Ботнет Hakai атакует южноафриканские роутеры

Всплеск атак ботнета Hakai зафиксировали ИБ-специалисты Netscout. Нападающие эксплуатируют уязвимость SDK Realtek, найденную еще в 2014 году. Основной целью киберпреступников являются роутеры, расположенные в Южной Африке — на долю этой страны приходится более 80% попыток взлома в рамках данной кампании.

Резкий рост атак на маршрутизаторы, использующие SDK Realtek, начался в конце апреля этого года. На пике кампании ловушки исследователей фиксировали более 600 нападений в сутки. Большая часть атак исходила из Египта и была направлена на роутеры, расположенные в Южной Африке. Также чуть более 8% целей находилось в Европе и около 3,5% — в азиатских и тихоокеанских странах.

Злоумышленники эксплуатируют уязвимость CVE-2014-8361 в пакете разработчика для чипов Realtek. Эти микросхемы используются в коммуникационном оборудовании различных марок, например маршрутизаторах D-Link и TRENDnet. Проблема связана с работой сервиса miniigd SOAP. Она позволяет нападающему повысить свои привилегии, а также удаленно выполнить код на устройстве.

В рамках зафиксированных исследователями инцидентов на уязвимые роутеры доставляется клиент ботнета Hakai, предназначенный для организации DDoS-атак. Злоумышленники устанавливают на устройство скрипт, ориентированный на работу в среде MIPS-процессоров, однако исследователи отмечают, что нашли на командном сервере варианты полезной нагрузки и для чипов других архитектур.

В атаках на южноафриканские IoT-устройства применяется оригинальная сборка Hakai, которая помимо стандартных для этого семейства зловредов функций обладает возможностью проводить DDoS-атаки против игровых серверов. Аналогичной возможностью располагает ботнет Mirai.

Hakai впервые попал на глаза ИБ-специалистам летом прошлого года. Зловред разработан на основе слитого в сеть кода QBot, однако впоследствии он получил несколько дополнений, расширяющих его возможности. Первоначально зомби-сеть строилась на уязвимых маршрутизаторах Huawei HG352. Позже она стала атаковать также роутеры D-Link при помощи нескольких разных эксплойтов.

Источник: https://threatpost.ru/hakai-botnet-attacks-south-african-routers/32917/