После публикации исходных кодов трояна Mirai специалисты компании Rapidity Networks решили изучить как саму малварь, так и понаблюдать, что будут делать с исходниками IoT-вредоноса другие хакеры. Специалисты запустили ряд серверов-приманок по всему миру и принялись собирать данные.
Вскоре исследователи с удивлением поняли, что наблюдают совсем не Mirai. 5 октября 2016 года был обнаружен вредонос Hajime – червь, который на первый взгляд очень походил на Mirai, но более детальное изучение показало, что эту угроза значительно серьёзнее.
Если Mirai по-японски значит «будущее», то Hajime означает «начало».
Исследователи пишут (PDF), что Hajime использует механизм заражения, поделенный на три этапа. Кроме того, угроза недаром названа червем: Hajime умеет размножаться самостоятельно. Сначала червь атакует 23 порт, пытаясь брутфорсом подобрать логин и пароль к системе. Наиболее распространенные сочетания учетных данных жестко закодированы в коде Hajime, Если 23 порт закрыт, или атака не удается, малварь оставляет попытки и переходит к следующему IP-адресу. Если же брутфорс прошел успешно, червь выполняет на устройстве следующие команды:
enable system shell sh /bin/busybox ECCHI
Таким образом вредонос определяет, что он точно попал в Linux-систему. Согласно данным Rapidity Networks, малварь атакует платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian, то есть масштабы его деятельности значительно шире, чем у похожих IoT-угроз.
После Hajime переходит к следующей стадии атаки. Он скачивает 484-байтный ELF-файл и запускает его, тем самым открывая соединение с сервером атакующих. С сервера малварь получает новый бинарник и также его выполняет. На следующей стадии атаки данный файл используется для установления соединения с PSP-сетью с применением протокола DHT. Посредством P2P, используя DHT и uTP, вредонос загружает другие пейлоуды.
Исследователи отмечают, что Hajime похож сразу на несколько других угроз. Так, червь использует P2P, как и троян Rex; он имеет списки комбинаций логинов и паролей для брутфорса случайных IP-адресов и распространяется самостоятельно, как Miari; а также использует механизм заражения, состоящий из нескольких стадий, подобно NyaDrop. При этом Hajime написан на C, а не на Go, как Rex. Он использует P2P, а не работает с управляющими серверами напрямую, как Mirai. К тому же вредонос опасен для множества разных платформ, тогда как NyaDrop атакует лишь девайсы на архитектуре MIPS.
Судя по жестко закодированным в коде Hajime учетным данным, червь атакует камеры видеонаблюдения, роутеры и DVR-системы. Если точнее, малварь представляет угрозу для устройств компаний Dahua Technologies и ZTE Corporation, а также для оборудования ряда других фирм, которые выпускают продукты (в основном DVR-системы), в результате white-label партнерства с компанией XiongMai Technologies.
Специалисты Rapidity Networks предполагают, что автор Hajime, скорее всего, европеец, который начал разработку вредоноса еще в 2013 году, хотя «релиз» червя состоялся лишь в сентябре 2016 года.
«Хотя Hajime и Mirai оба используют схожую тактику для распространения на новые хосты, на самом деле, логика сканирования и размножения, судя по всему, была позаимствована ими у qBot. Если мы верно вычислили дату первого запуска Hajime, [Пнд, 26 Сен 2016 08:41:54 GMT], это произошло через пару дней после публикации исходных кодов Mirai. Тем не менее, крайне маловероятно, что Hajime содержит какой-либо код Mirai», — добавляют исследователи.
В январе российские банки начали массово блокировать платежи турагентам на личные карты. Об этом сообщила Ассоциация туроператоров России (АТОР), связав происходящее с новыми требованиями Банка России по усилению контроля за переводами между физлицами — прежде всего через СБП.
С 1 января ЦБ ужесточил подход к таким операциям, рассматривая их как потенциальную часть мошеннических схем.
В результате под удар в первую очередь попали турагенты-фрилансеры и индивидуальные предприниматели, которые принимают оплату от клиентов на личные карты или счета, а не на расчётные счета бизнеса.
Риски возникают и для самих туристов. Подозрительным банк может счесть перевод крупной суммы частному агенту, а также ситуацию, когда клиент сначала переводит деньги между своими счетами, а уже потом оплачивает путёвку. В АТОР отмечают, что система особенно настороженно реагирует на операции пожилых клиентов.
По данным опроса, проведённого ассоциацией среди турагентов и туристов, суммы заблокированных переводов варьируются от 20–50 тыс. рублей до 300 тыс. и более. Чтобы снять ограничения, клиенту обычно нужно связаться с банком по телефону и подробно объяснить цель перевода. Иногда этого оказывается недостаточно — тогда просят лично прийти в отделение.
Масштабы происходящего заметно выросли. Как выяснил «Коммерсантъ», только за первые недели 2026 года банки временно заблокировали 2–3 млн карт и счетов физлиц в рамках борьбы с мошенничеством. Для сравнения: раньше в месяц блокировалось в среднем около 330 тыс. переводов.
В туристической отрасли опасаются, что такая практика может осложнить работу небольших агентств и фрилансеров, а для клиентов — превратить обычную покупку тура в нервный квест с звонками в банк и визитами в офис.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
