Trojaneren forsøker å herde enhetene den infiserer. (Foto: Colourbox)

Linux.Wifatch

Trojaner bryter seg inn og «vaksinerer» Linux

– Det er som tatt ut av en Hollywood-film.

Symantec har gransket en trojaner kalt Linux.Wifatch. Selv hevder de at dens forbløffende egenskaper er som tatt ut av en Hollywood-film.

Skadevaren bryter seg inn på enheter, kobler dem til et peer-to-peer-nettverk som så blir brukt for å laste ned oppdateringer. Dette er teknikker den har til felles med svært mye annen ondsinnet programvare.

Men denne varianten gjør tilsynelatende ingen skade. Snarere tvert imot.

Etter å ha overvåket nettverket og infiserte enheter i flere måneder har ikke Symantec funnet noen tegn til onde hensikter.

Snarere forsøker trojaneren å herde det infiserte utstyret.

Flere 10.000 infisert

Flere titalls tusen hjemmerutere og annet utstyr med embedded Linux, deriblant Internet of things-enheter og overvåkningskameraer, har det siste året blitt kompromittert av Wifatch, viser Symantecs beregninger.

De berørte enhetene får telnet-tjenesten avskrudd, noe som ifølge sikkerhetsforskerne kan gi et vern mot ytterligere angrep. Skadevaren sørger også for å etterlate en beskjed der eieren oppfordres til å oppdatere firmware og endre passord.

Symantec tror at trojaneren bryter seg inn nettopp via telnet og svake brukernavn/passord-kombinasjoner.

Wifatch åpner samtidig flere bakdører, men utviklerne skal ha sørget for å validere krypterte signaturer. Det reduserer risikoen for at kommandoene kommer fra andre fra dem, opplyser sikkerhetsselskapet.

Hilser til NSA

De som har laget trojaneren har ikke forsøkt å skjule/obfuskere koden. I kildekoden har de etterlatt en kommentar og referanse til en epostsignatur brukt av Richard Stallman. Stallman er kjent som en av verdens fremste aktivister for fri programvare og hovedmannen bak det Unix-lignende operativsystemet GNU.

Teksten lyder lik:

«To any NSA and FBI agents reading this: please consider whether defending the US Constitution against all enemies, foreign or domestic, requires you to follow Snowden’s example.»

Det er et mysterium hvem som har laget programvaren, og selv om den så langt fremstår som «snill» er det ingen garantier for hva fremtidige oppdateringer kan føre til.

– Linux.Wifatch er utvilsomt et interessant stykke kode. Men det er fortsatt uklart om utviklernes intensjon er å hjelpe brukere omtrent som borgervern, eller om de har mer lumske hensikter, skriver sikkerhetsforsker Mario Ballano i Symantec i en kunngjøring.

Såkalte snille datavirus har også tidligere være oppe til diskusjon.

Til toppen