МАТЕРИАЛИ

Програмата Linux.Wifatch заразява устройства, за да укрепи сигурността им


Symantec докладва особена „зловредна“ програма, която инфектира устройствата, за да ги почисти от други зловредни програми и да подаде инструкции до собствениците им за повишаване на тяхната сигурност. Програмата е наречена Linux.Wifatch, написана е на Perl и е разработена на модулен принцип. Атакува на база P2P-архитектура internet-рутери и свързани помежду им IoT-устройства от всякакъв вид, като изключва инсталираните на тях потенциално опасни функции и услуги, и ако намери зловреден код, го премахва.

Преди да бъде засечена от специалистите на Symantec, програмата е действала повече от година и е засегнала няколко десетки хиляди устройства, но до този момент не е забелязана никаква зловредна дейност (като например използване на компрометираните устройства за осъществяването на DDoS-атаки или за получаването на неразрешен достъп до данни). Географски заразяването с Linux.Wifatch се разпределя така: Китай32%; Бразилия16%; Индия и Мексико – по 9%; Виетнам, Италия и Турция – по 7%; Южна Корея и САЩ – по 5%; Полша3%. Засегнатите архитектури са ARM (83%), MIPS (10%) и SH4 (7%).

„Всичко показваше товаотбелязват от Symantec в официалния си блог, – че авторът на програмата се опитва да защити инфектираните устройства, вместо да ги използва за враждебни цели.“ В кода не са забелязани каквито и да било зловредни функционалности. Специалистите наблюдават регистрираните засегнати устройства месеци наред, но не констатират никакви враждебни действия. Първите действия, извършвани от програмата след инфектиране на засегнатите устройства, са да спре Telnet-демона (през който преминават голяма част от атаките при заразяване) и да даде съвет на потребителя за сменяне на парола и за обновяване на фирмения софтуер:

 
„Telnet has been closed to avoid further infection of this device, Please disable telnet, change telnet password, and/or update the firmware.“

„Telnet е заворен за предотвратяване по-нататъшното инфектиране на устройството. Моля, спрете telnet, сменете паролата и и/ли обновете софтуера!“

Впечатление прави и вграден от неизвестния автор на Linux.Wifatch коментар в програмния код, препращащ към думите на Ричард Столман (създател на GNU-концепцията за свободен софтуер и противник на повсеместния шпионаж, осъществяван от американските специални служби):
 
„To any NSA and FBI agents reading this: please consider defending the US Constitution against all enemies, foreign or domestic, requires you to follow Snowden's example.“

„До всеки агент на АНС и ФБР, четящ това: Моля помислете, дали защитавайки американската Конституция срещу всички врагове – външни или вътрешни, не трябва да последвате примера на Сноудън?“

Самият код е написан съгласно принципите на свободния софтуер и не е защитен срещу неговото обратно реконструиране – дори напротив – в него са вградени редица бележки, улесняващи анализа му и подпомагащи евентуалните кандидати за надграждането му. Програмата е защитена с цифров подпис на автора, което прегражда опасността да бъде експлоатирана за цели, противни на първоначално заложените.

Специалистите по информационна сигурност констатират и набор от вградени функционалности за отдалечен достъп в програмата Linux.Wifatch, което мотивира Symantec все пак да определи програмата като зловредна – въпреки, че в инфектираните устройства досега не са забелязани никакви негативни дейности. Поставя се въпросът – възможно ли е неизвестният автор на Linux.Wifatch да е създал програмата си с единствената цел да подпомага собствениците на засегнатите устройства, като повишава сигурността им? Подобна дон Кихотовска версия в духа на нашето съвремие изглежда твърде съмнителна – което само по себе си е повод за сериозен и разобличаващ размисъл.


 
back to top