Hajime est un botnet un peu particulier. Découvert l’année dernière, il vise les objets connectés et il exploite les lacunes dans les protocoles réseau et firmwares, exactement comme le fait Mirai. D’après les études menées par les chercheurs en sécurité, trois cent mille appareils seraient infectés et ce chiffre inquiète évidemment beaucoup les experts.
Après l’avoir étudié en détail, Symantec a réalisé que ce botnet avait une compétence assez particulière. Il bloque en effet l’accès aux ports des appareils infectés afin de barrer l’accès à Mirai.
Il aurait donc des effets curatifs, un point largement mis en avant par son créateur puisque ce dernier se réclame d’être un hacker « white hat » et donc un hacker se trouvait sur le « bon » côté de la ligne.
Hajime, un botnet aux allures de chevalier blanc
Son objectif final serait en effet de couper l’herbe sous le pied à Mirai et d’aider ainsi les particuliers et les entreprises à sécuriser leurs infrastructures en empêcher le malware de proliférer sur leurs appareils.
Kaspersky et Radware ont décrit Hajime comme un malware très sophistiqué. Le logiciel utilise le protocole P2P pour communiquer avec les serveurs de commande et de contrôle.
Bien que les experts confirment les informations techniques communiquées par le hacker à l’origine de ce botnet, ils se demandent tout de même si ce dernier dit bien toute la vérité et si Hajime a uniquement pour but de protéger les équipements connectés.
Pascal Geenens, Evangelist Cyber Security pour Radware, exprime d’ailleurs clairement ses doutes : « si le développeur du malware est juste un hacker blanc, alors pourquoi Hajime reste encore présent et continue à se répandre ? Pourquoi il a nommé un process « atk » pour attaque et non découvrir ou scanner ? ».
Un botnet capable de mener des attaques ?
Il rajoute d’ailleurs que « Hajime explore de manière très agressive les périphériques Telnet et WSDAPI vulnérables. Il ferme les ports exploités par Mirai, certes, mais il les ouvre pour lui. » Il suffirait donc qu’il tombe entre les mains d’individus mal intentionnés pour représenter un véritable risque pour les infrastructures.
Il pourrait en effet être utilisé pour mener des attaques DDoS massives.
En outre, selon les chercheurs de Kapersky, ce malware serait en constante mutation. « Hajime ne cesse d’évoluer, ses fonctionnalités sont constamment mises à jour », ont-ils écrit. Il semblerait donc que les spécialistes se soient trop focalisés sur Mirai, ce qui aurait permis à Hajime de se développer discrètement.