Dobronamerni malware Hajime ščiti pred Miraijem

Minuli teden je veliko pozornosti požel nov kos malwara, ki napada pametne v interent povezane naprave IoT (zlasti usmerjevalnike) in se imenuje Hajime. Za razliko od Miraija, katerega koda je celo ušla na internet in ki povzroča nemalo težav, je Hajime očitno delo dobronamernega hekerja (whitehat), ki je za nameček še zelo sposoben.

Ta teden je Kaspersky Lab objavil rezultate podrobne analize Hajimeja, ki pričajo o dovršenosti tega kosa kode. Naprave napada na podoben način kot Mirai, to je z napadom na TR064, napadom prek telneta ali na Arrisove kabelske modeme. Zanimivo pa je, da za razliko od Miraija precej natančno napada naprave. Namesto da bi slepo poizkusil z vsemi znanimi kombinacijami tovarnških uporabniški imen in gesel, s čimer tvega zaklep, ugotovi model naprave in poizkusi le s tistimi kombinacijami, ki jih uporablja dotični proizvajale. Hajime se tudi precej bolj skriva, saj komunicira šifrirano prek omrežja BitTorrent.

In kaj počne? Za zdaj kaže, da ne napada, temveč v bistvu ščiti okužene naprave. Na njih zaprte štiri najpogosteje zlorabljena vrata, s čimer na primer onemogoči okužbe z Miraijem. Poleg tega na napravi pogosto izpiše obvestilo, da gre za delo dobrega hekerja, ki poziva k zaščiti naprav. Vključuje pa tudi mehanizem za širjenje, sicer jasno sploh ne bi bil črv ali virus. Poleg tega uporablja še nekaj drugih funkcij, katerim skupna točka je izmikanje detekciji in obramba pred ostalim malwarom.

Ni jasno, kdo je avtor Hajimeja. Prav tako tudi ni znano, kakšen je njegov cilj, ki se za zdaj zdi zelo plemenit. Toda kakorkoli obrnemo, tudi Hajime dokazuje, da so današanje pametne naprave IoT bistveno premalo zaščitene. Če jih lahko napade dobroverni heker, jih lahko tudi zlonamerni. Hajime je bojda okužil nekaj deset tisoč naprav.