物聯網惡意軟體Hajime劫持30萬台設備 動機成謎

E安全4月27日訊研究人員已經了解到這套殭屍網路的侵襲能力，但對其真實目的仍然不甚瞭然。聯網攝像頭成為Hajime殭屍網路的主要感染目標。

去年年底發現的一套殭屍網路於過去幾周內迎來爆炸式規模增長，但令安全研究人員們感到困擾的是，目前尚不清楚其究竟有何目的。

這一被命名為Hajime的惡意軟體最初於去年10月被發現，這一時間點與當時肆虐美國並通過大規模流量過載導致東海岸地區互聯網服務中斷的Mirai殭屍網路基本一致。

Hajime殭屍網路自被發現以來已經感染了約30萬台聯網設備，其中包括對數字錄像機、網路攝像頭以及路由器進行控制，不過其非常謹慎地迴避了美國國防部網路等部分特殊網路。與Mirai類似，Hajime惡意軟體同時會對使用低強度或者默認用戶名及密碼的設備進行攻擊。最近的研究結果指出，這類使用「admin」或者「root」等默認登錄憑證的設備極易受到攻擊影響。

另外，Hajime惡意軟體還移除了特定防火牆埠並開啟多項其它埠，旨在建立起點到點命令與控制結構。

儘管Hajime現在看起來無害，但其仍可能被「黑」化

但其中一大致命的問題是，沒人了解這套殭屍網路的目標，或者隱藏在背後的真正操縱者。

卡巴斯基公司的研究人員在本周二發布的一篇博文中指出，到目前為止，關於Hajime殭屍網路，最有趣的一點在於其目的並不明確，至少截至目前還不清楚其具體動機。事實上Hajime殭屍網路還沒有被用於執行任何攻擊或者惡意活動。

研究人員一直在試圖對該殭屍網路的動機與成因進行推斷，但還無法得出任何確切的結論。

根據該殭屍網路所感染的每套系統中存在的一條注釋，所有跡象指向一名潛在的白帽黑客，其似乎是打算藉此引發重視以「保護某些系統」。

不過任何一套殭屍網路，包括出於良好意圖而出現的殭屍網路，皆可被用於實現惡意目標。也許是因為殭屍網路擁有者改變了主意，也可能因為其被其他攻擊者所劫持。

Hajime感染活動地理來源圖

Radware公司的研究人員們於本周三發布了一份威脅諮詢報告，指出該殭屍網路擁有「靈活的可擴展性」，且可能被用於實施各類惡意活動，包括執行分布式拒絕服務攻擊、傳播惡意軟體或者利用網路攝像頭進行大規模實時監控。而且與最近曝光的BrickerBot惡意軟體類似的是，Hajime惡意軟體同樣可在原開發者的操縱下瞬間導致受感染設備癱瘓。

惡意軟體本身也可能存在易被利用的漏洞

研究人員們同時表示，Hajime最近還對一項可能允許黑客控制整套殭屍網路內部安全漏洞進行了修復，這證明惡意軟體仍然可能包含漏洞。

Radware公司網路安全佈道師帕斯卡-吉恩斯（Pascal

Geenens）解釋稱，「這樣一套規模龐大且極為靈活的殭屍網路將吸引到眾多競爭黑客的關注，所以我認為Hajime很有可能成為競爭黑客的打擊目標。後者可能試圖破壞其命令與控制體系，從而接管殭屍網路操縱權並利用其實施惡意目的。」

吉恩斯介紹稱，「看起來Hajime仍然處於原作者的控制之下，因此我希望其能夠利用其發揮正面作用。令研究人員好奇的是，這位白帽騎士為什麼要不斷擴張殭屍網路的規模以及持續劫持設備，儘管其確實在積極搜索並掃描更多潛在受害者。」但隨著越來越多設備被納入Hajime網路當中，安全社區恐怕很快就要對其採取行動。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。