Ktoś hakuje tysiące ruterów by zabezpieczyć je przed hakerami

dodał 2 października 2015 o 10:52 w kategorii Główna, Prawo, Włamania, Złośniki  z tagami:
Ktoś hakuje tysiące ruterów by zabezpieczyć je przed hakerami

Dziesiątki tysięcy domowych ruterów i innych prostych urządzeń zostały zainfekowane zaawansowanym technicznie robakiem. Zamiast jednak wykorzystać je do ataków DDoS, robak blokuje popularną metodę infekcji i… nic dalej nie robi.

Badacze z firmy Symantec opublikowali właśnie analizę ciekawego, nietypowego przypadku robaka infekującego Internet Rzeczy. Robak, choć niewątpliwie rozmnaża się bez autoryzacji, wydaje się mieć pokojowe intencje.

Rok działania, zero ataków

Pierwsze ślady Wifatcha, bo tak robak został nazwany, prowadzą do wpisu na blogu pewnego analityka, który natrafił na dziwne pliki na swoim ruterze prawie dokładnie rok temu. Dwuczęściowy opis przedstawia nietypową infekcję. Analityk przez przypadek znalazł na swoim ruterze pliki, których nie powinno tam być. Pliki utrudniały analizę i wskazywały na Perla jako język bota. Po ich odpakowaniu i odkodowaniu oczom analityka ukazała się skomplikowana architektura P2P. Pobierając regularnie listę węzłów sieci P2P analityk już rok temu zidentyfikował ponad 3000 zainfekowanych urządzeń, z których każde serwowało pliki botnetu. Łącznie zidentyfikowano ponad 40 plików, obsługujących wszystkie umiarkowanie popularne rodzaje architektury sprzętowej.

Po raz kolejny botnet został zidentyfikowany w październiku 2014 przez badaczy z firmy BlueCoat, którzy natrafili na niego w swoich honeypotach, jednak nie opublikowali bardziej szczegółowej analizy. Dopiero artykuł Symanteca rzuca więcej światła na to ciekawe przedsięwzięcie.

Symantec od marca obserwował działanie botnetu. Przez cały ten czas żaden z jego elementów nie został wykorzystany w celu wyrządzenia jakiejkolwiek szkody. W kodzie brak elementów bezpośrednio umożliwiających wykonywanie ataków DDoS czy kradzież informacji. Wygląda na to, że jego jedynymi zadaniami jest rozprzestrzenianie się oraz łatanie dziurawych urządzeń, na które się dostanie.

Dobry wujek

Wifatch dostaje się na cudze urządzenia wykorzystując łatwe hasła usługi telnet. Po przejęciu kontroli nad urządzeniem nie tylko wyłącza dostęp przez telnet, ale także umieszcza odpowiedni komunikat ostrzegający o konieczności zmiany haseł i aktualizacji oprogramowania.

Komunikat Wifatcha

Komunikat Wifatcha

Bot dysponuje także wieloma modułami. Część z nich ma za zadanie usuwanie innych znanych przypadków złośliwego oprogramowania atakującego urządzenia IoT. W przypadku systemów monitoringu wizyjnego Dahua osobny moduł zmienia konfigurację urządzenia tak, by restartowało się co tydzień (prawdopodobnie jako metoda pozbywania się złośliwego oprogramowania z pamięci urządzenia). W kodzie znajduje się także komunikat znany z sygnaturki Richarda Stallmana:

To any NSA and FBI agents reading my email: please consider whether defending the US Constitution against all enemies, foreign or domestic, requires you to follow Snowden’s example.

Według badaczy Symanteca kod bota nie jest w ogóle ukryty, a jedynie skompresowany, a w kodzie znajdują się elementy wręcz ułatwiające jego analizę.

Zły wujek

Trzeba także pamiętać, że bot skanuje sieć w poszukiwaniu kolejnych ofiar, dostaje się na urządzenia bez wiedzy właściciela i zawiera funkcje pozwalające na zdalne wykonywanie poleceń pod kontrolą tajemniczego autora programu. Autor zadbał jednak o to, by nikt niepowołany nie mógł przejąć kontroli nad urządzeniami i każdy komunikat sterujący jest weryfikowany za pomocą kryptografii krzywych eliptycznych (ECDSA).

Wśród kilkudziesięciu tysięcy zainfekowanych urządzeń większość to domowe rutery i kamery IP. Większość znajduje się w Brazylii i Chinach, chociaż 3% infekcji zlokalizowano w Polsce.

Rozkład infekcji

Rozkład infekcji

Bot obsługuje wszystkie popularne architektury sprzętowe, a wśród zainfekowanych maszyn rozkład wygląda następująco: ARM 83%, MIPS 10%, SH4 7%. PowerPC i X86 łącznie odpowiadają za 0,1% infekcji.

Podsumowanie

Nawet etyczny botnet zawsze pozostaje botnetem. Badacze, gdy rozmawiają o tego rodzaju inicjatywach, przytaczają często jako ryzyko scenariusz, w którym bot trafia przez przypadek np. na pompę dializową i powoduje jej awarię. To faktycznie poważny dylemat dla osób chcących pobawić się w Robin Hooda. Nie przeszkadza to jednak niektórym podejmować się tego rodzaju projektów – wśród najbardziej znanych jest pewnie niezwykle sprytny botnet Carna, który został zbudowany by przeskanować cały internet lub tajemniczy przypadek ekspresowej aktualizacji oprogramowania na tysiącach podatnych ruterów w sieci TP.