Hajime против Mirai: битва гигантов

Специалисты Symantec сообщают о резком росте распространения вредоносного ПО для устройств интернета вещей под названием Hajime. Впервые этот зловред был обнаружен в октябре прошлого года исследователями Rapidity Networks, и с тех пор он активно завоевывает позиции. По данным Symantec, сегодня за сутки происходит порядка 260-370 миллиардов попыток инфицирования устройств интернета вещей Hajime. А общее число уже инфицированных устройств может составлять 130-185 тысяч. Лидируют по числу случаев заражения Бразилия и Иран (19 и 17 процентов всех случаев инфицирования Hajime), третью строчку делят Россия и Таиланд (по 11 процентов).

Вредоносное ПО Hajime во многом сходно с печально известным Mirai. Зловред также сканирует устройства интернета вещей в поисках открытых Telnet-портов и, обнаружив их, пытается получить доступ путем перебора обширного списка предустановленных заводских логинов и паролей. Но дальше наблюдается существенная разница. Если Mirai объединяет инфицированные устройства в ботнеты для мощнейших DDoS-атак, то Hajime пока занимается исключительно тем, что борется с Mirai. Он закрывает Telnet-порты, тем самым лишая Mirai возможности добраться до устройств.

Помимо этого, Hajime примерно раз в 10 минут направляет на скомпрометированные устройства сообщения следующего содержания: «Не беспокойтесь, это «белый хакер» укрепляет безопасность системы. Важные сообщения будут подписываться именно так! Автор Hajime». Эксперты по кибербезопасности не исключают того, что речь действительно идет о попытке неизвестного «белого хакера» внести вклад в борьбу за безопасность интернета вещей. Но даже в этом случае его действия трудно назвать этически безупречными. Однако, вполне вероятно, что ситуация намного хуже, и мы наблюдаем борьбу конкурирующих киберпреступных группировок. В этом случае Hajime может в любой момент проявить свой скрытый вредоносный функционал и причинить ничуть не меньше неприятностей, чем ранее Mirai.