После публикации исходных кодов трояна Mirai специалисты компании Rapidity Networks решили изучить как саму малварь, так и понаблюдать, что будут делать с исходниками IoT-вредоноса другие хакеры. Специалисты запустили ряд серверов-приманок по всему миру и принялись собирать данные.
Вскоре исследователи с удивлением поняли, что наблюдают совсем не Mirai. 5 октября 2016 года был обнаружен вредонос Hajime – червь, который на первый взгляд очень походил на Mirai, но более детальное изучение показало, что эту угроза значительно серьёзнее.
Если Mirai по-японски значит «будущее», то Hajime означает «начало».
Исследователи пишут (PDF), что Hajime использует механизм заражения, поделенный на три этапа. Кроме того, угроза недаром названа червем: Hajime умеет размножаться самостоятельно. Сначала червь атакует 23 порт, пытаясь брутфорсом подобрать логин и пароль к системе. Наиболее распространенные сочетания учетных данных жестко закодированы в коде Hajime, Если 23 порт закрыт, или атака не удается, малварь оставляет попытки и переходит к следующему IP-адресу. Если же брутфорс прошел успешно, червь выполняет на устройстве следующие команды:
enable system shell sh /bin/busybox ECCHI
Таким образом вредонос определяет, что он точно попал в Linux-систему. Согласно данным Rapidity Networks, малварь атакует платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian, то есть масштабы его деятельности значительно шире, чем у похожих IoT-угроз.
После Hajime переходит к следующей стадии атаки. Он скачивает 484-байтный ELF-файл и запускает его, тем самым открывая соединение с сервером атакующих. С сервера малварь получает новый бинарник и также его выполняет. На следующей стадии атаки данный файл используется для установления соединения с PSP-сетью с применением протокола DHT. Посредством P2P, используя DHT и uTP, вредонос загружает другие пейлоуды.
Исследователи отмечают, что Hajime похож сразу на несколько других угроз. Так, червь использует P2P, как и троян Rex; он имеет списки комбинаций логинов и паролей для брутфорса случайных IP-адресов и распространяется самостоятельно, как Miari; а также использует механизм заражения, состоящий из нескольких стадий, подобно NyaDrop. При этом Hajime написан на C, а не на Go, как Rex. Он использует P2P, а не работает с управляющими серверами напрямую, как Mirai. К тому же вредонос опасен для множества разных платформ, тогда как NyaDrop атакует лишь девайсы на архитектуре MIPS.
Судя по жестко закодированным в коде Hajime учетным данным, червь атакует камеры видеонаблюдения, роутеры и DVR-системы. Если точнее, малварь представляет угрозу для устройств компаний Dahua Technologies и ZTE Corporation, а также для оборудования ряда других фирм, которые выпускают продукты (в основном DVR-системы), в результате white-label партнерства с компанией XiongMai Technologies.
Специалисты Rapidity Networks предполагают, что автор Hajime, скорее всего, европеец, который начал разработку вредоноса еще в 2013 году, хотя «релиз» червя состоялся лишь в сентябре 2016 года.
«Хотя Hajime и Mirai оба используют схожую тактику для распространения на новые хосты, на самом деле, логика сканирования и размножения, судя по всему, была позаимствована ими у qBot. Если мы верно вычислили дату первого запуска Hajime, [Пнд, 26 Сен 2016 08:41:54 GMT], это произошло через пару дней после публикации исходных кодов Mirai. Тем не менее, крайне маловероятно, что Hajime содержит какой-либо код Mirai», — добавляют исследователи.
Мошенники начали представляться школьными психологами и методистами, чтобы обманом выманить у родителей учеников персональные и платёжные данные. Как сообщили в банке, злоумышленники требуют предоставить сведения или пройти некое «тестирование» — якобы для итоговой аттестации или составления «характеристики ученика».
В процессе разговора мошенники могут запрашивать паспортные данные, СНИЛС, ИНН — как у ребёнка, так и у родителей. Нередко они просят установить сторонние приложения, которые якобы необходимы для прохождения теста.
На деле всё это делается ради получения доступа к Порталу Госуслуг и банковским приложениям. Через процедуры восстановления доступа злоумышленники оформляют кредиты на имя родителей и похищают полученные средства.
«Мошенники всё чаще используют школьную тематику, играя на тревоге и доверчивости родителей. Они создают ощущение срочности, используют официальные термины — “государственная аттестация”, “характеристика ученика” — чтобы сбить с толку и не дать жертве задуматься. В таких случаях важно остановиться, прервать разговор и спокойно перепроверить информацию», — отметил вице-президент ВТБ, начальник управления защиты корпоративных интересов департамента по обеспечению безопасности Дмитрий Ревякин.
По его словам, аферисты часто звонят наугад — в том числе родителям уже взрослых детей или даже бездетным людям, рассчитывая на замешательство.
Ревякин также рекомендовал передавать номера мошенников в банк. Это можно сделать через раздел «Безопасность» в чат-боте ВТБ, на сайте, в мобильном приложении ВТБ Онлайн, а также в официальных аккаунтах банка в мессенджерах «ВКонтакте» и MAX. Эти номера передаются операторам связи для последующей блокировки.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
