以恶制恶 黑客团队用恶意软件保护企业设备

“白色团队”(Team White)黑客称其Wifatch恶意软件感染超过30万台设备，其目的旨在加强这些设备的安全性，但专家仍然质疑该团队的义务安全保护行为。

最近Wifatch恶意软件背后的黑客“白色团队”声称，受其软件“保护”的路由器数量大约为6万台。他们还表示恶意软件已经感染超过30万台设备，但还无法向所有这些设备提供保护。

“我们主要目标是阻止这些设备被恶意软件操作者控制，”白色团队通过电子邮件表示，“我们不会滥用这些设备。我们保持隐秘很重要，因为这样做就不会让恶意软件编写者注意到这种威胁。”

白色团队黑客声称，在其僵尸网络中扫描到受恶意软件保护的设备数量通常为6万左右，但在其GitLab源代码库表示，这个数字可能达到10万以上，并且，运行Wifatch的总设备数量可能超过30万，其中大部分是监控摄像头，而不是路由器。然而，并非所有设备都会受到保护。该团队指出他们计划在某些时候对这些设备进行“消毒”，这是指强化和移除其感染的设备中的恶意软件，但有限内存等问题可能让这个任务变得非常困难。

“这些设备往往总是被忽视，并且通常由完全非技术用户维护。大多数这些用户没有意识到他们的路由器正在攻击网络中其他主机，同时，他们很难找到授权且有能力的人，”白色团队写道，“我们计划在某个时候对这些设备消毒，但这在技术上比我们现在做的事情更具挑战性。”

白色团队黑客已经发布了Wifatch恶意软件部分代码，在通用公共许可证(GPL)下可免费使用。通过与原始恶意软件的数字签名匹配，SearchSecurity证实了他们公布的代码为真实代码，SearchSecurity还证实了电子邮件中的签名对应GitLab库中PGP密钥。

“我们认为知识通常应该是免费的(包括物理课程和炸弹计划)，除了极少数例外，” 白色团队写道，“因为知识本身是中立的，减少伤害的最好方法就是让世界变得更好，这样会有更少的人认为他们需要从事罪恶行径。”

白色团队承认发布恶意代码很危险，但指出他们在采取措施来降低风险。

“对此我们需要进行权衡，我们发布了在其他人设备上运行的所有资源，但这些资源并不会允许人们掌控这些设备，” 白色团队写道，“我们没有公布让你可以给这些僵尸机器命令的密钥，或者感染设备的代码。”

安全研究人员和前黑帽攻击者Hector X.Monsegur担心这仍然可能足以让恶意攻击者对这些代码进行逆向工程。Monsegur表示，考虑到受Wifatch感染但不受保护的设备数量，这非常有可能，这意味着恶意攻击者可能得到完整的感染代码。

Monsegur也质疑为什么白色团队没有做更多工作来通知设备拥有者他们的设备无法受到保护。

“他们可以做的是自动化报告过程，”Monsegur表示，“研究人员一直在使用ZMap和互联网范围的扫描仪来广泛寻找漏洞，编写脚本来测试这些结果并自动化发送的电子邮件到每个ISP。”

白色团队表示他们没有联系那些感染的用户主要有几个原因，首先，扫描设备中的电子邮件地址将会“侵犯隐私”，并且，该团队声称，从过去的经验来看，通知ISP并没有被证明是有效的做法。

Monsegur和其他专家也表示担心这种恶意软件可能产生意外伤害。白色团队承认其软件可能因为过热而导致死机或者重启，或者可能将正常软件误认为恶意软件并阻止它，但“相当肯定”其做法利大于弊。

“很多恶意软件会复制你的访问数据以及它能找到的任何信息，密码、电话号码等。有些恶意软件会监控你的互联网流量，并寻找密码和其他敏感数据。有些会加密NAS设备中的文件，当用户要求访问数据时会对用户进行勒索，” 白色团队写道，“但我们没有做这些事情，而且这是赛门铁克和其他供应商认同的事实。我们还仔细监控我们的节点，从中发现可能针对我们的问题，但通常不太可能是针对性的典型恶意软件。我们不认为短期内感染设备、移除明显恶意软件会造成实质性损害，这基本上是我们所做的事情。”

Monsegur表示，传播这种软件的做法可能会导致意想不到的后果。

“他们的代码仍然在未经许可的情况下感染机器，似乎在利用你的设备来传播，如果你受感染的设备扫描着高度敏感的网络呢?”Monsegur问道，“这里可能有法律后果，更何况，并非所有这些代码都经过审核，这意味着攻击者可能完全利用这些受感染的设备。”

虽然该组织的目的是加强易受攻击设备的安全性，但白色团队不希望人们完全依靠他们，而是希望看到人们更加重视安全性，对未受保护的设备负责。最终，该团队相信他们的做法利大于弊。

“虽然我们不知道Wifatch阻止了多少信息盗窃案，但我们知道我们没有增加这个数量，” 白色团队写道，“当然，我们没有办法完全确定，但至少我们尽力了，这显然要强过这些设备制造商所做的工作，不像我们，他们还会得到报酬。”