2min

Nadat het enige tijd in stilte is gegroeid, maakt een nieuw IoT-botnet zijn aanwezigheid nu langzaamaan merkbaar. Het Hakai IoT-botnet richt zich volgens veiligheidsonderzoekers op routers van D-Link, Huawei en Realtek. Langzaamaan groeit het netwerk in formaat.

Hakai (het Japanse woord voor ‘vernietiging’) werd voor het eerst in juni ontdekt door veiligheidsonderzoekers van NewSky Security. De eerste versie van het botnet maakte gebruik van Qbot, IoT-malware die enkele jaren geleden voor het eerst op het internet verscheen. De eerste versie van het botnet zou weinig verfijnd zijn en niet heel actief. Maar volgens onderzoeker Ankit Anubhav is dat de afgelopen tijd veranderd en is de activiteit flink toegenomen.

Snelle verspreiding

In eerste instantie leek de persoon achter het botnet op zoek te zijn naar publiciteit. “Hij vroeg me om erover te schrijven”, aldus Anubhav. “Hij plaatste zelfs een foto van mij op de homepage van de command and control server op hakaiboatnet[.]pw”. Hakai bleef echter niet lang inactief, want sinds 21 juli vinden er actief aanvallen plaats.

Opvallend is dat Hakai begon met aanvallen op Huawei-routers en daarbij gebruik maakte van een bekende exploit. Vervolgens werd uitgebreid naar D-Link routers die het HNAP-protocol ondersteunen en daarna nog naar Realtek-routers en IoT-apparaten die een oudere versie van de Realtek SDK gebruiken.

Tegelijk steunt Hakai op een zeer effectieve Telnet-scanner. Voor die scans is geen kennis van exploits nodig. Hakai neemt simpelweg apparaten over waarvan de gebruikers de standaardwachtwoorden niet veranderd hebben, of eenvoudige wachtwoorden als ‘root’, ‘admin’ of ‘1234’ gebruiken.

Uit de publiciteit

Momenteel is Hakai nog vooral actief in Latijns-Amerika. De vrees is dat het botnet zich snel breder verspreidt, vooral nu de code gelekt lijkt te zijn en in handen van verschillende andere hackers terecht is gekomen. Anubhav stelt dat twee Hakai-varianten, Kenjiro en Izuku genaamd, ook hun weg naar het internet gevonden hebben.

Ondanks dat Hakai gestaag blijft groeien en zijn activiteit uitbreidt, lijkt de maker ervan uit de publiciteit verdwenen te zijn. Dat lijkt te maken te hebben met de recente arrestatie van Nexus Zeta, de persoon achter het IoT-botnet Satori. Net als Hakai was Nexus Zeta online erg actief en benaderde hij actief onderzoekers en journalisten. Daardoor kon Nexus Zeta eenvoudig gepakt worden.