Linux.Wifatch атакува IoT устройства, лекувайки ги

	Linux.Wifatch атакува IoT устройства, лекувайки ги
	Отдавна съществуват зловредни програми, които при инфектирането на устройствата ги разчистват от страничен малуер, премахвайки други зарази и по този начин преборват конкуренцията, за да могат да вършат необезпокоявано действията си. Преди време специалисти съобщиха за малуер, който оптимизира системата при влизането си в нея, така че жертвата не разбира въобще, че компютърът му е инфектиран. Настоящият случай е малко по-различен. Всъщност доста по-различен. Дотолкова, че Symantec, които съобщават за него, се затрудняват да определят кода насочен към IoT устройства, за който пишат, за "зловреден".Става дума за Linux.Wifatch, който необезпокоявано вилнее от повече година, влизайки в рутери и свързани помежду си устройства, като например камери за наблюдение и др. Linux.Wifatch е написана на Perl модулна програма, която при попадане на устройството изключва потенциално опасни услуги и ако намери зловреден код в тях го премахва. Програмата използва P2P архитектура, за да свърже компрометираните устройства, но без да върши някаква зловредна дейност, като да организира тези устройства за провеждането на DDoS атаки или да краде данни. Нищо. Просто си седи в устройството.Първото съобщение за Wifatch е регистрирано през миналата година, когато разработчик по инфозащита забелязал необичайна дейност в рутера си. Самите Symantec знаели за съществуването на заплахата и доскоро я смятали за поредната опасност, насочена към вградени устройства, само че тази програма се отличавала със сложния си код и архитектура, но и не само това."Всичко показваше това, че авторът на програмата се опитваше да защитава инфектираните устройства, вместо да ги използва за враждебни цели", пишат от Symantec на страниците си на своя блог. В кода нямало, каквито и да е било вградени зловредни функционалности. Специалистите наблюдавали засегнатите устройства месеци наред, но така и нищо не се случвало. Едно от първите неща, които правел например Wifatch е да спре Telnet демона и да даде съвет на потребителя да смени паролата за услугата и обнови фърмуера на устройството.Освен това, авторът е вградил и коментар в кода си, препращащ към думи на Ричард Столман, създателят на GNU и интернет активист, един от най-пламенните защитници на движението на открития код и противник на действията на АНС: "До всеки агент на АНС и ФБР, четящ това, моля помислете, дали защитавайки американската конституцията, срещу всички врагове - външни или вътрешни, не трябва да последвате примера на Сноудън". Самият код не е допълнително защитен. Даже напротив: той съдържа съобщения, улесняващи анализа му, а самият код е защитен с цифровия подпис на автора, което не позволява експлоатирането му от друг за свои цели. Специалистите регистрират наличието на набор от вградени бекдор функционалности в Linux.Wifatch, което и кара Symantec да определят програмата като зловредна, макар и инфектираните устройства (които са десетки хиляди) да не демонстрират зловредни действия. Разработчиците коментират, че вероятно компрометирането се осъществява посредством Telnet услугата."Няма никакво съмнение, че Linux.Wifatch представлява интересен код. Дали намеренията на автора е да използва творението си за благото на други IoT потребители - в стил на борец за справедливост - или намеренията са му враждебни, предстои да се разбере. Това, което знаем е, че той изглежда подозрително и с оглед на това, Symantec ще продължи да го следи - него и действията на мистериозния му автор - изкъсо", завършват специалистите от компанията.

	Коментари
	Все още няма коментари