Routerekben és Internet of Thing (IoT) eszközökben is megtalálták azt a programot a Symantec kutatói, ami azt állítja magáról, hogy a felhasználót segíti. Csakhogy – mint azt a Biztonságportál írta – senki sem kérte tőle, hogy segítsen, azaz illegálisan tevékenykedik. Nem jelent nagy veszélyt, arra azonban tökéletesen alkalmas, hogy élesben mutassa: milyen veszélyekkel jár, ha az IoT eszközökbe bejut egy kártékony kód.
Arra egyelőre csak becslések vannak, hogy a fertőzés hány berendezést érinthet. A Symantec tízezres nagyságrendűnek gondolja a fertőzött eszközök számát.
Neve: Wifatch, és nem káros – egyelőre
A Wifatch nevű programot egyébként egy éve, 2014 novemberében fedezték fel, de csak idén tavasszal vetették alá alaposabb vizsgálatbak: a Symantec például március óta követi a program ténykedését. Azt figyelték meg, hogy a program a szó szoros értelmében nem okoz károkat. Ugyanakkor a készülékek gyártói, kereskedői és tulajdonosai tudta nélkül dolgozik a közjóért, ugyanis védelmező programként tünteti fel magát.
A Wifatch-ot egyébként Perlben írták, és linuxos rendszereken életképes. Ha rákerül egy eszközre, távolról vezérelhető titkosított parancsokkal. És ez önmagában is komoly veszélyt jelent. A program ugyanis egy olyan botnetet épít ki, amelynek nincs központi vezérlőszervere. Ehelyett peer-to-peer architektúrára épül, ami megnehezíti a hálózat megbénítását. Maga a Wifatch is ezen a botneten keresztül frissíthető, vagyis a jövőben bármikor lehet bővíteni újabb funkciókkal.
"Konkurensek" után kutat
Jelenleg két célra korlátozódik a tevékenysége: 1. ismert vírusminták alapján megpróbálja kiszűrni, hogy az általa megfertőzött készülékeken van-e ismert károkozó; 2. letiltja a telnet hozzáférést, hogy – állítása szerint – megakadályozza az egyéb vírusfertőzéseket. Ez utóbbi tevékenységét még csak nem is leplezi: telnetes csatlakozás esetén tájékoztatja a felhasználót a hálózati szolgáltatás leállításáról.
Van azonban olyan, egyelőre nem hasznát képessége is, ami sokkal problémásabb: egyes eszközökön alkalmas más műveletek végrehajtására is. Például a Dahua DVR-eket minden héten egyszer újraindítja azért, hogy eltávolítsa az esetlegesen jelen lévő malware-eket.
Első számú célpontok: routerek és IP-kamerák
A Symantec statisztikái szerint a Wifatch a legtöbb esetben routerekre, illetve IP-kamerákra kerül fel. Az eddigi felderített fertőzések egyharmada Kínában történt, de jelentős az elterjedtsége Brazíliában, Mexikóban, Indiában, Vietnamban és Olaszországban is.
Kedvencei az ARM platformra épülő eszközök. A fertőzésekben érintett berendezések 83 százaléka ilyen volt.
A Wifatch egyelőre nem támad. A működési mechanizmusa azonban jól mutatja, milyen jelentős veszélyt jelenthet egy IoT eszközökre specializált kártékony kód.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak