超级英雄恶意软件Wifatch开发团队公布了该项目源代码。
上周,在布拉格举行的病毒公告牌(Virus Bulletin:世界三大著名杀毒软件测试机构)大会上,赛门铁克研究员马里奥·巴拉诺详细说明了一款神秘的恶意软件,该恶意软件感染了成千上万台路由器、网络监控摄像头和其他设备,表面上好像是为了保护这些设备。
Linux.Wifatch——这款至少2014年11月就出现的恶意软件,利用远程登录(Telnet)和其他协议黑进设置了弱密码或直接保留默认密码的设备中。一旦感染设备,Wifatch就开始扫描其他已知恶意软件并禁用Telnet以将其他恶意软件隔绝在外。
尽管像Wifatch这样的威胁可以被用于一系列恶意活动,包括分布式拒绝服务(DDoS)攻击和域名服务器中毒(DNS poisoning)攻击,该恶意软件尚未进行过此类恶意活动的事实却让专家们相信,Wifatch的操作者是抱着维护易遭攻击设备安全的目的的“物联网义务警员”。
当一个自称“白色团队(The White Team)”的组织公布了Linux.Wifatch源代码的时候,事情似乎就是如此。巴拉诺已向SecurityWeek网站确认,该源代码是真实可信的。巴拉诺称,Wifatch的开发者们联系了赛门铁克,让这个安全公司获悉他们想披露源文件的意图。
Wifatch开发团队宣称开放这款恶意软件只是为了学习、理解、娱乐,以及保护用户的安全。
除了学习病毒编写经验,这还是一个真正的利他主义项目,没有任何恶意行动的意图(感谢赛门铁克对它的关注)。开发者们表示,该项目从未想过秘而不宣,他们早先将其存在隐而不发是为了避免不必要的关注,尤其是来自于恶意软件制造者们的关注。不过,既然现在大家都知道了Wifatch的存在,他们决定在GNU通用公共许可证下公布源代码。
Wifatch开发者们没有暴露他们的真实身份,只说自己是“名不见经传的小人物”。他们称自己为滥用了受感染用户的资源而感到抱歉,但他们相信自身行动所带来的好处是比潜在的负面影响要大的。
“清除掉其他恶意扫描软件节省下来带宽,杀死非法比特币挖矿进程盈余下来电力,防止设备过热造成不断重启和服务中断,避免凭证和金钱被盗……所有这些应该都大大盖过那一点点感染之害了。我们只是(小规模地)征用了你的设备去帮助大众。”Wifatch开发者如是说道。
Wifatch僵尸网络采用点对点(P2P)架构防止被一锅端,所有发送给僵尸机器的命令都经过椭圆曲线数字签名算法私钥签名。
为了避免被滥用,公开的源代码并未含有该私钥、感染代码及命令与控制代码的某些部分,编译脚本也缺失了,但这些部分和其他组件或许过段时间会公布。
然而,白色团队警告道:由于该私钥有可能被盗或者代码中存在可被利用的漏洞,用户还是应该注意防范此类攻击。
赛门铁克也公开了在Wifatch源代码中发现的引用自软件自由运动家理查德·斯托尔曼的话:“致看到此消息的NSA和FBI特工:请考虑捍卫美国宪法免遭无论国内还是国外所有敌人的破坏是否需要你跟随斯诺登的例子。”
白色团队称此段内容最初曾被用于受感染设备显示的Telnet消息中,但很短的一段时间后便被移除了——因为团队认为这话显得“有点点傻”。
巴拉诺告诉SecurityWeek:受感染设备上显示的Telnet消息已经更新为澄清改项目的意图和目的了。他还称,虽然Wifatch开发团队似乎是处于好意,赛门铁克仍将继续监视他们的行动。
