محققان میگویند Hajime بسیاربسیار پیچیدهتر از Mirai است، چرا که دارای ساختار دستور و کنترل بسیار پیچیده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Mirai، یکی از پردردسرترینهای حوزه اینترنت اشیا وارد عرصه رقابت با یک بدافزار دیگر شدهاست. این بدافزار میتواند همان دستگاههایی را که Mirai بهراحتی آلوده میکند به بات تبدیل کند. محققان این بدافزار را که با بدافزار Mirai وارد رقابت شدهاست، Hajime نامگذاری کردهاند. این بدافزار ۶ ماه قبل شناسایی شد و از آن زمان بهطور بیوقفه به رشد خود ادامه دادهاست و باتنت بزرگی از دستگاههای آسیبپذیر اینترنت اشیا را بهوجود آوردهاست. محققان تخمین میزنند این بدافزار نزدیک به ۱۰۰ هزار دستگاه را در سراسر جهان آلوده کردهباشد.
این باتنتها یا بهتر بگوییم دستگاههای اجیرشده میتوانند بسیار مشکلساز باشند. مهاجمان میتوانند از این باتها برای انجام حملات منع سرویس توزیعشده استفادهکنند و با این حملات بخش وسیعی از زیرساخت اینترنت و وبسایتهای مختلف آسیب خواهنددید.
در اکتبر سال ۲۰۱۶ میلادی، بدافزار Mirai با باتنت بزرگی به ارائهدهنده سرویس DNS با نام Dyn، حمله و بخش وسیعی از اینترنت آمریکا را با اختلال روبرو کردهبود. بدافزار Hajime نیز تقریباً همانروزها در ماه اکتبر کشفشد؛ زمانی که محققان امنیتی فعالیتهای بدافزار Mirai را تحتنظر داشتند. این بدافزار چیزی شبیه به Mirai بود، ولی بسیار سرسختتر. شبیه به بدافزار Mirai، بدافزار Hajime نیز برای کشف دستگاههای آسیبپذیر اینترنت اشیا مانند دوربینهای اینترنتی و مسیریابها آنها را در سطح اینترنت پویش میکند. این بدافزار با امتحانکردن ترکیبهای مختلفی از نام کاربری و گذرواژه به دستگاهها دسترسی پیدا کردهاست و در ادامه برنامههای مخربی را بر روی آنها تزریقمیکند.
با این حال بدافزار Hajime مانند Mirai از یک سرور دستور و کنترل از راه دور دستوراتی را برای اجرا دریافتنمیکند. در عوض برای برقراری ارتباط و اجرای دستورات از ارتباطات نظیربهنظیر (P2P) مبتنیبر پروتکل بیتتورنت استفادهمیکند و این باعثمیشود یک ساختار غیرمتمرکز از باتها بهوجود آمده و توقف آن سخت باشد. محققان میگویند Hajime بسیاربسیار پیچیدهتر از Mirai است چرا که دارای ساختار دستور و کنترل بسیار پیچیده است.
ارائهدهندگان پهنایباند در اینترنت توانستهاند با مسدود کردن ارتباطات باتنت Mirai با سرور دستور و کنترل تاحدودی ترافیک مخرب آن را کنترل کنند. بهطور همزمان بدافزار Hajime به رشد خود ادامه داده و این رشد به ۲۴.۷ درصد رسیدهاست و توانسته بسیاری از دستگاههای آلودهشده توسط Mirai را مجدداً آلودهکند. با توجه به ماهیت نظیربهنظیر در باتنت Hajime، یک بات میتواند بهراحتی دستورات و پروندههای مخرب را به سایر قسمتهای باتنت منتقل کند. همچنین فرایند مسدودکردن ترافیک مخرب نیز در این ساختار غیرمتمرکز بسیار دشوار است.
در تصویر زیر میزان تلاش هریک از بدافزارهای Hajime و Mirai را برای آلودهکردن دستگاههای اینترنت اشیا مشاهده میکنید. خط آبی متعلق به بدافزار Hajime و خط قرمز مربوط به Mirai است.
محققان امنیتی هنوز مطمئن نیستند چه کسی پشت بدافزار Hajime است. بهطور قطع تاکنون حمله منع سرویس توزیعشده (DDoS) با استفاده از این باتنت مشاهده نشده و این خبر خوبی است. هرچند این باتنت بسیار بزرگ بوده و قادر است حملاتی مشابه آنچه Mirai انجام داد راهاندازی کند با این حال هدف نهایی باتنت Hajime هنوز ناشناخته باقی ماندهاست. با این حال احتمالی که وجود دارد این است که در آینده برای اجرای حمله منع سرویس توزیعشده برای یک اخاذی مالی بسیار بزرگ مورد استفاده قرار بگیرد. همچنین امکان دارد باتنت Hajime یک پروژه تحقیقاتی باشد یا یک متخصص امنیت بخواهد با تشکیل آن، باتنت Mirai را تحت فشار قرار داده و از صحنه خارج کند.
هرچند تاکنون رشد باتنت Hajime بیشتر از Mirai بودهاست، ولی یک تفاوت عمده بین این دو باتنت وجود دارد و آن اینکه باتنت Hajime طیف محدودتری از دستگاههای اینترنت اشیا با معماری تراشه ARM را آلودهمیکند. باتوجه به آنچه که در کد منبع بدافزار Mirai دیدیم، این مسئله با این بدافزار در تضاد است، چرا که Mirai طیف وسیعی از دستگاهها را آلودهمیکند. بهعبارتی دیگر میتوان گفت رقابتی که بین Hajime و Mirai در جریان است با یکدیگر همپوشانی ندارد. با اینحال تاکنون Hajime توانستهاست Mirai را تحت فشار قرار دهد.
برای متوقف کردن این بدافزارها، محققان امنیتی پیشنهاد میکنند که مشکل بهطور ریشهای حل شود و افدامی برای وصله آسیبپذیریها بر روی دستگاههای اینترنت اشیا صورت گیرد. ممکن است این راهحل زمان زیادی ببرد و در برخی موارد حتی شدنی نباشد؛ به عبارت دیگر بدافزارهای Hajime و Mirai همچنان در عرصه تهدیدات اینترنت اشیا حضور خواهند داشت.