据外媒ZDNet报道，在暗地里默默发展了几个月之后，一个新的物联网（IoT）僵尸网络正在逐步浮出水面。在过去的两周里，越来越多的安全研究人员开始在自己部署的安全检测系统上发现与之相关的恶意程序。 [出自:jiwo.org]

这个僵尸网络最初是在今年6月份由网络安全公司NewSky Security的研究人员发现的，并被命名为“Hakai”。Hakai的第一个版本基于Qbot（也称为Gafgyt、Bashlite、Lizkebab、Torlus或LizardStresser），一种早在2009年就已经被发现的蠕虫病毒，源代码曾在网络上被公开。

NewSky Security公司的研究员Ankit Anubhav告诉ZDNet，Hakai僵尸网络的第一版本并不复杂且很少活跃。另外，其开发者最初还想要借用Anubhav的名气来为它做宣传，以引起公众的注意。Anubhav说：“他甚至把我的照片放到了Hakai的命令和控制服务器hakaiboatnet[.]pw的主页上。”

.pw是帕劳地区的国家顶级域名，具有和.com、.net、.org域名完全一样的性质。然而，Hakai并没有在这个国家驻留太久。大约在一个月之后，这个僵尸网络开始主动劫持用户设备。Anubhav在接受ZDNet采访时表示，他们在7月21日首次发现Hakai开始利用路由器漏洞实施攻击。被利用的漏洞为CVE-2017-17215，这是一个影响到华为家用路由器HG352的远程命令执行漏洞。

从那以后，Hakai的活跃度一直保持稳步上升。到了8月中旬，其他的一些安全研究人员也开始注意到这个新出现的僵尸网络，并观察到它开始瞄准更多的设备和漏洞。

安全研究员Jouini Ahmed 在一篇分析文章中指出 ，除了受漏洞CVE-2017-17215影响的华为路由器之外，Hakai目前还针对了支持HNAP协议的D-Link路由器， 以及仍在使用较旧且易受攻击的Realtek SDK版本的 Realtek路由器和物联网设备。

与此同时，Anubhav也告诉ZDNet，新版本的Hakai还增加了对D-Link DIR-645路由器UPNP缓冲区溢出漏洞和D-Link DSL-2750B设备中的远程命令注入漏洞的利用。

除了所有这些漏洞利用之外，这个僵尸网络还包含了一个高效的Telnet扫描程序，用于在互联网上寻找那些仍使用默认密码或者使用弱密码（如root、admin、1234、12341234等）的设备。对于这些设备而言，无需任何漏洞利用，Hakai就可以很轻松地劫持它们。

Tempest Security公司在上个月发表的一篇博文中也指出，他们发现了一个非常活跃的Hakai僵尸网络变种，试图通过漏洞利用劫持分散于拉丁美洲的D-Link DSL-2750B路由器，尤其针对了巴西。

此外，根据Intezer Labs的说法，Hakai的源代码似乎也已经落到了其他人的手中。而这一说法得到了Anubhav的证实，他表示已经有两种不同的Hakai变种被发现正在网络上传播——Kenjiro和Izuku。

有意思的是，就在Hakai僵尸网络即将名声大噪时，它的开发者却突然低调了起来。他切断了与安全研究人员的联系，并且转移了命令和控制服务器。

ZDNet认为，Hakai开发者的态度大转弯很可能与最近被捕的Nexus Zeta有关，后者被认为是Satori IoT僵尸网络的运营者。

就像Hakai的开发者，Nexus Zeta一开始也在网络上吹嘘他的僵尸网络的能力，并不断寻求媒体和安全研究人员的关注。他的愚蠢做法最终留下了一些痕迹，使得执法当局在追踪他的真实身份时几乎没有遇到任何困难。