Впервые IoT-ботнет Hide ‘N Seek (HNS) был замечен ИБ-специалистами в январе 2018 года. Тогда аналитики компании Bitdefender предупреждали, что новая угроза, атакующая IoT-девайсы, скомпрометировала более 24 000 устройств и продолжает разрастаться.

В мае 2018 года стало известно, что HNS активно развивается. Исследователи обнаружили, что новые версии малвари стали первыми из всех известных IoT-угроз, которые научились «переживать» перезагрузку зараженных устройств и продолжают работать даже после этого.

В начале июле эксперты Qihoo 360 представили обновленный отчет о деятельности HNS. Выяснилось, что ботнет уже нельзя считать чистой IoT-угрозой, так как вредонос научился атаковать уязвимые БД-решения, помимо роутеров и DVR. Так, малварь представляет угрозу для OrientDB и CouchDB, устройств AVTECH, Cisco Linksys, TP-Link и Netgear.

Теперь аналитики компании Fortinet сообщили, что HNS пополнил свои списки целей еще и «умными» домами. По данным исследователей, наиболее свежая версия вредоноса использует сразу 9 различных эксплоитов, включая эксплоит для удаленного исполнения произвольного кода на устройствах Belkin NetCam и HomeMatic Zentrale CCU2.

Схема развития ботнета и добавления новых эксплоитов

 

Специалисты пишут, что операторы малвари взяли последний эксплоит на вооружение на прошлой неделе, сразу же после того, как он появился в открытом доступе. То же самое произошло ранее и с эксплоитом для Apache CouchDB.

Эксплоит Дата публикации эксплоита
Роутеры TP-Link RCE 2013-03-12
Роутеры Netgear DGN1000 RCE 2017-10-25
Belkin NetCam RCE 2017-07-17
AVTECH IP-камеры/NVR/DVR RCE 2016-10-11
Роутеры CISCO Linksys Router RCE 2014-02-16
JAWS/1.0 RCE 2016-02-10
OrientDB RCE 2017-10-09
Apache CouchDB RCE 2018-06-20
HomeMatic Zentrale CCU2 RCE 2018-07-18

Компания HomeMatic – это поставщик различных решений для «умных» домов от немецкого производителя eQ-3. Hide ‘N Seek научился атаковать центральный элемент платформы автоматизации, который используется для контроля, мониторинга и настройки всех устройств HomeMatic.

«Hide ‘N Seek оперативно добавляет новые эксплоиты и атакует все больше платформ и устройств, чтобы увеличить свою область распространения. Пополнение арсенала свежими PoC-эксплоитами увеличивает шансы того, что HNS первым заразит эти устройства», — пишут исследователи.

Оставить мнение