Исследователями Службы реагирования на компьютерные инциденты KZ-CERT, в ходе мониторинга угроз информационной безопасности сети Казнет, выявлен ботнет "Hajime" (в переводе с японского "начало"), который активизировался в Казахстане и в настоящее время осуществляет массовое сканирование сети, с целью поиска уязвимых роутеров с открытыми портами, передает Toppress.kz.
Первые факты присутствия ботнета были обнаружены в ходе анализа трафика сети Интернет в ноябре 2018 года. Вредоносное программное обеспечение (далее – ВПО) "Hajime" использует готовую последовательность команд, которые сканируют диапазон IP-узлов и посылают запрос по открытому порту 7547.
При успешной атаке на устройство в фоновом режиме внедряется 86 016 байтный ELF файл, который устанавливает соединение с командным центром. Уязвимость в устройствах позволяет злоумышленнику выполнить произвольный код, результат которого может привести к утечке информации и потере данных.
Схема образования ботнет сети "Hajime"
Рекомендации Службы KZ-CERT по устранению угроз информационной безопасности:
- Обновить версию прошивки роутера до стабильной.
- Сменить пароль от учетной записи администратора роутера.
- Закрыть открытые, не использующиеся порты устройства.
- Проверить загруженность центрального процессора.
- Обновить базы данных программ для обнаружения ВПО и просканировать устройство.
Если Вы стали жертвой мошенников, обратитесь в Казахстанскую службу реагирования на компьютерные инциденты и получите консультацию, позвонив на бесплатный единый короткий номер – 1400.
Электронные адреса: info@kz-cert.kz, incident@kz-cert.kz
