TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
มี IoT Worm ที่เคยค้นพบเมื่อปีที่แล้วกลับมาระบาดอีกครั้งภายใต้ชื่อ Hajime Worm ที่เน้นแพร่ระบาดเพื่อโจมตีอุปกรณ์ IoT แล้วจึงทำการอุดช่องโหว่ให้กับอุปกรณ์นั้นๆ ไม่ให้ถูกโจมตีได้อีก
Hajime นั้นใช้วิธีการโจมตีแบบเดียวกับ Mirai โดยการโจมตีทาง Telnet และใช้ Default Password ในการเข้าควบคุมอุปกรณ์ IoT ต่างๆ จากนั้นจึงทำการสื่อสารแบบ Peer-to-Peer ระหว่างอุปกรณ์ IoT ที่ติด Hajime ด้วยกันเอง (ต่างกับ Mirai ที่ใช้ Command & Control Server) จากนั้นก็จะพยายามแอบซ่อนตัวเองอยู่บน File System ของอุปกรณ์ IoT นั้นๆ
สิ่งที่ Hajime จะทำการอุปกรณ์ IoT นั้นไม่ใช่การนำอุปกรณ์เหล่านั้นไปใช้โจมตี DDoS คนอื่นเหมือนกับที่ Mirai ทำ แต่เป็นการส่งข้อความแจ้งเตือนเจ้าของอุปกรณ์ IoT ว่าอุปกรณ์นั้นๆ ไม่ปลอดภัยและมีช่องโหว่อยู่ โดยมีการแสดงผลข้อความบน Terminal ดังนี้ทุกๆ 10 นาที
Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED
Stay sharp!
ข้อความนี้ยังมีการ Sign เอาไว้ด้วย Key ที่ถูกฝังมาแบบ Hardcoded ด้วย อีกทั้งสุดท้ายแล้วเหล่านักวิจัยด้านความมั่นคงปลอดภัยก็ยังไม่เชื่อมั่นว่าเจ้าของ Hajime Worm นี้จะเป็น White Hat Hacker ที่พยายามช่วยเสริมความมั่นคงปลอดภัยให้จริงหรือเปล่า เพราะ Hajime Worm เองก็สร้าง Backdoor ของตัวเองทิ้งไว้ ทำให้น่าข้องใจไม่น้อย
อย่างไรก็ดี Hajime Worm นี้ได้ช่วยทำการ Block การเชื่อมต่อที่เข้ามายัง Port 23, 7547, 5555 และ 5358 ซึ่งมักถูกใช้โจมตีบนอุปกรณ์ IoT โดยแม้เแต่ Mirai ก็ใช้บางพอร์ตเหล่านี้ด้วยเช่นกัน
ประเทศไทยถือเป็นอันดับ 3 ที่มีผู้ใช้งานติด Hajime Worm สูงสุดที่ส่วนแบ่งทั่วโลก 11%
ที่มา: https://www.symantec.com/connect/blogs/hajime-worm-battles-mirai-control-internet-things
