происходящем уже представили Qihoo 360 Netlab и Radware.
По информации Qihoo 360 Netlab, только за три дня наблюдений операторы Hajime осуществили более 860 000 сканов.
Как выяснилось, злоумышленники ищут уязвимые роутеры компании MikroTik, и пытаются эксплуатировать проблему известную под названием Chimay Red — это уязвимость в RouterOS версии 6.38.4 и ниже. Баг позволяет злоумышленнику выполнить произвольный код на проблемном устройстве.
Именно эта уязвимость была описана в документах, опубликованных Wikileaks под грифом Vault 7. С ее помощью в прошлом году неизвестные шутники «переименовали» тысячи устройств, изменив имя хоста на комбинации вроде HACKED FTP server, HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED или HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD.
Операторы ботнета Hajime шутками, конечно, не ограничиваются. Посредством эксплуатации бага осуществляется распространение малвари Hajime. Уже находящиеся в составе ботнета устройства сканируют случайные IP-адреса, обращаясь к порту 8291 и таким образом вычисляют роутеры MikroTik. Затем, когда цель выявлена, боты используют публично доступный эксплоит и адресуют его портам 80, 81, 82, 8080, 8081, 8082, 8089, 8181 и 8880. Если эксплуатация бага удалась, устройство становится новым «винтиком» в механизме Hajime.
Представители MikroTik знают и происходящем (в том числе и из-за сообщений, оставленных на официальных форумах компании напуганными пользователями). В официальном Twitter компания напомнила пользователям о том, что патч для проблемы Chimay Red был выпущен год назад, так что достаточно обновить RouterOS до новейшей версии 6.41.3 (или, по крайней мере, до 6.38.5, в составе которой было представлено исправление), а также закрыть порты файрволом.
It has come to our attention that a a mass scan for open ports 80/8291(Web/Winbox) is taking place. To be safe, firewall these ports and upgrade RouterOS devices to v6.41.3 (or at least, above v6.38.5)
— MikroTik (@mikrotik_com) March 27, 2018
Следует заметить, что предназначение крупного ботнета Hajime по-прежнему остается для ИБ-экспертов загадкой. Зараженные устройства не используются для DDoS-атак, проксирования трафика или иных целей, лишь для заражения себе подобных. Напомню, что в 2017 году специалисты предполагали, что за Hajime могут стоять неизвестные white hat’ы, которые таким образом борются с Mirai и другими IoT-угрозами.