بدافزار Mirai که یکی از منفورترینها در حوزهی اینترنت اشیاء است، با یک بدافزار دیگر وارد عرصهی رقابت شده است. این بدافزار جدید میتواند همان دستگاههایی که Mirai به راحتی آلوده میکند را به بات تبدیل کند. محققان این بدافزار را که با بدافزار Mirai وارد رقابت شده، Hajime نامگذاری کردهاند. این بدافزار 6 ماه قبل شناسایی شده و از آن زمان بهطور بیوقفه به رشد خود ادامه داده و باتنت بزرگی از دستگاههای آسیبپذیر اینترنت اشیاء را بهوجود آورده است. محققان تخمین میزنند این بدافزار نزدیک به 100 هزار دستگاه را در سراسر جهان آلوده کرده باشد.
این باتنتها یا بهتر بگوییم دستگاههای اجیرشده میتوانند بسیار مشکلساز باشند. مهاجمان میتوانند از این باتها برای انجام حملات منع سرویس توزیعشده استفاده کنند و با این حملات بخش وسیعی از زیرساخت اینترنت و وبگاههای مختلف آسیب خواهند دید. به خاطر بیاورید که در اکتبر سال 2016 میلادی، بدافزار Mirai با باتنت بزرگی به ارائهدهندهی سرویس DNS با نام Dyn حمله کرده و بخش وسیعی از اینترنت آمریکا را با اختلال روبرو کرده بود.
بدافزار Hajime نیز تقریباً در همان روزها در ماه اکتبر کشف شد زمانی که محققان امنیتی فعالیتهای بدافزار Mirai را تحت نظر داشتند. این بدافزار چیزی شبیه به Mirai بود ولی بسیار سرسختتر. شبیه به بدافزار Mirai، بدافزار Hajime نیز برای کشف دستگاههای آسیبپذیر اینترنت اشیاء مانند دوربینهای اینترنتی و مسیریابها آنها را در سطح اینترنت پویش میکند. این بدافزار با امتحان کردن ترکیبهای مختلفی از نام کاربری و گذرواژه، به دستگاهها دسترسی پیدا کرده و در ادامه برنامههای مخربی را بر روی آنها تزریق میکند.
با این حال بدافزار Hajime مانند Mirai از یک سرور دستور و کنترل از راه دور دستوراتی را برای اجرا دریافت نمیکند. در عوض برای برقراری ارتباط و اجرای دستورات از ارتباطات نظیر به نظیر (P2P) مبتنی بر پروتکل بیتتورنت استفاده میکند و این باعث میشود یک ساختار غیرمتمرکز از باتها بوجود آمده و متوقف کردن آن سخت باشد. محققان میگویند Hajime بسیار بسیار پیچیدهتر از Mirai است چرا که دارای ساختار دستور و کنترل بسیار پیچیده است.
ارائهدهندگان پهنایباند در اینترنت توانستهاند با مسدود کردن ارتباطات باتنت Mirai با سرور دستور و کنترل، تاحدودی ترافیک مخرب آن را کنترل کنند. بهطور همزمان بدافزار Hajime به رشد خود ادامه داده و این رشد به 24.7 درصد رسیده است و توانسته بسیاری از دستگاههای آلودهشده توسط Mirai را مجدداً آلوده کند. باتوجه به ماهیت نظیر به نظیر در باتنت Hajime، یک بات میتواند به راحتی دستورات و پروندههای مخرب را به سایر قسمتهای باتنت منتقل کند. همچنین فرآیند مسدود کردن ترافیک مخرب نیز در این ساختار غیرمتمرکز بسیار دشوار است.
در تصویر زیر میزان تلاش هر یک از بدافزارهای Hajime و Mirai را برای آلوده کردن دستگاههای اینترنت اشیاء مشاهده میکنید. خط آبی متعلق به بدافزار Hajime و خط قرمز مربوط به Mirai است.
چه کسی عامل باتنت Hajime است؟ محققان امنیتی هنوز مطمئن نیستند چه کسی پشت این بدافزار است. بهطور قطع تاکنون حملهی منع سرویس توزیعشده (DDoS) با استفاده از این باتنت مشاهده نشده و این خبر خوبی است. هرچند این باتنت بسیار بزرگ بوده و قادر است حملاتی مشابه آنچه Mirai انجام داد را راهاندازی کند. با این حال هدف نهایی باتنت Hajime هنوز ناشناخته باقی مانده است. با این حال احتمالی که وجود دارد این است که در آینده برای اجرای حملهی منع سرویس توزیعشده برای یک اخاذی مالی بسیار بزرگ مورد استفاده قرار بگیرد. همچنین امکان دارد باتنت Hajime یک پروژهی تحقیقاتی باشد یا یک متخصص امنیت بخواهد با تشکیل آن، باتنت Mirai را تحت فشار قرار داده و از صحنه خارج کند.
هرچند تاکنون رشد باتنت Hajime بیشتر از Mirai بوده است ولی یک تفاوت عمده بین این دو باتنت وجود دارد و آن اینکه باتنت Hajime طیف محدودتری از دستگاههای اینترنت اشیاء با معماری تراشهی ARM را آلوده میکند. باتوجه به آنچه که در کد منبع بدافزار Mirai دیدیم، این مسئله با این بدافزار در تضاد است چرا که Mirai طیف وسیعی از دستگاهها را آلوده میکند. بهعبارتی دیگر میتوان گفت رقابتی که بین Hajime و Mirai در جریان است، با یکدیگر همپوشانی ندارد. با اینحال تاکنون Hajime توانسته است Mirai را تحت فشار قرار دهد.
برای متوقف کردن این بدافزارها، محققان امنیتی پیشنهاد میکنند که مشکل بهطور ریشهای حل شده و آسیبپذیریها بر روی دستگاههای اینترنت اشیاء وصله شود. با این حال این راهحل ممکن است زمان زیادی ببرد و در برخی موارد حتی شدنی نباشد. به عبارت دیگر بدافزارهای Hajime و Mirai همچنان در عرصهی تهدیدات اینترنت اشیاء حضور خواهند داشت.
منبع:
http://www.networkworld.com/article/3190178/security/iot-malware-clashes-in-a-botnet-territory-batt…
- 5