Впервые IoT-ботнет Hide ‘N Seek (HNS) был замечен ИБ-специалистами в январе 2018 года. Тогда аналитики компании Bitdefender предупреждали, что новая угроза, атакующая IoT-девайсы, скомпрометировала более 24 000 устройств и продолжает стремительно разрастаться.
В мае 2018 года стало известно, что HNS активно развивается. Исследователи обнаружили, что новые версии малвари стали первыми из всех известных IoT-угроз, которые научились «переживать» перезагрузку зараженных устройств и продолжают работать даже после этого.
Тогда было известно, что HNS распространяется посредством комбинирования словарных брутфорс-атак и жестко закодированного списка учетных данных, обнаруживая в сети устройства с открытыми портами Telnet, но механизм распространения сильно кастомизирован. Так, вредонос работает подобно червю, и атака начинается с того, что он генерирует случайные IP-адреса и пытается установить соединение raw socket SYN с каждым адресом из полученного списка. После заражения устройства, HNS ищет другие цели в той же LAN-сети, а также запускает сервер TFTP (Trivial File Transfer Protocol) для доставки малвари.
Эксперты писали, что HNS отличается об большинство современных ботнетов, атакующих интернет вещей. Дело в том, что HNS строится не на базе модифицированной версии Mirai и демонстрирует куда большее сходство с малварью Hajime, то есть тоже использует децентрализованную peer-to-peer архитектуру. Причем если в случае Hajime авторы вредоноса использовали протокол BitTorrent, то разработчики HNS создали собственный механизм для P2P-коммуникаций.
Теперь обновленный отчет о деятельности HNS представили эксперты Netlab Qihoo 360. По данным специалистов, отныне HNS уже нельзя считать IoT-угрозой, так как теперь вредонос ищет уязвимые БД-решения, помимо роутеров и DVR. Так, в настоящее время HNS атакует следующие устройства и продукты, используя перечисленные эксплоиты:
- Роутеры TPLink RCE;
- Роутеры Netgear RCE;
- (новое) AVTECH RCE;
- (новое) Роутеры CISCO Linksys RCE;
- (новое) JAW/1.0 RCE;
- (новое) OrientDB RCE;
- (новое) CouchDB RCE.
Эксперты отмечают, что из-за большего количества пейлоадов HNS стал гораздо «заметнее», ведь теперь вредоносу нужно сканировать больше портов в поисках уязвимых решений. Теперь активность ботнета можно обнаружить по проявлению интереса к портам:
- 23 Telnet;
- 80 HTTP Web Service;
- 2480 OrientDB;
- 5984 CouchDB;
- 8080 HTTP Web Service;
- и другим случайным портам.
Судя по всему, операторы Hide ‘N Seek переняли опыт администраторов другого известного ботнета, DDG: тот так же атаковал серверы OrientDB, но для заражения криптовалютным майнером. Теперь майнера распространяет уже HNS, но, по данным аналитиков Netlab Qihoo 360, пока пейлоад майнера не работает как должно, и новая тактика пока не принесла разработчикам вредоноса какой-либо прибыли. Нужно заметить, что в прошлом году операторы DDG «заработали» таким образом около миллиона долларов США.