Routerekben és Internet of Thing (IoT) eszközökben is megtalálták azt a programot a Symantec kutatói, ami azt állítja magáról, hogy a felhasználót segíti. Csakhogy – mint azt a Biztonságportál írta – senki sem kérte tőle, hogy segítsen, azaz illegálisan tevékenykedik. Nem jelent nagy veszélyt, arra azonban tökéletesen alkalmas, hogy élesben mutassa: milyen veszélyekkel jár, ha az IoT eszközökbe bejut egy kártékony kód.

Arra egyelőre csak becslések vannak, hogy a fertőzés hány berendezést érinthet. A Symantec tízezres nagyságrendűnek gondolja a fertőzött eszközök számát.

Neve: Wifatch, és nem káros – egyelőre

A Wifatch nevű programot egyébként egy éve, 2014 novemberében fedezték fel, de csak idén tavasszal vetették alá alaposabb vizsgálatbak: a Symantec például március óta követi a program ténykedését. Azt figyelték meg, hogy a program a szó szoros értelmében nem okoz károkat. Ugyanakkor a készülékek gyártói, kereskedői és tulajdonosai tudta nélkül dolgozik a közjóért, ugyanis védelmező programként tünteti fel magát.

A Wifatch-ot egyébként Perlben írták, és linuxos rendszereken életképes. Ha rákerül egy eszközre, távolról vezérelhető titkosított parancsokkal. És ez önmagában is komoly veszélyt jelent. A program ugyanis egy olyan botnetet épít ki, amelynek nincs központi vezérlőszervere. Ehelyett peer-to-peer architektúrára épül, ami megnehezíti a hálózat megbénítását. Maga a Wifatch is ezen a botneten keresztül frissíthető, vagyis a jövőben bármikor lehet bővíteni újabb funkciókkal.

"Konkurensek" után kutat

Jelenleg két célra korlátozódik a tevékenysége: 1. ismert vírusminták alapján megpróbálja kiszűrni, hogy az általa megfertőzött készülékeken van-e ismert károkozó; 2. letiltja a telnet hozzáférést, hogy – állítása szerint – megakadályozza az egyéb vírusfertőzéseket. Ez utóbbi tevékenységét még csak nem is leplezi: telnetes csatlakozás esetén tájékoztatja a felhasználót a hálózati szolgáltatás leállításáról.

Van azonban olyan, egyelőre nem hasznát képessége is, ami sokkal problémásabb: egyes eszközökön alkalmas más műveletek végrehajtására is. Például a Dahua DVR-eket minden héten egyszer újraindítja azért, hogy eltávolítsa az esetlegesen jelen lévő malware-eket.

Első számú célpontok: routerek és IP-kamerák

A Symantec statisztikái szerint a Wifatch a legtöbb esetben routerekre, illetve IP-kamerákra kerül fel. Az eddigi felderített fertőzések egyharmada Kínában történt, de jelentős az elterjedtsége Brazíliában, Mexikóban, Indiában, Vietnamban és Olaszországban is.

Kedvencei az ARM platformra épülő eszközök. A fertőzésekben érintett berendezések 83 százaléka ilyen volt.

A Wifatch egyelőre nem támad. A működési mechanizmusa azonban jól mutatja, milyen jelentős veszélyt jelenthet egy IoT eszközökre specializált kártékony kód.