Някои от вас може би са чували за Hajime. Това е програма, която инфектира IoT устройства (Интернет на Нещата) със софтуер. Той подпомага блокирането на други подобни софтуери да заразят устройствата и да ги „отвлекат“. Наскоро бе публикуван анализ за това колко много работа е вложена в Hajime. Огромно количество иновации и програмиране са усъвършенствали дизайна и цялостната структура на тази botnet мрежа. Можем спокойно да заявим, че това е най-развитият и напреднал IoT botnet в Интернет.
Как работи този IoT botnet
Hajime използва същия списък от комбинации на имена и пароли като Mirai, друг известен botnet от миналата година. Веднъж инфектирал дадена камера, DVR устройство или друг IoT продукт, Hajime блокира достъпа до четири порта, през които бе известно, че се случват огромна част от хаковете на подобни продукти. Също така той показва съобщение на конзолата на потребителя, което гласи, че създателят му е „безопасен източник, който просто обезопасява някои системи“.
Все пак, за разлика от опростените функции на програми като Mirai, Hajime разполага с пълен набор функционалности. Те му позволяват да бъде надежден, невидим и да се отличава значително повече от други подобни програми по отношение на сигурността на данните на устройството. Публикуваният анализ показва голямото количество работа и време, които са вложили в проекта създателите му.
Като пример можем да покажем начина, по който този IoT botnet получава достъп до определено устройство. Вместо да използва комбинации от имена и пароли на напълно произволен принцип, Hajime първо анализира марката и модела на устройството. След това програмата използва комбинации, които са дадени по подразбиране от производителя. По този начин IoT botnet програмата получава достъп значително по-бързо. При атака на Mikrotik рутер, Hajime изпробва първо името „admin“ и оставя празно поле за паролата. Това е зададената по подразбиране настройка.
Този метод позволява на програмата да използва по-малко опити за достъп, което намалява шансовете тя да бъде блокирана от устройството.
Списък с функционалности на Hajime IoT botnet
- Променя активно последователността на подаване на информация към устройството спрямо платформата и модела му;
- Способен е да инфектира ARRIS модеми с помощта на задна вратичка в системите им;
- По време на процеса по инфектиране е способен да засече платформата и да заобиколи някои защитни системи;
- Използва усъвършенстван набор от програми за генериране на имена и пароли.
- Има способността да използва друго устройство в мрежата за процеса на сваляне и след това да инфектира на локално ниво. Hajime разполага с възможности да засече максималното разстояние в мрежата, от което може да започне атаката си към устройствата;
- Използва торент мрежа за разпространение, през която не може да бъде проследен;
- Използва същата торент мрежа, за да се ъпдейтва и да се обновява в случай на деинсталация;
- Използва uTP BitTorrent протокол за достъп, за да намали нужните портове за достъп, вместо да използва просто TCP протокол при торент трансферите;
- Цялата връзка през торент клиента е криптирана и подписана с публични и поверителни ключове;
- Разполага с функционалности да пробие дупки в gateway устройства, за да разкрие портовете, нужни му за достъп.
Публикуваният анализ е направен след наблюдението на много устройства, претърпели подобна атака. По време на петте седмици на наблюдение, Hajime е направил опит за достъп до над 15,000 устройства.
Ще завършим с цитат от компанията Geenens, която е направила анализа:
„Ако Hajime IoT botnet представлява поглед върху това как ще изглеждат бъдещите IoT botnet програми, силно се надявам, че IoT индустрията ще се осъзнае и ще започне сериозно да работи върху сигурността на съществуващите и бъдещи продукти. Ако това не се случи, надеждите ни за едно свързано бъдеще може да зависят от подобни неизвестни герои, борещи се чрез саморазправа и прочистващи заплахите по трудния начин.“