2017-04-25
Kaspersky Lab opublikował wyniki swojego dochodzenia dotyczącego aktywności Hajime – tajemniczego, ewoluującego szkodliwego oprogramowania wycelowanego w Internet Rzeczy, które tworzy ogromną sieć zainfekowanych urządzeń (tzw. botnet).

Botnet ten rozprzestrzeniał się ostatnio szeroko, infekując wiele urządzeń na świecie. Obecnie sieć składa się z niemal 300 000 urządzeń zainfekowanych szkodliwym oprogramowaniem, które są gotowe współdziałać, aby wypełnić instrukcje autora szkodnika bez wiedzy ofiar. Prawdziwy cel Hajime pozostaje nieznany.

Hajime (z japońskiego oznacza „początek”) ujawnił pierwsze oznaki swojej aktywności w październiku 2016 r. Od tego czasu ewoluował, rozwijając nowe techniki rozprzestrzeniania się. Szkodnik ten buduje ogromny botnet — zdecentralizowaną grupę zhakowanych maszyn, które dyskretnie przeprowadzają ataki spamowe lub DDoS.    

Jednak Hajime nie zawiera żadnego kodu ani możliwości atakowania — jedynie moduł rozprzestrzeniania się. Szkodnik ten, należący do rodziny zaawansowanych programów działających ukradkowo, stosuje różne techniki — głównie łamanie haseł metodą siłową — w celu infekowania urządzeń, a następnie podejmuje szereg działań, aby ukryć się przed wykryciem. Tym samym urządzenie staje się częścią botnetu. 

Hajime nie atakuje wyłącznie określonego typu urządzeń, a raczej dowolny sprzęt z dostępem do internetu. Mimo to większość celów stanowią cyfrowe rejestratory wideo, w dalszej kolejności kamery internetowe oraz rutery sieciowe.   

Według badaczy z Kaspersky Lab Hajime unika kilku sieci, w tym firm General Electric, Hewlett-Packard, amerykańskiej poczty, Departamentu Obrony Stanów Zjednoczonych oraz wielu sieci prywatnych.

Wśród głównych źródeł infekcji w momencie prowadzenia badania znalazł się Wietnam (ponad 20%), Tajwan (prawie 13%) oraz Brazylia (około 9%). Najwięcej zhakowanych urządzeń jest zlokalizowanych w Iranie, Wietnamie i Brazylii.

Łącznie w badanym okresie Kaspersky Lab ujawnił co najmniej 297 499 unikatowych urządzeń współdzielących konfigurację Hajime. 

Najbardziej intrygującą rzeczą, jeśli chodzi o Hajime, jest jego cel. Chociaż botnet staje się coraz większy, jego cel pozostaje nieznany. Nie zauważyliśmy jego śladów w żadnym rodzaju ataku czy dodatkowej szkodliwej aktywności. Mimo to zalecamy właścicielom urządzeń Internetu Rzeczy, aby zmienili ich hasła na takie, które są trudne do złamania, i aby w miarę możliwości uaktualnili oprogramowanie firmware — powiedział Konstantin Zykow, starszy badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Szczegóły techniczne dotyczące botnetu Hajime są dostępne na stronie https://kas.pr/g4me.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła. Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał: Kaspersky Lab Polska Sp. z o.o. http://kaspersky.pl