Experts zetten vraagtekens bij goede bedoelingen van Hajime-worm

[Captain Kirk]

Experts komen er maar niet uit: wat is toch het doel van de Hajime botnet? De verspreiding van de worm gaat ondertussen stevig door. Het aantal geïnfecteerde apparaten is inmiddels boven de 300.000 uitgestegen.

Hajime is een IoT-worm die sinds een halfjaar in het wild wordt gesignaleerd in een poging om p2p-botnet op te zetten. De worm verspreidt zich, net als Mirai, via onbeveiligde IoT-apparaten waarvan de Telnet-poort openstaat en waarbij standaardwachtwoorden worden gebruikt. Aanvankelijk werd gedacht dat het bedoeld was om IoT-apparaten veiliger te maken, maar zetten experts van Kaspersky Labs nu hun vraagtekens bij.

 

De code van Hajime wordt namelijk regelmatig aangepast. Zo is onlangs de aanvalsmethode uitgebreid. Hajime dringt nu niet meer alleen binnen via openstaande Telnet-poorten, maar maakt ook gebruik van andere manieren zoals TR-064 exploitatie en 'Arris cable modem password of the day-aanval'. Technical Report 064 is volgens Kaspersky een industriestandaard van het Broadband Forum die internet serviceproviders in staat om modems op afstand te beheren. Dit gebeurt via TCP-poort 7547 of poort 5555. De TR-064 NewNTPServer-functie kan echter ook eenvoudig gebruikt worden om het apparaat in te zetten als bot.

Hajime vertoont tot op heden nog geen kwaadaardige acties maar de worm blijft de IT-security experts bezighouden.

 

 

bron: security.nl