Ботнет «Hajime» активизировался в Казахстане

Специалистами Службы реагирования на компьютерные инциденты KZ-CERT, в ходе мониторинга угроз информационной безопасности в сети Казнет, выявлен ботнет «Hajime» (в переводе с японского «начало»), который активизировался в Казахстане и в настоящее время осуществляет массовое сканирование сети, с целью поиска уязвимых роутеров с открытыми портами.

Первые факты присутствия ботнета были обнаружены в ходе анализа трафика сети Интернет в ноябре 2018 года. Вредоносное программное обеспечение (далее - ВПО) «Hajime» использует готовую последовательность команд, которые сканируют диапазон IP-узлов и посылают запрос по открытому порту 7547.

При успешной атаке на устройство в фоновом режиме внедряется 86 016 байтный ELF файл, который устанавливает соединение с командным центром. Уязвимость в устройствах позволяет злоумышленнику выполнить произвольный код, результат которого может привести к утечке информации и потере данных.

Схема образования ботнет сети «Hajime»

Рекомендации Службы KZ-CERT по устранению угроз информационной безопасности:

  • Обновить версию прошивки вашего роутера до стабильной.
  • Сменить пароль от учетной записи администратора роутера.
  • Закрыть открытые, не использующиеся порты устройства.
  • Проверить загруженность центрального процессора.
  • Обновить базы данных программ для обнаружения ВПО и просканировать устройство.

ЕСЛИ ВЫ СТАЛИ ЖЕРТВОЙ ЗЛОУМЫШЛЕННИКОВ, ОБРАТИТЕСЬ В КАЗАХСТАНСКУЮ СЛУЖБУ РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ ИНЦИДЕНТЫ И ПОЛУЧИТЕ КОНСУЛЬТАЦИЮ, ПОЗВОНИВ НА БЕСПЛАТНЫЙ ЕДИНЫЙ КОРОТКИЙ НОМЕР 1400

ЭЛЕКТРОННЫЕ АДРЕСА: INFO@KZ-CERT.KZ, INCIDENT@KZ-CERT.KZ