Ένα νέο malware μολύνει τις Internet of Things (IoT) συσκευές, το οποίο στη θεωρία δεν είναι στην πραγματικότητα ένα κομμάτι κακόβουλου λογισμικού, διότι δεν κάνει τίποτα κακό στις μολυσμένες συσκευές, αλλά αντιθέτως προστατεύει από περαιτέρω μολύνσεις.
Αυτός ο Batman της οικογένειας των malware εντοπίστηκε από τη Symantec με το όνομα Linux.Wifatch, και στοχεύει ειδικά WiFi δρομολογητές, κάμερες IP, συστήματα παρακολούθησης και άλλες συσκευές με σύνδεση στο Internet.
Η μόλυνση που γίνεται με το Wifatch να κάνει brute force σε εύκολο να μαντέψει και προεπιλογμένα διαπιστευτήρια Telnet και στη συνέχεια, αντί να φιλτράρει για δικό του όφελος δεδομένα ή να προσθέσει τη συσκευή σε ένα DDoS botnet, το κακόβουλο λογισμικό ξεκινά τον καθαρισμό της συσκευής και τη δημιουργία βασικών μέτρων προστασίας.
Η Symantec δεν έχει δει κανένα τέτοιο είδος κακόβουλης δραστηριότητας να διεξάγεται με Wifatch αφού είδε για πρώτη φορά τη δράση του πίσω το 2014, αλλά δεν αποκλείει και μελλοντικές ύποπτες δραστηριότητες.
Επί του παρόντος, μετά τη μόλυνση IoT συσκευών, το Wifatch αρχίζει να εκτελεί μια σειρά από χειρονομίες καλής θελήσεως όπως τον τερματισμό της Telnet πρόσβασης, την ενημέρωση του firmware και μερικές φορές αφήνοντας ένα μήνυμα στην κονσόλα του διαχειριστή, ζητώντας από τον νόμιμο ιδιοκτήτη της συσκευής να αλλάξει τον κωδικό πρόσβασής του σε έναν πιο ασφαλή.
Επιπλέον, το κακόβουλο λογισμικό αφαιρεί άλλες γνωστές οικογένειες malware αν τις βρει στη συσκευή, καθώς και στην περίπτωση που μολύνει συστήματα Dahua DVR CCTV, ξεκινά επίσης μια προσαρμοσμένη λειτουργική μονάδα που επανεκκινεί το σύστημα CCTV κάθε εβδομάδα. Αυτή η διαδικασία γίνεται για να αφαιρέσει τυχόν κακόβουλο λογισμικό που μπορεί να μολύνει το σύστημα, μια επανεκκίνηση είναι περισσότερο από αρκετή για να καθαρίσει μνήμη της συσκευής τέτοιων απειλών.
Το Linux.Wifatch είναι γραμμένο σε Perl και όπως επισήμαναν οι ερευνητές της Symantec, ο πηγαίος κώδικας δεν προστατεύεται από καμία αντίστροφη μηχανική. Ο δημιουργός του κακόβουλου λογισμικού άφησε ακόμη ένα μήνυμα στον πηγαίο κώδικα, με τη μορφή αποσπάσματος από τον Richard Stallman, ένας διάσημος ακτιβιστής της ελευθερίας του λογισμικού. Το μήνυμα έχει ως εξής:
“Για τυχόν πράκτορες της NSA και του FBI που διαβάζουν το e-mail μου: παρακαλώ σκεφτείτε ότι για να υπερασπιστεί κανείς το Σύνταγμα των ΗΠΑ εναντίον όλων των εχθρών, εσωτερικούς ή εξωτερικούς, απαιτεί από εσάς να ακολουθήσουν το παράδειγμα του Snowden.”
Αν και αυτό φαίνεται έργο επαγρύπνησης που προσπαθεί να προστατεύσει τις συσκευές που εκτίθενται σε κακόβουλες επιθέσεις, ας μην αποκλείσουμε το ενδεχόμενο ότι θα μπορούσε να είναι μια alpha ή beta έκδοση μιας πολύ ισχυρότερης οικογένειας malware, που διέρχεται σήμερα από μια φάση δοκιμών.
Ο ιδιοκτήτης του μπορεί εύκολα να μετατρέψει σε όπλο το Wifatch ανά πάσα στιγμή, μιας και όπως λέει η Symantec έχει βρει κερκόπορτες στον κώδικα του κακόβουλου λογισμικού, που προστατεύονται με κρυπτογραφικές υπογραφές.
Η κερκόπορτα θα επιτρέψει στον ιδιοκτήτη του κακόβουλου λογισμικού να αποστείλει οδηγίες στο malware ανά πάσα στιγμή και να το κάνει να κατεβάσει νέες ενότητες, άλλα malware payloads, ενώ όλες οι κρυπτογραφικές υπογραφές προστατεύουν των κώδικά του από το να καταληφθεί από άλλους εισβολείς.
Προς το παρόν, το Wifatch έχει μολύνει IoT συσκευές καθώς τρέχει σε αρχιτεκτονικές ARM, και έχει εντοπιστεί στην Κίνα, τη Βραζιλία, το Μεξικό, την Ινδία, το Βιετνάμ, την Ιταλία και την Τουρκία.
