Ботнет Hide and Seek научился «выживать» после сброса настроек устройствa

Исследователи из компании Bitdefender, разрабатывающей и выпускающей антивирусы, рассказали об обновленной версии ботнета Hide and Seek. С момента обнаружения в январе 2018 года он захватил контроль над 80 000 IoT-устройств, но за прошедшие месяцы не получил новых функций. Однако ботнет научился оставаться в памяти девайса даже после сброса настроек и форматирования хранилища данных.

Распространение Hide and Seek

Зараженные устройства ищут жертв, сканируя их на использование сетевого протокола Telnet. Подходящие девайсы взламываются подбором пароля. При удачном исходе вирус блокирует доступ к порту 23 для предотвращения угона устройств конкурирующими вирусами.

Самый живучий ботнет

Вредоносное ПО сохраняется в директорию /etc/init.d/, где хранятся daemon-скрипты Linux, работающие в фоновом режиме. Они запускаются вместе с системой и не удаляются при сбросе настроек с очисткой флеш-памяти. Авторы вируса воспользовались этим свойством для поддержания работоспособности вредоносной сети.

Потенциальная опасность

Hide and Seek не получил новых функций и до сих пор используется для осуществления DDoS-атак. Ботнет поддерживает систему плагинов и модулей, поэтому сотрудники Bitdefender считают, что на данный момент авторы пытаются расширить спектр заражения, чтобы впоследствии добавить более опасные функции.

Живучестью, как у Hide and Seek, не может похвастаться даже ботнет Mirai, в сентябре 2016 года совершивший DDoS-атаку мощностью 620 Гбит/с. В феврале 2017 года исследователи обнаружили, что он научился превращать зараженные компьютеры в прокси-серверы.