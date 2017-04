We meldden al eerder dat er een veldslag gaande is tussen twee zich snel verspreidende malwarevormen die het gemunt hebben op IoT-apparaten. Tot nu toe ging men ervan uit dat ook de nieuwe malware, Hajime, het vormen van een kwaadaardig botnet als doel had, maar tot nu toe zijn verdachte activiteiten uitgebleven. Daarentegen zorgt Hajime ervoor dat Mirai, het beruchte IoT-virus, de al door Hajime bezette apparaten kan infecteren. Daarnaast draagt het een boodschap mee van zijn maker.

"Slechts een white hat, die wat systemen beveiligt", luidt de boodschap. "Blijf alert!"

Symantec meldde deze nieuwe ontwikkeling onlangs en zegt dat de inspanningen van deze zogenaamde "white hat", of ethische hacker, effect lijken te hebben. De worm strijdt tegen Mirai, de beruchte malware die honderdduizenden kwetsbare IoT-apparaten tot slaaf heeft gemaakt en gebruikt in een botnet. In oktober was een Mirai-botnet verantwoordelijk voor een massale DDoS-aanval dat het internetverkeer danig parten heeft gespeeld.

Hajime werd eveneens in oktober ontdekt. Het leek op jacht te gaan naar apparaten die geïnfecteerd waren door Mirai. Als het een dergelijk apparaat had gevonden en geïnfecteerd, blokkeerde het de toegang tot bepaalde poorten op het apparaat die door andere malware zouden kunnen worden gebruikt.

Lees ook: Deze antibot-bot saboteert brakke routers

De eigenaren van deze door Hajime geïnfecteerde apparaten zouden niets moeten merken van enige verstoring, zegt Wayton Grange, een onderzoeker bij Symantec. "De protocollen die Hajime gebruikt zijn ontworpen om de netwerkprestaties niet te verstoren", zegt hij.

De top 10 van landen met de meeste Hajime-infecties

Experts hebben al eerder geopperd dat Hajime mogelijk van een strijdbare hacker zou komen die Mirai wilt stoppen. Maar Symantec zegt daar nu ook bewijs te hebben gevonden. Het bedrijf heeft gezien dat sinds vorige maand de worm een boodschap achterlaat op de geïnfecteerde apparaten, zegt Grange. Die boodschap is digitaal ondertekend en zodanig in elkaar gezet dat het geen twijfel laat bestaan dat deze van de Hajime-ontwikkelaar komt.

De korte boodschap geeft niets prijs over de identiteit van de ontwikkelaar. Maar de hacker blijkt dus wel te weten dat de securitygemeenschap de Hajime-worm nauwlettend in de gaten houdt. Wel valt één ding op: de mysterieuze ontwikkelaar refereert naar zichzelf als de Hajime-auteur in de boodschap. Maar de naam Hajime komt van onderzoekers bij Rapidity Netwerks. Hajime is Japans voor "het begin".

Wat Symantec niet erg bevalt is dat de Hajime-auteur verder enkele bugs heeft gepatcht die ontdekt waren door onderzoekers. "De gedachte dat security-onderzoekers onbedoeld assistentie verlenen aan malwareschrijvers is zorgelijk", schrijft Grange in zijn blogpost.

Dus hoe veel zorgen moeten we ons maken over Hajime?

"Aan de ene kant bevalt het me wel dat Hajime Mirai de pas afsnijdt", zegt Grange. "Maar ik weet niet wat de verdere plannen zijn van Hajime's maker."

De huidige samenstelling van Hajime heeft geen kwaadaardige mogelijkheden. Maar de angst bestaat dat de ontwikkelaar op een dag de worm aanpast en start met DDoS-aanvallen of betrokken raakt bij andere vormen van criminaliteit, zegt Grange.

Lees ook: 8 manieren om IoT onschadelijk te maken

Hajime heeft daarnaast ook een feature dat het moeilijk maakt het te stoppen. De worm neemt geen commando's aan van een enkele server die beheerd wordt door de ontwikkelaar. Het communiceert over een p2p-netwerk. Dat betekent dat een hele groep apparaten die geïnfecteerd zijn met Hajime bestanden of instructies kan overbrengen naar de rest van de groep.

"Als Hajime kwaadaardig wordt, dan zal het moeilijk zijn om het te bestrijden", zegt Grange.

Het idee om Mirai te bestrijden door IoT-apparaten te patchen is overigens niet nieuw. In december van het afgelopen jaar publiceerde een onderzoeker een worm om Mirai onschadelijk te maken, maar binnen enkele dagen had hij zijn hele contra-Mirai-project maar weer van GitHub gehaald.

Het is dan ook zeer controversieel, juridisch komt het neer op computervredebreuk en de goedaardige worm kan door de maker, of door anderen, worden gemodificeerd tot een kwaadaardige variant.