Обнаружен новый опасный червь для IoT-устройств
Исследователи безопасности из компании Rapidity Networks Сэм Эдвардс (Sam Edwards) и Иоаннис Профетис (Ioannis Profetis) обнаружили новый червь для устройств «Интернета вещей» (IoT) Hajime. Вредонос действует подобно известному трояну Mirai, однако является гораздо более сложным. Поскольку «Mirai» в переводе с японского языка означает «будущее», исследователи решили также дать новому вредоносу японское название (яп. «hajime» - «начало»).
Эдвардс и Профетис обнаружили червь, когда занялись изучением Mirai (исходный код трояна был опубликован в общем доступе в начале текущего месяца). Надеясь на то, что после публикации исходного кода появятся новые ботнеты Mirai, они создали несколько серверов-ловушек (honeypot), расположенных по всему миру. Спустя три дня после публикации исходного кода исследователи зафиксировали нечто похожее на Mirai, однако при более детальном анализе оказалось, что это совсем другой вредонос.
Процесс заражения Hajime состоит из трех фаз. На нулевом этапе вредонос устанавливается на систему жертвы и начинает сканировать произвольные IPv4 адреса. Червь осуществляет брутфорс-атаку на порт 23, пытаясь авторизоваться путем ввода комбинаций логинов и паролей, вшитых в его исходный код. В случае отсутствия открытого порта 23 или неудачной брутфорс-атаки Hajime переходит к другому адресу.
Если червю удалось авторизоваться, он выполняет следующую команду:
enable
system
shell
sh
/bin/busybox ECCHI
С ее помощью вредонос определяет, инфицировал ли он Linux-систему. Hajime может атаковать платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian. Отсюда начинается первая стадия. Вредонос загружает и запускает двоичный файл ELF, предназначенный для установки соединения с подконтрольным злоумышленникам сервером, получения от него кода и выполнения этого кода.
На второй стадии вредонос подключается к P2P-ботнету по DHT-протоколу и получает дополнительные коды и модули по протоколу uTP. Оба эти протокола являются ключевыми для BitTorrent-клиентов. Hajime атакует маршрутизаторы, видеорегистраторы и системы видеонаблюдения.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш