Botnet Hajime lây nhiễm 300.000 thiết bị IoT

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Botnet Hajime lây nhiễm 300.000 thiết bị IoT
Hajime – dòng mã độc nhắm tới các thiết bị IoT xuất hiện vào tháng 10/2016, đã lây nhiễm khoảng 300.000 thiết bị trong một mạng botnet.

Mã độc này xuất hiện cùng thời điểm mạng botnet “nổi tiếng” Mirai bắt đầu thực hiện các cuộc tấn công. Hajime cũng nhắm tới cùng các thiết bị như Mirai nhưng không thực hiện tấn công từ chối dịch vụ (DDoS). Thay vào đó, mã độc chỉ đơn giản đóng một số cổng, ngăn các thiết bị không nhiễm Mirai và các mã độc tương tự.

bot.jpg

Mã độc được đặt tên là Hajime, trong tiếng Nhật nghĩa là “sự bắt đầu”, còn Mirai có ý nghĩa “tương lai”. Hajime xây dựng một botnet ngang hàng (P2P), tuy nhiên, các chuyên gia hiện vẫn chưa xác định được mục đích của botnet này. Symantec cho biết có thể một hacker mũ trắng đã tạo ra mã độc, nhưng botnet có thể dễ dàng bị chuyển đổi sang sử dụng cho các mục đích độc hại.

Với những thay đổi gần đây trong mô-đun tấn công, một điều chắc chắn là tác giả của Hajime đang tiếp tục cập nhật code cho mã độc. Hiện tại, Hajime hỗ trợ 3 phương thức tấn công khác nhau: khai thác TR-069, tấn công qua khai thác mật khẩu mặc định Telnet và mật khẩu modem cáp Arris. Các chuyên gia cho biết, cuộc tấn công nhắm tới TR-069 mới được hacker tiến hành thời gian gần đây.

TR-069 (Technical Report 069) là một chuẩn được Diễn đàn Broadband phát hành, sử dụng bởi các ISP để quản lý modem từ xa thông qua cổng TCP 7547 (một số thiết bị sử dụng cổng 5555). Bằng cách lợi dụng tính năng TR-069 NewNTPServer, kẻ tấn công có thể thực thi các lệnh tùy ý trên các thiết bị lây nhiễm. Cuối năm ngoái, cuộc tấn công TR-069 đã được tiến hành để đánh sập gần 1 triệu modem của Deutsche Telekom.

Theo các chuyên gia, Hajime tấn công bất kỳ thiết bị nào trên Internet ngoại trừ một số mạng, và tác giả mã độc gần đây đã cải tiến logic phát hiện kiến trúc cho nó. Sau khi vượt qua giai đoạn xác thực, mã độc đọc 52 byte đầu tiên của tệp nhị phân echo của nạn nhân (thông tin về kiến trúc và hệ điều hành nằm trong 20 byte đầu tiên). Sau đó, Hajime so sánh header echo ELF với chuỗi được xác định trước để lấy mã tải Hajime.

Mặc dù Hajime có khả năng tấn công bất kỳ thiết bị nào, kẻ đứng sau mã độc tập trung vào một số thương hiệu hoặc thiết bị cụ thể. Mã độc chỉ sử dụng một số sự kết hợp giữa tên và mật khẩu người dùng cụ thể để tấn công dò mật khẩu thiết bị lây nhiễm.

Trong khoảng thời gian 24 giờ, hệ thống của Kaspersky ghi nhận 2.593 cuộc tấn công Hajime telnet, 2.540 đến từ các địa chỉ IP duy nhất. Hầu hết các thiết bị tấn công (vốn là nạn nhân của Hajime) đặt tại Việt Nam (20,04%), Đài Loan (12,87%) và Brazil (8,94%).

Điều thú vị nhất về Hajime là mục đích của nó. Trong khi botnet này đang ngày một lớn hơn, một phần nhờ các mô-đun khai thác mới, thì mục đích của nó vẫn chưa được xác định. Chúng ta chưa thấy botnet được sử dụng trong bất kỳ cuộc tấn công nào hay có những hành vi độc hại. Tuy nhiên, chủ sở hữu các thiết bị IoT được khuyến cáo thay đổi mật khẩu để ngăn nguy cơ tấn công dò mật khẩu và cập nhật phần mềm nếu có thể.

Nguồn: SecurityWeek
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Bên trên