Hajime Botnet vuelve con Massive Scan
Escáneres masivos se están llevando a cabo llevados por una botnet Hajime IoT que busca infectar en masa los dispositivos MikroTik sin parchear.
Todo el alboroto comenzó el domingo 25 de marzo, cuando barridos sospechosos para el puerto 8291 aparecieron de la nada en todos los honeypots.
Los escaneos solo continuaron en los días siguientes, no muestran signos de disminuir y atraen la atención de los investigadores de seguridad de todo el mundo.
La atención estaba justificada ya que los escaneos no eran algo pequeño, y continuaron a un ritmo intenso. Los primeros en detectar los escaneos fueron investigadores del equipo Netlab de Qihoo 360, quienes dijeron hoy que esta botnet de Hajime realizó más de 860,000 escaneos en los últimos tres días, aunque no pudieron decir cuántos de estos escaneos también fueron infecciones exitosas.
Los atacantes usan eChimay Red exploit contra dispositivos MikroTik
Los atacantes explotados intentaban utilizar una vulnerabilidad conocida como "Chimay Red", un error que afecta al firmware MikroTik RouterOS 6.38.4 y versiones anteriores, y permite a los atacantes ejecutar código y hacerse cargo del dispositivo.
Este es el mismo defecto que se incluyó en la filtración WikiLeaks "Vault 7" de supuestas herramientas de pirateo de la CIA, y el mismo error que algunos bromistas usaron durante el año pasado para desfigurar los enrutadores MikroTik cambiando los nombres de host de dispositivos vulnerables a todo tipo de expresiones que incluida la palabra "hackeado".
Pero esta vez, los atacantes no bromearon e instalaron el Hajime bot, una variedad de malware IoT conocido principalmente por la construcción de botnets gigantes, y el último llegó a más de 300,000 dispositivos en la primavera de 2017.
Estas exploraciones masivas no pasaron desapercibidas en el lado de MikroTik tampoco. Los usuarios informaron los escaneos en los foros de MikroTik, y los ingenieros de la compañía analizaron los ataques.
"Nos ha llegado la atención de que está teniendo lugar un escaneo masivo para los puertos abiertos 80/8291 (Web / Winbox)", dijo MikroTik en Twitter. "Para estar seguro, corta estos puertos y actualiza los dispositivos RouterOS a v6.41.3 (o al menos, superior a v6.38.5).
Como señala MikroTik, la vulnerabilidad de Chimay Red se corrigió el año pasado, cuando los ingenieros de la compañía lanzaron la versión 6.38.5 del firmware de RouterOS.
El Bot tiene un mecanismo simple de exploración e infección
En cuanto a los intentos de infección del bot Hajime, esto sigue un patrón bastante simplista. Otros bots infectados de Hajime escanean direcciones IP aleatorias en el puerto 8291. Este escaneo inicial es para determinar si la IP remota está ejecutando un dispositivo MikroTik.
Una vez que el bot ha identificado uno de esos dispositivos, intenta infectar el dispositivo con un paquete de exploit público enviado a través de uno de los siguientes puertos: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 y 8880.
Una vez que un nuevo dispositivo ha sido infectado con un bot Hajime, este nuevo dispositivo también comienza a escanear para infectar otros enrutadores MikroTik.
Proceso de exploración e infección de Hajime
Vale la pena mencionar que en el pasado, el botnet Hajime IoT nunca se usó para ataques DDoS masivos, y su existencia era un misterio para muchos investigadores, ya que el botnet solo recolectaba dispositivos infectados pero casi nunca hacía nada con ellos (excepto escanear otros dispositivos vulnerables).
Los IOC y las reseñas técnicas sobre este nuevo robot también están disponibles, creados por los equipos de investigación de Netlab y Radware.