Itt az internetes kütyüket fertőző vírusok előfutára

Több tízezer interneteléréssel rendelkező otthoni eszközre kerülhetett fel egy olyan nemkívánatos program, amely első ránézésre jót akar. A baj az, hogy ezt senki nem kérte tőle.
 

A Symantec egy érdekes beszámolót tett közzé egy olyan linuxos programról, amely rengeteg, otthonokban használt eszközön lehet megtalálható. Elsősorban egyes otthoni routereken sikerült kimutatni a jelenlétét, de már egyéb, internetkapcsolattal rendelkező (IoT) készülékeken is felütötte a fejét. Egyelőre csak becslések vannak arra vonatkozóan, hogy hány eszközt fertőzhetett meg, de nagyságrendileg több tízezerre tehető ezek száma. 

A Wifatch néven emlegetett nemkívánatos program valójában már 2014 novembere óta ismert a víruskutatók előtt, de a mélyreható monitorozásával csak idén tavasszal kezdtek foglalkozni. A Symantec például március óta követi nyomon a program ténykedését, is figyeli annak minden mozdulatát. A kártevő legérdekesebb jellemzője, hogy korántsem biztos, hogy kárt is okoz, legalábbis a szó szoros értelemében nem. Ennek ellenére a jelenléte nem igazán jó hír, már csak azért sem, mert a készülékek tulajdonosainak tudta nélkül végzi a dolgát, és kerül fel a legkülönfélébb internetes kütyükre vagy éppen routerekre.

Mit is tud a Wifatch?

A program Perlben készült, és a Linux alapú rendszereken képes végrehajtani a számára kijelölt feladatokat. Amikor rákerül egy eszközre, akkor onnantól kezdve távolról vezérelhető a terjesztői által, akik titkosított parancsok révén tudják irányítani a hívatlanul érkező szerzeményt. 

A Wifatch fontos jellemzője, hogy egy olyan botnetet épít ki, amelynek nincs központi vezérlőszervere. Ehelyett P2P (peer-to-peer) architektúrára épül, ami megnehezíti a hálózat megbénítását. Ezen a botneten keresztül frissíthető, vagyis a jövőben bármikor újabb funkciókkal gyarapodhat. Ez azért rossz hír, mert a Wifatch most még nem okoz különösebb károkat, sőt védelmezőként tünteti fel magát.

Miközben sok botnet alapú károkozó szolgáltatásmegtagadási támadásokat indít, kéretlen elektronikus leveleket küldözget, vagy éppen adatokat szivárogtat, aközben a Wifatch-nek nincsenek ilyen ambíciói, legalábbis egyelőre. A program jelenleg alapvetően két céllal rendelkezik. Egyrészt ismert vírusminták alapján megpróbálja kiszűrni azt, hogy az általa megfertőzött készülékeken van-e esetleg ismert károkozó. Másrészt pedig letiltja a telnet hozzáférést, hogy - állítólag - ezzel akadályozza meg azt, hogy az adott eszközt egyéb vírusok fertőzzék meg. E tevékenységét egyébként nem is leplezi: telnetes csatlakozás esetén tájékoztatja a felhasználót a hálózati szolgáltatás leállításáról. Ugyanakkor meg kell jegyezni, hogy a Wifatch egyes eszközökön más műveletek végrehajtására is alkalmas. Például a Dahua DVR-ek esetében minden héten egyszer újraindítja az eszközt abból a célból, hogy így próbálja meg eltávolítani az esetlegesen jelen lévő malware-eket.
Terjedési adatok

A Symantec statisztikái szerint a Wifatch a legtöbb esetben routerekre, illetve IP-kamerákra kerül fel. Az eddigi fertőzések egyharmada Kínában történt, de a képzeletbeli toplistán szerepel még Brazília, Mexikó, India, Vietnám és Olaszország is. Ha pedig architektúrára bontjuk le a fertőzések megoszlását, akkor azt tapasztalhatjuk, hogy a Wifatch leginkább az ARM-os eszközöket kedveli, ugyanis az esetek 83 százalékában azokat szemeli ki magának.
A Wifatch ugyan jelenleg nem jelent még túlságosan nagy kockázatot, azonban arra jól rávilágít, hogy a dolgok internete (IoT) sem maradhat védtelenül, vagyis az egyre több internetképes eszköz biztonságáról sem szabad megfeledkeznünk.