חשיפה: ה-Botnet החדש והמשופר – HAJIME

חשיפה: ה-Botnet החדש והמשופר – HAJIME
מאת: מערכת Telecom News, 28.4.17, 11:33

המדובר בנוזקה, שהשתלטה על מאות אלפי מכשירי IoT חכמים בעולם, עקב רשלנות של יצרני ורוכשי המוצרים הללו. יוצרי HAJIME דווקא טוענים, שכוונתם טובה, אך עדיין לרשותם כלי עוצמתי ביותר.
 
עפ"י מחקר חדש של רדוור, HAJIME הוא Botnet חדש, שמשתלט על מכשירי IoT חכמים (כ-300 אלף ממירים, מצלמות אינטרנט ונתבים עד כה). הוא זוהה לראשונה באוקטובר 2016 ומאז עבר מספר שיפורים. התוכנה מאפשרת ליוצריה להיות השליט הבלעדי של המכשיר בכך, שהיא מסוגלת לזהות נוזקות אחרות, להסיר אותן ולמנוע מאחרות להדביק מחדש בעתיד.
 
HAJIME ("התחלה" ביפנית, שם, שאולי רומז על מקום הפיתוח של ה-Botnet) הופיע קצת לאחר שחרור הקוד של MIRAI ("עתיד") – אותה נוזקה, ששימשה למתקפות מניעת שירות שוברות שיאים בסתיו שעבר, כאשר המפורסמת שבהן הייתה נגד חברת שירותי ה-DNS DYN בארה"ב, מתקפה, שהובילה לשיתוק באינטרנט בחצי החוף המזרחי והפכה אתרים מובילים כמו CNN, טוויטר, נטפליקס ועוד, לבלתי נגישים.
 
יוצרי HAJIME טוענים, שכוונתם טובה והם משתלטים על המכשירים, כדי למנוע מהם להיות מנוצלים ע"י כלים דוגמת MIRAI לייצור מתקפות סייבר. עם זאת, הם עדיין שומרים יכולת גישה ושליטה. כך, שגם אם כוונתם טובה, עדיין לרשותם כלי עוצמתי ביותר.
 
HAJIME מפיץ את עצמו באופן אוטומטי ע"י פריצה למכשירים באמצעות סיסמאות ברירת מחדל הנהוגות בשימוש אצל רוב היצרנים. כל מכשיר נגוע סורק את מרחב האינטרנט לזיהוי קורבנות נוספים. ההדבקה נעשית באמצעות ערוצי תקשורת מנקודה לנקודה (כמו TORRENT למשל), ואף תוך כדי ניצול ערוץ תקשורת הנועד לשליטה מרחוק ע"י ספקיות השירות.
 
תוכנת HAJIME יודעת לזהות מגוון של סוגי מכשירים ואת מערכות ההפעלה שלהם. התוכנה טוענת אליהם קבצי הפעלה מתאימים כדי להסיר מהם נוזקות אחרות ואז להשתלט אליהם ולמנוע ניסיונות גישה מרחוק מלבד ליוצריה, דבר המאפשר למכשיר להמשיך בתפקודו הרגיל, אך משאיר את השליטה בו בידיהם, לפחות בינתיים. רוב המכשירים הם מקליטי וידאו דיגיטליים, מצלמות רשת ונתבים.
 
כאמור, כוונותיהם של יוצרי התוכנה עדיין אינן ברורות, והתקווה היא, שכפי שהם מצהירים – כוונתם לאבטח את המכשירים הללו בלבד.
 
בחצי השנה האחרונה מתקיים "מירוץ" בין תוכנות שונות במטרה להשתלט על המכשירים הללו – בין אם כדי לנצל אותם ובין אם כדי להגן עליהם.  על כן מומלץ להסתכל בחוברות ההפעלה של היצרן כיצד לשנות את סיסמאות ברירת המחדל שלהם. כך, שהנוזקות לא תוכלנה לפצח אותן ולהדביק את המכשיר.
 
המחקר המלא– כאן. 

עדכון 4.5.17: עפ"י חוקרי מעבדת קספרסקי, Hajime נמנע מפעילות במספר רשתות, כולל הרשתות של ג'נרל אלקטריק, HP, שירות הדואר של ארה"ב, מחלקת ההגנה האמריקאית ומספר רשתות פרטיות נוספות.

בעת המחקר, ההדבקות הגיעו בעיקר מווייטנאם (מעל ל- 20%), טאיוואן (כמעט 13%) וברזיל (כ- 9%), כאשר רוב המכשירים שנפגעו נמצאים באירן, וייטנאם וברזיל. מעבדת קספרסקי חשפה לפחות 297,499 מכשירים שונים המכילים את התצורה של Hajime.