x

перезвонить

Ботнет Hajime «охотится» на уязвимые роутеры MikroTik

Ботнет Hajime «охотится» на уязвимые роутеры MikroTik

Эксперты обнаружили, что крупный IoT-ботнет Hajime снова активизировался – зафиксированы массовые сканирования сети с целью обнаружения роутеров от компании MikroTik. 25 марта значительное количество серверов-ловушек зафиксировали резкий рост активности, в частности много запросов было обращено к порту 8291. В последующие дни активность не снижалась, что привлекло внимание экспертов со всего мира. В частности, отчеты по инциденту уже представили Radware и Qihoo 360 Netlab.

Анализ показал, что злоумышленники осуществляют сканирование для поиска уязвимых роутеров компании MikroTik. Делается это для эксплуатации уязвимости Chimay Red, которая присутствует в RouterOS 6.38.4 и более младших версиях. Проблема позволяет злоумышленнику загрузить и выполнить произвольный код на атакованном устройстве.

Операторы ботнета Hajime используют ошибку для распространения вредоносной программы Hajime. Устройства, уже вовлеченные во вредоносную сеть, сканируют случайные адреса, делая попытки подключиться к порту 8291. Это позволяет вычислить роутеры MikroTik. При обнаружении такого устройства вредоносная программа использует публичный эксплойт, отправляя его на порты 8880, 8181, 8089, 8082, 8081, 8080, 80, 81 и 81. Если атака оказалась успешной, устройство становится частью ботнета.

Представители MikroTik подтвердили, что в курсе масштабной атаки. На официальном блоке компании отмечает, что более года назад был представлен патч, устраняющий проблему Chimay Red, поэтому для защиты устройства достаточно обновить систему RouterOS. Напомним, указанный пакет обновлений появился в версии ОС 6.38.5, текущая версия - 6.41.3. В качестве дополнительной меры можно закрыть проблемные порты при помощи файервола.

Назначение сформированного ботнета пока неизвестно специалистам. На данном этапе зараженные устройства используются только для расширения вредоносной сети, других действий не зафиксировано. В 2017 году ряд специалистов выдвинули предположение, что Hajime может принадлежать «белым» хакерам, которые таким нестандартным способом пытаются бороться с Mirai и другими IoT-угрозами.

Расскажи друзьям