O malware Hajime IoT está a deixar uma mensagem nos dispositivos que infecta, nota a Symantec.
Países mais infectados pelo Hajime (Symantec)
O malware, conhecido como Hajime, já infectou dezenas de milhares de produtos fáceis de atacar, como gravadores de vídeo, webcams e routers. No entanto, o programa ainda não fez nada malicioso.
Em vez disso, o malware com capacidade de replicação independente tem evitado que outro programa nocivo, o Mirai, infecte os mesmos dispositivos. Também carrega uma mensagem escrita pelo seu criador.
“Apenas um “whitehat” a proteger alguns sistemas” e “Mantenha-se atento!”, diz a mensagem. A empresa de tecnologia e serviços de segurança, Symantec publicou uma nota sobre o novo desenvolvimento, na última terça-feira, e disse que os esforços do chamado do hacker ético, parecem produzir efeito.
O “worm” está a combater o Mirai, outro malware de propagação rápida que, de certo ponto, escraviza dispositivos de IoT vulneráveis às centenas de milhares. O objectivo do Mirai é criar botnets, redes de computadores infectados que podem ser usadas com objectivos maliciosos.
“Os protocolos usados pela Hajime foram projectados para não degradar o desempenho da rede”, explica Waylon Grange (Symantec).
O malware continuará a disseminar-se, desde que os dispositivos IoT que ele usa se mantenham fáceis de atacar. O Hajime foi descoberto pela primeira vez em Outubro de 2016 e procura infectar alguns dos mesmos dispositivos que o Mirai ataca.
Assim que o faz, o “worm” bloqueia o acesso a determinadas portas no dispositivo IoT, impedindo que outros malwares as explorem. Os proprietários desses dispositivos infectados por Hajime não devem notar qualquer interrupção de serviço, diz Waylon Grange, um investigador de segurança na Symantec.
“Os protocolos usados pela Hajime foram projectados para não degradar o desempenho da rede”, explica.
“Eu não sei o que o autor do Hajime fará depois”
Vários especialistas já especularam que o Hajime pode ter vindo de um hacker vigilante interessado em parar a progressão do Mirai. A Symantec vai mais longe e apresenta possíveis provas. A empresa notou que o worm do computador tem deixado uma mensagem sobre dispositivos infectados desde pelo menos Março.
Essa nota foi assinada digitalmente e obtida de forma que a liga ao programador. A mensagem não revela a identidade do mesmo, mas evidencia que o indivíduo sabe que a comunidade de segurança tem estudado o Hajime. Além disso, o programador misterioso tem corrigido falhas de segurança no worm, identificadas pelos investigadores anteriormente.
“A ideia de investigadores de segurança inadvertidamente ajudarem os autores de malware é preocupante”, escreve Grange no seu blogue. O investigador até gosta que o “worm” combata o Mirai. “Mas eu não sei o que o autor do Hajime fará depois”, confessa preocupado.