La nouvelle e-menace “Hajime” a été dévoilée le 25 avril 2017 par Kaspersky Lab. Il s’agit d’un malware du même type que Mirai, qui a tant fait parler de lui en 2016, à cause de son ampleur, de sa puissance et de sa nature.
Mirai a largement marqué les esprits en étant le premier botnet a exploiter les (nombreuses) faiblesses des objets connectés (IoT) et en concentrant une immense puissance de feu pour des cyberattaques d’une violence inouïe d’une ampleur encore inconnue jusqu’à présent.
Alors que Kaspersky Lab a alerté la communauté de la sécurité fin avril, le botnet modulaire Hajime (littéralement “commencez” en japonais) semble prendre très rapidement de l’ampleur avec un réseau de 300 000 objets connectés compromis et actifs. Cela représente déjà une importante menace en cas de cyberattaque ciblée.
Le nom de ce nouveau malware pourrait faire référence au renouveau de Mirai, qui aurait pu être développé par son créateur initial, Anna-sempai. Cependant, rien ne le confirme pour le moment… Tous les équipements connectés sont concernés par cette menace, que ce soit les caméras de sécurité IP, les NAS, les lecteurs, les webcams, les routeurs ou encore tous les autres objets connectés existants.
Pour infecter ces appareils, Hajime utilise tout simplement par les ports Telnet ouverts ou via une attaque de force brute testant les combinaisons connues et appliquées par défaut par les constructeurs des appareils… cela est donc le bon moment pour rappeler l’importance de toujours modifier le mot de passe de ses appareils connectés ! Le protocole P2P est ensuite utilisé pour communiquer avec les serveurs de commandes et contrôles décentralisés.
Notons que Hajime a été développé à la suite de Mirai, comme le prouve son comportement et sa sophistication encore plus élevée : il bloque en effet l’accès à plusieurs ports TCP (23, 7547, 5555 et 5358) afin justement de barrer la route à Mirai. Malin ! Là où cela devient étrange, c’est quand son auteur déclare être un hacker White Hat et que son but est de protéger les objets connectés des attaques extérieur en les infectant puis en les sécurisant. Qui croire ? Plutôt fantaisiste comme méthode même si elle reste efficace dans le fond.
Les chercheurs en sécurité de Symantec ont bien remarqué des points positifs qui feraient penser que ce malware a effectivement bien été conçu pour faire face à Mirai. Seul le niveau de sophistication du code source de Hajime semble interpeller.
Pascal Geenens, Evangéliste Cyber Security pour Radware, a réagit sur la menace sur Bleepingcomputer : « S’il est juste un hacker blanc, alors pourquoi Hajime reste encore présent et continue à se développer ? Pourquoi il a nommé un processus “atk” comme pour “attaque” et non “découvrir” ou “scanner” ? Il explore de manière très agressive les périphériques Telnet et WSDAPI vulnérables. Il ferme les ports exploités par Mirai, mais il les ouvre pour lui. Je ne suis pas sûr que l’on puisse parler de hacker blanc. »
Pour le moment, Hajime n’a été exploité dans aucune cyberattaque, et ce, malgré les 300 000 machines zombies déjà reliées. Fait inquiétant selon Kaspersky, qui prouverait que le cybercriminel à la tête du botnet attendrait d’avoir une énorme puissance de feu avant exploitation. Même si son créateur est un bienfaiteur, il reste le risque d’un piratage du botnet et d’un détournement.
Dans le cas de Mirai, le botnet a atteint 500 000 appareils infectés à fin 2016 et poursuit sa croissance régulière au rythme de 5 nouvelles victimes par minute. Ce sont donc deux bombes à retardement actives prêt à l’usage pour des violentes attaques DDoS… Impossible d’en dire plus pour le moment.