Игра в прятки, или первый ботнет, которому не страшен reboot.

Ботнет «играет в прятки» со специалистами по ИБ с 10 января: на тот момент сеть Hide and Seek состояла всего из 12 устройств. Большая их часть являлась IP-камерами, произведенными корейской компанией Focus H&S, и их IP-адреса были прописаны в коде явным образом.

После ботнет «спрятался» и обнаружил себя только 20 января, но в его составе оказались уже 14 тысяч зараженных устройств. После чего ботнет продолжил свое активное распространение и успел заразить порядка 90 тысяч уникальных девайсов. И вот, в апреле, появилась его новая версия.

Как работает ботнет

Новая версия ботнета содержит ряд улучшений в механизмах распространения. Например, он научился эксплуатировать еще две уязвимости IP-камер, которые позволяли повысить права доступа в системе и получить контроль над устройством. Помимо этого, HNS может определять два новых типа девайсов и получать к ним доступ перебором логинов и паролей (используя список паролей, установленных по умолчанию).

Механизм распространения HNS напоминает то, как «размножаются» сетевые черви.

Сперва бот генерирует список случайных IP-адресов, чтобы выбрать себе жертв. Затем он посылает SYN-запрос каждому хосту и продолжает «общение» с теми, которые ответили на запрос на портах 23 2323, 80 и 8080. Как только связь установлена, вредонос ищет сообщение «buildroot login» и пытается авторизоваться с помощью предустановленных учетных данных. В случае неудачи HNS применяет перебор по словарю по hardcoded-списку.

После подключения ботнет определяет целевое устройство и выбирает подходящий способ компрометации. Например, если бот находится с жертвой в одной LAN-сети, он настраивает TFTP-сервер, позволяя цели скачать образец вредоносной программы напрямую. Если жертва «располагается» в интернете, то ботнет пробует различные методы удаленной доставки «вредоносной посылки». Все эксплойты предварительно сконфигурированы и хранятся в ячейке памяти с цифровой подписью для предотвращения несанкционированного доступа. Список методов можно обновлять удаленно и распространять среди зараженных хостов.

ИБ-исследователи выяснили, что у ботнета в арсенале имеется десять бинарников, скомпилированных для разных платформ: x86, x64, ARM (Little Endian и Big Endian), SuperH, PPC и других.

А чтобы надежно закрепиться в системе, после успешного заражения целевого устройства бот копирует себя в /etc/init.d/ и активирует функцию автозагрузки вместе с запуском ОС (взаимодействие с жертвой происходит по Telnet, поскольку для копирования бинарников в директорию init.d требуются root-права). Затем HNS открывает случайный UDP-порт, который понадобится киберпреступникам, чтобы связаться с устройством.

Другие крупные ботнеты

• Одним из самых знаменитых IoT-ботов можно назвать Mirai.

Также как и HNS, этот ботнет искал IoT-устройства с открытыми Telnet-портами. Авторы Mirai, любители Minecraft и аниме (Mirai в переводе с японского означает «будущее», в честь манги «Дневник будущего»), в 2016 году провели несколько мощных DDoS-атак на сайты, серверы провайдеров (в сентябре и октябре) и заразили около 300 тысяч IoT-девайсов.

• Другой известный кейс — Hajime (в переводе с японского значит «начало»).

Этот ботнет захватил 300 тысяч IoT-устройств с помощью брутфорс-атак. Атаки Hajime по большей части были нацелены на цифровые видеомагнитофоны, веб-камеры и роутеры. Согласно исследованию «Лаборатории Касперского», ботнет в основном заражал устройства из Вьетнама (20%), Тайваня (13%) и Бразилии (9%). При этом Hajime «сознательно» избегал частные сети (в том числе сети Министерства обороны США, компаний Hewlett-Packard, General Electric и других).

Как защититься

По словам представителей Bitdefender, ботнет HNS пока находится на «стадии роста». Его операторы стараются захватить как можно большее количество устройств. Поэтому атаки с его участием пока не проводились. Но есть вероятность, что в скором времени хакеры добавят в бинарные файлы «боевые команды».

Чтобы защитить устройства интернета вещей от атак HNS и ботнетов в целом, специалисты по ИБ из Trend Micro рекомендуют выполнить следующие простые и довольно банальные шаги:

• Изменить пароль IoT-устройства по умолчанию на более сложный (всё как обычно: минимум 15 символов, разный регистр букв, плюс цифры и знаки);
• Регулярно устанавливать обновления, особенно те, что касаются безопасности;
• Использовать программные решения для защиты сети, шифрования трафика и пр.

Эти простые методы позволят защититься от многих вредоносов, «вербующих» в свои ряды устройства интернета вещей.

LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.