Ботнет «Hajime» активизировался в Казахстане

Исследователями Службы реагирования на компьютерные инциденты KZ-CERT, в ходе мониторинга угроз информационной безопасности сети Казнет, выявлен ботнет «Hajime» (в переводе с японского «начало»), который активизировался в Казахстане и в настоящее время осуществляет массовое сканирование сети, с целью поиска уязвимых роутеров с открытыми портами.
Первые факты присутствия  ботнета были обнаружены в ходе анализа трафика сети Интернет в ноябре 2018 года. Вредоносное программное обеспечение (далее - ВПО) «Hajime» использует готовую последовательность команд, которые сканируют диапазон IP-узлов и посылают запрос по открытому порту 7547.
При успешной атаке на устройство в фоновом режиме внедряется 86 016 байтный ELF файл, который устанавливает соединение с командным центром. Уязвимость в устройствах позволяет злоумышленнику выполнить произвольный код, результат которого может привести к утечке информации и потере данных.

          Схема образования ботнет сети «Hajime»

 

Рекомендации Службы KZ-CERT по устранению угроз информационной безопасности:
    1. Обновить версию прошивки роутера до стабильной.
    2. Сменить пароль от учетной записи администратора роутера.
    3. Закрыть открытые, не использующиеся порты устройства.
    4. Проверить загруженность центрального процессора.
    5. Обновить базы данных программ для обнаружения ВПО и просканировать устройство.


ЕСЛИ ВЫ СТАЛИ ЖЕРТВОЙ МОШЕННИКОВ, ОБРАТИТЕСЬ В КАЗАХСТАНСКУЮ СЛУЖБУ РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ ИНЦИДЕНТЫ И ПОЛУЧИТЕ КОНСУЛЬТАЦИЮ, ПОЗВОНИВ НА БЕСПЛАТНЫЙ ЕДИНЫЙ КОРОТКИЙ НОМЕР 1400.


ЭЛЕКТРОННЫЕ АДРЕСА: INFO@KZ-CERT.KZ, INCIDENT@KZ-CERT.KZ