4月27日訊 研究人員已經了解到這套僵尸網絡的侵襲能力,但對其真實目的仍然不甚了然。聯網攝像頭成為Hajime僵尸網絡的主要感染目標。
物聯網惡意軟件Hajime劫持30萬臺設備 動機成謎-E安全
去年年底發現的一套僵尸網絡于過去幾周內迎來爆炸式規模增長,但令安全研究人員們感到困擾的是,目前尚不清楚其究竟有何目的。
這一被命名為Hajime的惡意軟件最初于去年10月被發現,這一時間點與當時肆虐美國并通過大規模流量過載導致東海岸地區互聯網服務中斷的Mirai僵尸網絡基本一致。
Hajime僵尸網絡自被發現以來已經感染了約30萬臺聯網設備,其中包括對數字錄像機、網絡攝像頭以及路由器進行控制,不過其非常謹慎地回避了美國國防部網絡等部分特殊網絡。與Mirai類似,Hajime惡意軟件同時會對使用低強度或者默認用戶名及密碼的設備進行攻擊。最近的研究結果指出,這類使用“admin”或者“root”等默認登錄憑證的設備極易受到攻擊影響。
另外,Hajime惡意軟件還移除了特定防火墻端口并開啟多項其它端口,旨在建立起點到點命令與控制結構。
盡管Hajime現在看起來無害,但其仍可能被“黑”化
但其中一大致命的問題是,沒人了解這套僵尸網絡的目標,或者隱藏在背后的真正操縱者。
卡巴斯基公司的研究人員在本周二發布的一篇博文中指出,到目前為止,關于Hajime僵尸網絡,最有趣的一點在于其目的并不明確,至少截至目前還不清楚其具體動機。事實上Hajime僵尸網絡還沒有被用于執行任何攻擊或者惡意活動。
研究人員一直在試圖對該僵尸網絡的動機與成因進行推斷,但還無法得出任何確切的結論。
根據該僵尸網絡所感染的每套系統中存在的一條注釋,所有跡象指向一名潛在的白帽黑客,其似乎是打算借此引發重視以“保護某些系統”。
不過任何一套僵尸網絡,包括出于良好意圖而出現的僵尸網絡,皆可被用于實現惡意目標。也許是因為僵尸網絡擁有者改變了主意,也可能因為其被其他攻擊者所劫持。
物聯網惡意軟件Hajime劫持30萬臺設備 動機成謎-E安全
Hajime感染活動地理來源圖
Radware公司的研究人員們于本周三發布了一份威脅咨詢報告,指出該僵尸網絡擁有“靈活的可擴展性”,且可能被用于實施各類惡意活動,包括執行分布式拒絕服務攻擊、傳播惡意軟件或者利用網絡攝像頭進行大規模實時監控。而且與最近曝光的BrickerBot惡意軟件類似的是,Hajime惡意軟件同樣可在原開發者的操縱下瞬間導致受感染設備癱瘓。
惡意軟件本身也可能存在易被利用的漏洞
研究人員們同時表示,Hajime最近還對一項可能允許黑客控制整套僵尸網絡內部安全漏洞進行了修復,這證明惡意軟件仍然可能包含漏洞。
Radware公司網絡安全布道師帕斯卡-吉恩斯(Pascal Geenens)解釋稱,“這樣一套規模龐大且極為靈活的僵尸網絡將吸引到眾多競爭黑客的關注,所以我認為Hajime很有可能成為競爭黑客的打擊目標。后者可能試圖破壞其命令與控制體系,從而接管僵尸網絡操縱權并利用其實施惡意目的。”
吉恩斯介紹稱,“看起來Hajime仍然處于原作者的控制之下,因此我希望其能夠利用其發揮正面作用。令研究人員好奇的是,這位白帽騎士為什么要不斷擴張僵尸網絡的規模以及持續劫持設備,盡管其確實在積極搜索并掃描更多潛在受害者。”但隨著越來越多設備被納入Hajime網絡當中,安全社區恐怕很快就要對其采取行動。
京公網安備 11010502049343號