Onderzoekers hebben een nieuwe worm ontdekt die Internet of Things-apparaten via standaardwachtwoorden infecteert en van een peer-to-peer (p2p)-netwerk gebruikmaakt om zichzelf op kwetsbare apparaten te installeren. De worm wordt Hajime genoemd en lijkt erg op de Mirai-malware.

De Mirai-malware heeft wereldwijd tienduizenden apparaten besmet en gebruikte deze machines voor het uitvoeren van grootschalige ddos-aanvallen. Onlangs verscheen de broncode van Mirai op internet. Het is echter onduidelijk of Hajime hierop is gebaseerd. Beide malware-exemplaren hebben overeenkomsten. De verspreiding van Hajime begon echter voordat de Mirai-broncode online verscheen.

Wat Hajime echter doet opvallen is het gebruik van een gedecentraliseerd netwerk. De tot nu toe ontdekte Internet of Things-wormen gebruikten een centrale server om de malware op kwetsbare apparaten te installeren. Hajime breekt hiermee en maakt gebruik van een gedecentraliseerd netwerk om configuratie- en software-updates te ontvangen. De worm heeft het voorzien op allerlei soorten apparaten die een Telnet-server draaien. Het gaat dan om ARMv5-, ARMv7-, Intel x86-64-, MIPS- en little-endian-platformen.

Hajime zal vervolgens via een lijst met veelgebruikte standaardwachtwoorden proberen in te loggen. Als de inlogpoging succesvol is wordt er een programma geïnstalleerd dat een veel groter downloadprogramma kopieert. Dit downloadprogramma maakt verbinding met een p2p-netwerk en downloadt het configuratie- en scanprogramma. Het scanprogramma zoekt vervolgens het publieke internet af naar nieuwe kwetsbare systemen om zo de infectiecyclus te herhalen. Voor het p2p-gedeelte maakt Hajime gebruik van het BitTorrent uTP-protocol voor directe peer-to-peer-communicatie.

Doel

Het doel van de worm is op dit moment nog onduidelijk. Volgens onderzoekers van Rapidity Networks (pdf) is de worm zich op dit moment alleen nog aan het verspreiden. De uiteindelijke "lading" die Hajime kan installeren is nog niet waargenomen. Andere Internet of Things-botnets worden vaak voor ddos-aanvallen ingezet, maar of de Hajime-auteur dit ook van plan is, is nog onduidelijk.

Beheerders en gebruikers krijgen het advies om hun netwerk op onbekende diensten te scannen, en dan met name op de aanwezigheid van Telnet. Ook wordt het aanpassen van standaardwachtwoorden aangeraden. Verder kunnen beheerders tcp-poort 4636 blokkeren. Zodra de worm een toestel heeft besmet zal die via deze poort de tweede lading downloaden. Hoeveel machines er precies door Hajime zijn geïnfecteerd is onduidelijk, maar onderzoekers schatten het op 130.000 tot 185.000 apparaten.