Snelgroeiend botnet heeft mysterieus doel
Kaspersky Lab vestigt de aandacht op een worm die sinds oktober 2016 kwetsbare toestellen tot een botnet inlijft. De malware, Hajime genaamd, heeft ondertussen wereldwijd zo’n 300.000 slachtoffers gemaakt, al blijft zijn uiteindelijke doel een raadsel. Voorlopig heeft de hacker zijn botnet nergens voor gebruikt, maar beveiligingsspecialisten vrezen dat hier elk moment verandering in kan komen.
Regelmatige updates
Hajime lijft onder andere camera’s, webcams en routers in tot zijn botnet, maar is erg voorzichtig om niet op te grote tenen te stappen. In zijn code staan IP-adressen van onder andere het United States Department of Defense, General Electric Company en Hewlett-Packard Company. Toestellen op deze netwerken lopen hierdoor geen risico om besmet te geraken.
Ondanks het feit dat de hacker zijn botnet voorlopig nergens voor gebruikt, verbetert de cybercrimineel regelmatig de code van Hajime. Zo voegde de hacker recent nog een nieuwe aanvalmethode toe aan zijn malware, waarbij misbruik wordt gemaakt van een kwetsbaarheid in de Technical Report 069-standaard. Deze standaard wordt door veel telecomproviders gebruikt om modems vanop afstand aan te sturen, maar kan door cybercriminelen misbruikt worden om willekeurige code uit te voeren.
White hat
Kaspersky Lab vermoedt dat de hacker achter Hajime geen kwade bedoelingen heeft. De malware geeft zelf een bericht weer waarin de auteur van Hajime aangeeft dat hij een white-hat hacker is die systemen wil beveiligen. “Ik vraag me wel af waarom deze witte ridder zijn botnet laat groeien en toestellen besmet achterlaat, waarna ze zelf op zoek gaan naar een volgende slachtoffer,” vertelt Pascal Geenens van Radware aan zdnet.com.
Experts zijn bang dat de hacker op een bepaald moment zijn goede bedoelingen aan de kant schuift en zijn botnet wel actief inzet om kattenkwaad uit te halen. Het botnet is ondertussen groot genoeg om een grootschalige DDoS-aanval uit te voeren. Bovendien zijn er andere hackers die het botnet maar al te graag in handen zouden krijgen. De code van Hajime werd recent nog aangepast om een lek te dichten. Voorlopig weet de auteur van de malware hierdoor andere hackers op afstand te houden, maar hier kan nog steeds verandering in komen.
[related_article id=”214519″]“Zo’n groot botnet met grote flexibiliteit trekt de aandacht van andere hackers. Ik aanzie het als een mogelijkheid dat Hajime wordt aangevallen door hackers die de controle proberen over te nemen. Ze kunnen het botnet hijacken en voor hun eigen kwade bedoelingen gebruiken,” aldus Geenens.