Malverom protiv malvera

Hajime malver ŠTITI od Mirai Botneta

Malverom protiv malvera

Dobronamerni haker je napravio malver (worm) koji štiti pametne uređaje. Symantec je primetio Hajime IoT malver koji ostavlja poruku na uređajima koje inficira. Međutim, da li je zaista u pitanju dobronamerni haker? Misteriozni autor worma koji se širi želi da to mislite.

Worm pod nazivom Haime je inficirao na desetine hiljada pametnih uređaja koje je lako hakovati poput DVR uređaja, internet kamera i rutera. Za sada, osim inficiranja, worm nije uradio ništa maliciozno. Worm zapravo sprečava da ozloglašeni malver Mirai inficira date uređaje. Uz njega ide sledeća poruka: „U pitanju je etičko hakovanje (eng. white hat), obezbeđujemo sisteme“.

Hajime worm poruka

Poruka autora Hajime worma

Stručnjaci iz Symanteca kažu da napori ovog hakera daju rezultate. Hajime worm se nadmeće sa takođe brzo-širećim malverom Mirai koji je u jednom momentu preuzeo kontrolu nad stotinama hiljada ranjivih IoT uređaja. Cilj Mirai malvera je bio da stvori botnete, odnosno mreže zaraženih računara (IoT uređaja) pomoću kojih haker može da izvrši napade velikih razmera. Mirai je bio odgovoran za veliki DDoS napad koji je doveo do prekida u internet saobraćaju širom SAD-a.

Uspon Mirai malvera je pokrenuo pitanja o tome na koji način IT industrija bezbednosti može da spreči slična dešavanja u budućnosti. Malver će nastaviti da se širi i pravi probleme sve dok je ovako lako hakovati IoT uređaje. Hajime worm, koji je prvi put otkriven u oktobru prošle godine, targetira neke od uređaja koje je i Mirai targetirao. Kada Hajime uspešno inficira uređaj, onda blokira određene portove na IoT uređaju i tako sprečava druge potencijalne malvere, odnosno infekcije. Korisnici uređaja koji su zaraženi Hajime malverom ne mogu da primete promene u radu uređaja zato što su protokoli koje Hajime koristi napravljeni tako da ne narušavaju performanse mreže. Neki eksperti su uvereni da je Hajime napravio dobronamerni haker u želji da zaustavi Mirai.

Top 10 zemalja koje su inficirane Hajime malverom.

Symantec je došao do nekoliko zaključaka. Primećeno je da Hajime ostavlja poruku na inficiranim uređajima još od marta (a možda i od ranije). Ta poruka ima digitalni potpis i ostavljena je na način koji gotovo sigurno dokazuje da potiče od autora Hajime worma. Poruka ne otkriva identitet autora, ali je on svestan da IT zajednica koja se bavi bezbednošću analizira Hajime worm. Misteriozni autor se u poruci potpisuje kao „autor Hajimea“. Međutim, ime „Hajime“ su osmislili stručnjaci za bezbednost iz Rapidity Networksa, a Hajime na japanskom znači „početak“. Takođe, misteriozni autor pravi zakrpe za ranjivosti worma koje stručnjaci za bezbednost otkriju. Iz Symanteca kažu da je malo zabrinjavajuće to što stručnjaci za bezbednost nenamerno pomažu autorima malvera.

Da li bi trebalo da budemo zabrinuti zbog Hajime worma?

Sa jedne strane, bilo bi dobro da Hajime zaustavi Mirai. Sa druge, ne znamo koji bi onda bio sledeće korak autora Hajimea. Srećom, trenutna verzija Hajimea nema ugrađena maliciozna svojstva. Ali postoji bojazan da će njegov autor jednog dana odlučiti da modifikuje malver, lansira DDoS napade ili otpočne neki drugi vid sajber-kriminalnih radnji.

Hajime ima jednu karakteristiku koja je potencijalno veoma opasna: Ne prima komande sa jednog servera koji je u vlasništvu misterioznog autora, već komunicira preko peer-to-peer mreže. To znači da se svi uređaji inficirani Hajime wormom mogu iskoristiti za prenos fajlova ili instrukcija drugim inficiranim uređajima. Drugim rečima, ukoliko Hajime postane „zao“, biće veoma teško obračunati se s njim.

Izvor: Symantec Connect