Исследователь безопасности компании Symantec Марио Баллано (Mario Ballano) сообщил об обнаружении нового ботнета, работающего по совершенно новому принципу. Вместо того чтобы использовать зараженные устройства для осуществления атак, киберпреступники исправляют найденные в них бреши и удаляют вредоносное ПО.
Ботнет, получивший название Linux.Wifatch, завершает процессы уязвимых служб Telnet, уничтожает известные виды вредоносного ПО для домашних сетевых устройств, а также уведомляет администратора о необходимости сменить пароль и обновить прошивку устройства.
«В это трудно поверить, но похоже, что автор пытается обезопасить инфицированные устройства вместо того, чтобы использовать их во вредоносных целях», - сообщил Баллано. По его словам, в коде Linux.Wifatch не было обнаружено никаких вредоносных элементов. Вместо этого Wifatch пытается увеличить безопасность скомпрометированных устройств. Эксперт в течение нескольких месяцев наблюдал за активностью сети, но не обнаружил ни единой попытки использовать входящие в нее устройства во вредоносных целях.
В Wifatch содержится эксплоит, еженедельно перезагружающий устройства в целях защиты от непостоянных инфекций. Исследователь сообщил, что автор не пытался обфусцировать код – более того, он снабдил экспертов инструкцией по его отладке.
Судя по всему, создатель Wifatch вдохновлялся принципами Эдварда Сноудена и Ричарда Столлмана. В своем коде он оставил послание, авторство которого приписывается Столлману: «Дорогие агенты ФБР и АНБ, читающие это сообщение! Подумайте о том, что защита государства от внешних и внутренних врагов требует от вас следовать примеру Сноудена».