جنگ‌ سرسختانه Mirai و Hajime

محققان می‌گویند Hajime بسیاربسیار پیچیده‌تر از Mirai است، چرا که دارای ساختار دستور و کنترل بسیار پیچیده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Mirai، یکی از پردردسرترین‌های حوزه‌ اینترنت اشیا وارد عرصه‌ رقابت با یک بدافزار دیگر شده‌است. این بدافزار می‌تواند همان دستگاه‌هایی را که Mirai به‌راحتی آلوده می‌کند به بات تبدیل کند. محققان این بدافزار را که با بدافزار Mirai وارد رقابت شده‌است، Hajime نامگذاری کرده‌اند. این بدافزار ۶ ماه قبل شناسایی شد و از آن زمان به‌طور بی‌وقفه به رشد خود ادامه داده‌است و بات‌نت بزرگی از دستگاه‌های آسیب‌پذیر اینترنت اشیا را به‌وجود آورده‌است. محققان تخمین می‌زنند این بدافزار نزدیک به ۱۰۰ هزار دستگاه را در سراسر جهان آلوده کرده‌باشد. 

این بات‌نت‌ها یا بهتر بگوییم دستگاه‌های اجیرشده می‌توانند بسیار مشکل‌ساز باشند. مهاجمان می‌توانند از این بات‌ها برای انجام حملات منع سرویس توزیع‌شده استفاده‌کنند و با این حملات بخش وسیعی از زیرساخت اینترنت و وب‌‌سایت‌های مختلف آسیب خواهند‌دید. 

در اکتبر سال ۲۰۱۶ میلادی، بدافزار Mirai با بات‌نت بزرگی به ارائه‌دهند‌ه‌ سرویس DNS با نام Dyn، حمله و بخش وسیعی از اینترنت آمریکا را با اختلال روبرو کرده‌بود. بدافزار Hajime نیز تقریباً همان‌روزها در ماه اکتبر کشف‌شد؛ زمانی که محققان امنیتی فعالیت‌های بدافزار Mirai را تحت‌نظر داشتند. این بدافزار چیزی شبیه به Mirai بود، ولی بسیار سرسخت‌تر. شبیه به بدافزار Mirai، بدافزار Hajime نیز برای کشف دستگاه‌های آسیب‌پذیر اینترنت اشیا مانند دوربین‌های اینترنتی و مسیریاب‌ها آ‌نها را در سطح اینترنت پویش می‌کند. این بدافزار با امتحان‌کردن ترکیب‌های مختلفی از نام کاربری و گذرواژه به دستگاه‌ها دسترسی پیدا کرده‌است و در ادامه برنامه‌های مخربی را بر روی آنها تزریق‌می‌کند. 

با این حال بدافزار Hajime مانند Mirai از یک سرور دستور و کنترل از راه دور دستوراتی را برای اجرا دریافت‌نمی‌کند. در عوض برای برقراری ارتباط و اجرای دستورات از ارتباطات نظیر‌به‌نظیر (P2P) مبتنی‌بر پروتکل بیت‌تورنت استفاده‌می‌کند و این باعث‌می‌شود یک ساختار غیرمتمرکز از بات‌ها به‌وجود آمده و توقف آن سخت باشد. محققان می‌گویند Hajime بسیاربسیار پیچیده‌تر از Mirai است چرا که دارای ساختار دستور و کنترل بسیار پیچیده است. 

ارائه‌دهندگان پهنای‌باند در اینترنت توانسته‌اند با مسدود کردن ارتباطات بات‌نت Mirai با سرور دستور و کنترل تاحدودی ترافیک مخرب آن را کنترل کنند. به‌طور هم‌زمان بدافزار Hajime به رشد خود ادامه داده و این رشد به ۲۴.۷ درصد رسیده‌است و توانسته بسیاری از دستگاه‌های آلوده‌شده توسط Mirai را مجدداً آلوده‌کند. با توجه به ماهیت نظیربه‌نظیر در بات‌نت Hajime، یک بات می‌تواند به‌راحتی دستورات و پرونده‌های مخرب را به سایر قسمت‌های بات‌نت منتقل کند. همچنین فرایند مسدود‌کردن ترافیک مخرب نیز در این ساختار غیرمتمرکز بسیار دشوار است. 

در تصویر زیر میزان تلاش هریک از بدافزارهای Hajime و Mirai را برای آلوده‌کردن دستگاه‌های اینترنت اشیا مشاهده می‌کنید. خط آبی متعلق به بدافزار Hajime و خط قرمز مربوط به Mirai است. 

محققان امنیتی هنوز مطمئن نیستند چه کسی پشت بدافزار Hajime است. به‌طور قطع تاکنون حمله‌ منع سرویس توزیع‌شده (DDoS) با استفاده از این بات‌نت مشاهده نشده و این خبر خوبی است. هرچند این بات‌نت بسیار بزرگ بوده و قادر است حملاتی مشابه آنچه Mirai انجام داد راه‌اندازی کند با این حال هدف نهایی بات‌نت Hajime هنوز ناشناخته باقی مانده‌است. با این حال احتمالی که وجود دارد این است که در آینده برای اجرای حمله‌ منع سرویس توزیع‌شده برای یک اخاذی مالی بسیار بزرگ مورد استفاده قرار بگیرد. همچنین امکان دارد بات‌نت Hajime یک پروژه‌ تحقیقاتی باشد یا یک متخصص امنیت بخواهد با تشکیل آن، بات‌نت Mirai را تحت فشار قرار داده و از صحنه خارج کند. 

هرچند تاکنون رشد بات‌نت Hajime بیشتر از Mirai بوده‌است، ولی یک تفاوت عمده بین این دو بات‌نت وجود دارد و آن اینکه بات‌نت Hajime طیف محدودتری از دستگاه‌های اینترنت اشیا با معماری تراشه‌ ARM را آلوده‌می‌کند. باتوجه به آنچه که در کد منبع بدافزار Mirai دیدیم، این مسئله با این بدافزار در تضاد است، چرا که Mirai طیف وسیعی از دستگاه‌ها را آلوده‌می‌کند. به‌عبارتی دیگر می‌توان گفت رقابتی که بین Hajime و Mirai در جریان است با یکدیگر هم‌پوشانی ندارد. با این‌حال تاکنون Hajime توانسته‌است Mirai را تحت فشار قرار دهد. 

برای متوقف کردن این بدافزارها، محققان امنیتی پیشنهاد می‌کنند که مشکل به‌طور ریشه‌ای حل شود و افدامی برای وصله آسیب‌پذیری‌ها بر روی دستگاه‌های اینترنت اشیا صورت گیرد. ممکن است این راه‌حل زمان زیادی ببرد و در برخی موارد حتی شدنی نباشد؛ به عبارت دیگر بدافزارهای Hajime و Mirai همچنان در عرصه‌ تهدیدات اینترنت اشیا حضور خواهند داشت.