Впервые IoT-ботнет Hide ‘N Seek (HNS) был замечен ИБ-специалистами в январе 2018 года. Тогда аналитики компании Bitdefender предупреждали, что новая угроза, атакующая IoT-девайсы, скомпрометировала более 24 000 устройств и продолжает стремительно разрастаться.

В мае 2018 года стало известно, что HNS активно развивается. Исследователи обнаружили, что новые версии малвари стали первыми из всех известных IoT-угроз, которые научились «переживать» перезагрузку зараженных устройств и продолжают работать даже после этого.

Тогда было известно, что HNS распространяется посредством комбинирования словарных брутфорс-атак и жестко закодированного списка учетных данных, обнаруживая в сети устройства с открытыми портами Telnet, но механизм распространения сильно кастомизирован. Так, вредонос работает подобно червю, и атака начинается с того, что он генерирует случайные IP-адреса и пытается установить соединение raw socket SYN с каждым адресом из полученного списка. После заражения устройства, HNS ищет другие цели в той же LAN-сети, а также запускает сервер TFTP (Trivial File Transfer Protocol) для доставки малвари.

Эксперты писали, что HNS отличается об большинство современных ботнетов, атакующих интернет вещей. Дело в том, что HNS строится не на базе модифицированной версии Mirai и демонстрирует куда большее сходство с малварью Hajime, то есть тоже использует децентрализованную peer-to-peer архитектуру. Причем если в случае Hajime авторы вредоноса использовали протокол BitTorrent, то разработчики HNS создали собственный механизм для P2P-коммуникаций.

Теперь обновленный отчет о деятельности HNS представили эксперты Netlab Qihoo 360. По данным специалистов, отныне HNS уже нельзя считать IoT-угрозой, так как теперь вредонос ищет уязвимые БД-решения, помимо роутеров и DVR. Так, в настоящее время HNS атакует следующие устройства и продукты, используя перечисленные эксплоиты:

Эксперты отмечают, что из-за большего количества пейлоадов HNS стал гораздо «заметнее», ведь теперь вредоносу нужно сканировать больше портов в поисках уязвимых решений. Теперь активность ботнета можно обнаружить по проявлению интереса к портам:

  • 23      Telnet;
  • 80      HTTP Web Service;
  • 2480  OrientDB;
  • 5984  CouchDB;
  • 8080  HTTP Web Service;
  • и других случайным портам.

Судя по всему, операторы Hide ‘N Seek переняли опыт администраторов другого известного ботнета, DDG: тот так же атаковал серверы OrientDB, но для заражения криптовалютным майнером. Теперь майнера распространяет уже HNS, но, по данным аналитиков Netlab Qihoo 360, пока пейлоад майнера не работает как должно, и новая тактика пока не принесла разработчикам вредоноса какой-либо прибыли. Нужно заметить, что в прошлом году операторы DDG «заработали» таким образом около миллиона долларов США.

Оставить мнение