Ένα botnet (Hajime) που ανακαλύφθηκε στα τέλη του περασμένου χρόνου έχει αποκτήσει τεράστιο μέγεθος τις τελευταίες εβδομάδες, αλλά οι ερευνητές ασφαλείας δεν μπορούν να καταλάβουν γιατί, καθώς δεν μπορούν να καταλάβουν το τι κάνει.
Το κακόβουλο λογισμικό (malware), που ονομάστηκε Hajime, βρέθηκε τον περασμένο Οκτώβριο, περίπου την ίδια στιγμή που χρησιμοποιήθηκε το περιβόητο και πλέον κακόφημο botnet Mirai σε επιθέσεις εναντίον του αμερικανικού διαδικτύου.
Το botnet Hajime έχει μολύνει μέχρι στιγμής 300.000 συσκευές συνδεδεμένες στο διαδίκτυο (ψηφιακές βιντεοκάμερες, κάμερες και routers) και δείχνει να στοχεύει προσεκτικά συγκεκριμένα δίκτυα, αποφεύγοντας συσκευές που ανήκουν σε Αμερικάνικες κρατικές υπηρεσίες. Όπως και το Mirai, το malware επιτίθεται σε συσκευές που έχουν αδύναμους ή προεπιλεγμένους κωδικούς πρόσβασης και ονόματα χρήστη (συχνά είναι “admin” ή “root”).
Αυτό που κάνει πολύ διαφορετικά το κακόβουλο λογισμικό Hajime είναι ότι κλείνει ορισμένες θύρες αό το firewall και ανοίγει αρκετές άλλες για να δημιουργήσει μια δομή διοίκησης και ελέγχου peer-to-peer.
Όμως μέχρι σήμερα κανείς δεν είναι σίγουρος για το τι κάνει το botnet ή ποιος είναι πίσω του.
“Το πιο ενδιαφέρον για το Hajime είναι ο σκοπός του”, δήλωσαν οι ερευνητές ασφαλείας της Kaspersky σε μια δημοσίευση στο blog τους, προσθέτοντας ότι ο σκοπός του “παραμένει άγνωστος”.
“Δεν έχουμε δει να χρησιμοποιείται σε οποιοδήποτε είδος επίθεσης ή κακόβουλης δραστηριότητας”, ανέφεραν οι ερευνητές.
Όλα τα σημάδια δείχνουν κάποιον white hat hacker, ο οποίος έχει αναλάβει να “ασφαλίσει μερικά συστήματα”, σύμφωνα με ένα σημείωμα που αφήνει σε κάθε σύστημα που μολύνει το botnet.
Αλλά οποιοδήποτε botnet – ακόμα και εκείνα που γεννήθηκαν με καλές προθέσεις – μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς, είτε από τον ιδιοκτήτη του botnet είτε από κάποιον άλλο που καταφέρνει να αποκτήσει πρόσβαση.
Ένας χάρτης που δείχνει τις γεωγραφικές πηγές της λοίμωξης του Hajime. (Εικόνα: Radware)
Οι ερευνητές της Radware δήλωσαν την Τετάρτη ότι η “ευέλικτη και επεκτάσιμη φύση” του botnet θα μπορούσε να χρησιμοποιηθεί για κακόβουλους λόγους, όπως για την εκτέλεση επιθέσεων DDoS, τη διάδοση κακόβουλου λογισμικού ή η μαζική παρακολούθηση streaming σε πραγματικό χρόνο από τις web κάμερες.
Οι ερευνητές αναφέρουν επίσης ότι μια ευπάθεια που έγινε patched πρόσφατα στο Hajime θα μπορούσε να επιτρέψει σε έναν hacker να πάρει τον έλεγχο του botnet.
“Ένα τόσο μεγάλο botnet με τέτοια ευελιξία θα προσελκύσει την προσοχή ανταγωνιστικών hackers, επομένως θεωρώ ότι είναι πολύ πιθανό να προσπαθήσουν να πάρουν τον έλεγχο και να αναλάβουν τις εντολές του botnet.”
“Η ευπάθεια έχει κλείσει από τον προγραμματιστή, αλλά αποδεικνύει ότι το κακόβουλο λογισμικό μπορεί να περιέχει τρωτά σημεία” αναφέρουν οι ερευνητές.