“白色團隊”(Team White)黑客稱其Wifatch惡意軟件感染超過30萬臺設(shè)備,其目的旨在加強這些設(shè)備的安全性,但專家仍然質(zhì)疑該團隊的義務(wù)安全保護行為。
最近Wifatch惡意軟件背后的黑客“白色團隊”聲稱,受其軟件“保護”的路由器數(shù)量大約為6萬臺。他們還表示惡意軟件已經(jīng)感染超過30萬臺設(shè)備,但還無法向所有這些設(shè)備提供保護。
“我們主要目標(biāo)是阻止這些設(shè)備被惡意軟件操作者控制,”白色團隊通過電子郵件表示,“我們不會濫用這些設(shè)備。我們保持隱秘很重要,因為這樣做就不會讓惡意軟件編寫者注意到這種威脅。”
白色團隊黑客聲稱,在其僵尸網(wǎng)絡(luò)中掃描到受惡意軟件保護的設(shè)備數(shù)量通常為6萬左右,但在其GitLab源代碼庫表示,這個數(shù)字可能達到10萬以上,并且,運行Wifatch的總設(shè)備數(shù)量可能超過30萬,其中大部分是監(jiān)控攝像頭,而不是路由器。然而,并非所有設(shè)備都會受到保護。該團隊指出他們計劃在某些時候?qū)@些設(shè)備進行“消毒”,這是指強化和移除其感染的設(shè)備中的惡意軟件,但有限內(nèi)存等問題可能讓這個任務(wù)變得非常困難。
“這些設(shè)備往往總是被忽視,并且通常由完全非技術(shù)用戶維護。大多數(shù)這些用戶沒有意識到他們的路由器正在攻擊網(wǎng)絡(luò)中其他主機,同時,他們很難找到授權(quán)且有能力的人,”白色團隊寫道,“我們計劃在某個時候?qū)@些設(shè)備消毒,但這在技術(shù)上比我們現(xiàn)在做的事情更具挑戰(zhàn)性。”
白色團隊黑客已經(jīng)發(fā)布了Wifatch惡意軟件部分代碼,在通用公共許可證(GPL)下可免費使用。通過與原始惡意軟件的數(shù)字簽名匹配,SearchSecurity證實了他們公布的代碼為真實代碼,SearchSecurity還證實了電子郵件中的簽名對應(yīng)GitLab庫中PGP密鑰。
“我們認為知識通常應(yīng)該是免費的(包括物理課程和炸彈計劃),除了極少數(shù)例外,” 白色團隊寫道,“因為知識本身是中立的,減少傷害的最好方法就是讓世界變得更好,這樣會有更少的人認為他們需要從事罪惡行徑。”
白色團隊承認發(fā)布惡意代碼很危險,但指出他們在采取措施來降低風(fēng)險。
“對此我們需要進行權(quán)衡,我們發(fā)布了在其他人設(shè)備上運行的所有資源,但這些資源并不會允許人們掌控這些設(shè)備,” 白色團隊寫道,“我們沒有公布讓你可以給這些僵尸機器命令的密鑰,或者感染設(shè)備的代碼。”
安全研究人員和前黑帽攻擊者Hector X.Monsegur擔(dān)心這仍然可能足以讓惡意攻擊者對這些代碼進行逆向工程。Monsegur表示,考慮到受Wifatch感染但不受保護的設(shè)備數(shù)量,這非常有可能,這意味著惡意攻擊者可能得到完整的感染代碼。
Monsegur也質(zhì)疑為什么白色團隊沒有做更多工作來通知設(shè)備擁有者他們的設(shè)備無法受到保護。
“他們可以做的是自動化報告過程,”Monsegur表示,“研究人員一直在使用ZMap和互聯(lián)網(wǎng)范圍的掃描儀來廣泛尋找漏洞,編寫腳本來測試這些結(jié)果并自動化發(fā)送的電子郵件到每個ISP。”
白色團隊表示他們沒有聯(lián)系那些感染的用戶主要有幾個原因,首先,掃描設(shè)備中的電子郵件地址將會“侵犯隱私”,并且,該團隊聲稱,從過去的經(jīng)驗來看,通知ISP并沒有被證明是有效的做法。
Monsegur和其他專家也表示擔(dān)心這種惡意軟件可能產(chǎn)生意外傷害。白色團隊承認其軟件可能因為過熱而導(dǎo)致死機或者重啟,或者可能將正常軟件誤認為惡意軟件并阻止它,但“相當(dāng)肯定”其做法利大于弊。
“很多惡意軟件會復(fù)制你的訪問數(shù)據(jù)以及它能找到的任何信息,密碼、電話號碼等。有些惡意軟件會監(jiān)控你的互聯(lián)網(wǎng)流量,并尋找密碼和其他敏感數(shù)據(jù)。有些會加密NAS設(shè)備中的文件,當(dāng)用戶要求訪問數(shù)據(jù)時會對用戶進行勒索,” 白色團隊寫道,“但我們沒有做這些事情,而且這是賽門鐵克和其他供應(yīng)商認同的事實。我們還仔細監(jiān)控我們的節(jié)點,從中發(fā)現(xiàn)可能針對我們的問題,但通常不太可能是針對性的典型惡意軟件。我們不認為短期內(nèi)感染設(shè)備、移除明顯惡意軟件會造成實質(zhì)性損害,這基本上是我們所做的事情。”
Monsegur表示,傳播這種軟件的做法可能會導(dǎo)致意想不到的后果。
“他們的代碼仍然在未經(jīng)許可的情況下感染機器,似乎在利用你的設(shè)備來傳播,如果你受感染的設(shè)備掃描著高度敏感的網(wǎng)絡(luò)呢?”Monsegur問道,“這里可能有法律后果,更何況,并非所有這些代碼都經(jīng)過審核,這意味著攻擊者可能完全利用這些受感染的設(shè)備。”
雖然該組織的目的是加強易受攻擊設(shè)備的安全性,但白色團隊不希望人們完全依靠他們,而是希望看到人們更加重視安全性,對未受保護的設(shè)備負責(zé)。最終,該團隊相信他們的做法利大于弊。
“雖然我們不知道Wifatch阻止了多少信息盜竊案,但我們知道我們沒有增加這個數(shù)量,” 白色團隊寫道,“當(dāng)然,我們沒有辦法完全確定,但至少我們盡力了,這顯然要強過這些設(shè)備制造商所做的工作,不像我們,他們還會得到報酬。”