Старый IoT-ботнет Hajime теперь нацелен на уязвимые устройства MikroTik

Олег Иванов 29 Марта 2018 - 09:27

...

Старый IoT-ботнет Hajime теперь нацелен на уязвимые устройства MikroTik

Эксперты в области безопасности последние несколько дней сообщают о массовых сканированиях, осуществляемых IoT-ботнетом Hajime, который пытается найти непропатченные устройства MikroTik и заразить их.

Все началось в воскресение, 25 марта, в этот день эксперты отметили подозрительные сканирования порта 8291.

Например, исследователь Мазафуми Негиши (Masafumi Negishi) сообщил об этом в Twitter:

«Новый образец Hajime с 26 марта сканирует большой диапазон tcp-портов. Среди сканируемых портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8291 и 8880. Нам удалось зафиксировать эту активность благодаря нашим ханипотам (honeypots)», — пишет господин Негиши.

Похожее заявление в Twitter сделала компания 360 Netlab:

«Старый ботнет 360 Netlab возвращается с новым эксплойтом, использующим брешь, которая была раскрыта 13 дней назад», — пишет 360 Netlab.

Первыми, кто обнаружил сканирование, были исследователи из команды Netlab, они сообщили, что ботнет Hajime выполнил более 860 000 сканирований за последние три дня. В этой кампании злоумышленники пытаются использовать уязвимость, известную как «Chimay Red», затрагивающую прошивку MikroTik RouterOS 6.38.4 и боле ранние версии. Эта уязвимость позволяет выполнять код и использовать устройство в своих целях.

Механизм заражения в этой кампании следующий — Hajime сканируют случайные IP-адреса по порту 8291, целью этого является обнаружение уязвимого устройства MikroTik. Как только вредонос находит такое устройство, он пытается заразить его, используя общедоступный пакет эксплойтов, который отправляется на один из портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 и 8880.

После успешного заражения зараженное устройство также начинает сканирование, чтобы заразить другие маршрутизаторы MikroTik.

Напомним, что в 2016 году мы писали про Hajime, который управлялся посредством P2P и заражал IoT-устройства.

Что касается MikroTik, то подробности бреши, которую также использовал вредонос Slingshot, были опубликованы около десяти дней назад.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 17 Сентября 2025 - 13:46

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Государство

3 года тюрьмы: в США пересмотрели приговор админу BreachForums

Министерство юстиции США объявило о пересмотре приговора Конору Брайану Фицпатрику, 22-летнему жителю Пикскилла (штат Нью-Йорк). Он получил три года тюрьмы за создание и администрирование BreachForums — одного из крупнейших англоязычных хакерских форумов.

Кроме того, его признали виновным в хранении материалов с несовершеннолетними — преступления, которое прокуроры назвали наносящим «неисчислимый» ущерб.

BreachForums появился в марте 2022 года, сразу после закрытия RaidForums. На нём торговали украденными базами данных и конфиденциальной информацией.

По данным Минюста, там размещалось свыше 888 баз с более чем 14 миллиардами записей: от банковских счетов и номеров соцстрахования до логинов и паролей.

Среди самых заметных утечек — данные 200 млн пользователей американской соцсети и информация о 87,7 тыс. участников InfraGard, партнёрской программы ФБР в сфере кибербезопасности.

Изначально Фицпатрик получил минимальное наказание — всего 17 дней заключения. Но в январе 2025 года Апелляционный суд четвёртого округа отменил этот приговор и потребовал нового разбирательства.

В рамках сделки со следствием Фицпатрик согласился передать государству: