Comunicados CCN-CERT

Cómo protegerse del nuevo código dañino “Hajime”

  • El informe CCN-CERT ID-04/17 está disponible en el área privada del portal del CCN-CERT.
  • El documento CCN-CERT 04/17 recoge el análisis del gusano de Internet Hajime, diseñado para propagarse mediante conexiones Telnet.
  • El código dañino Hajime nace, supuestamente, como respuesta a la “Botnet Mirai”, aunque los objetivos reales de sus autores aún están por determinar.

El CCN-CERT ha publicado en el área privada de su portal web el informe de Código Dañino: CCN-CERT ID-04/17 Hajime, un nuevo tipo de gusano de Internet que, a través de peticiones Telnet a direcciones IP aleatorias, al puerto “23”, puede llegar a infectar dispositivos, especialmente routers y cámaras de vigilancia, para hacerlos inaccesibles desde el exterior. Los archivos generados por este código dañino dan a entender que su misión es securizar los sistemas frente a la “Botnet Mirai"; sin embargo, aún no están claras las verdaderas motivaciones de sus creadores.

Este documento describe la forma en que Hajime se propaga, principalmente por medio de máquinas ya infectadas que solicitan acceso a otros dispositivos por el puerto “23” (Telnet). También especifica las características de los sistemas que hacen posible la difusión de este código dañino.

En el proceso de infección, a pesar de que se crean archivos, no se genera ningún tipo de módulo dedicado a la persistencia en el sistema. Es decir, si se reiniciase el equipo infectado, el sistema dejaría de estarlo. Sin embargo, los objetivos de los ataques de Hajime, mayoritariamente routers y cámaras de vigilancia, no suelen reiniciarse a lo largo de su vida útil.

El informe recoge una lista de archivos creados por este código dañino que pueden ser utilizados para identificar si un equipo está o ha estado infectado. Asimismo, se enumeran los fabricantes que han desarrollado soluciones específicas para la desinfección de Hajime: AegisLab, Avira, DrWeb, ESET-NOD32, Ikarus y Kaspersky.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Reglas de detección (Yara)

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (07/04/2017)

Acceso al informe de Código Dañino CCN-CERT ID-04/17 Hajime

Ministerio de Defensa
CNI
CCN
CCN-CERT