มัลแวร์ตัวใหม่ ที่จะเปลี่ยนอุปกรณ์ Network ให้กลายเป็นเครื่องมือทำ DDoS

พบมัลแวร์ตัวใหม่ ที่จะเปลี่ยนอุปกรณ์ Network ให้กลายเป็นเครื่องมือทำ DDoS

การระดมยิงระบบให้เกิดอาการระบบล่ม หรือ DDoS (Distributed Denial-of-Service) นั้น มักจะต้องใช้เครื่องมือบางอย่างในการรวบรวมเครื่องที่จะนำมาใช้ยิงระบบ โดยมากแล้วมักจะใช้มัลแวร์ประเภท Botnet เพื่อแปลงอุปกรณ์ของเหยื่อที่ไม่ได้มีส่วนเกี่ยวข้องด้วยรอบโลก มาเป็นเครื่องซอมบี้ (Zombie) ในการระดมยิงระบบ และข่าวนี้ก็เป็นอีกครั้งหนึ่งในการแพร่กระจายมัลแวร์ประเภทนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการระบาดของมัลแวร์ประเภท Botnet เพื่อใช้ในการยิง DDoS โดยตัวมัลแวร์นั้นจะมุ่งเน้นไปยังอุปกรณ์ต่าง ๆ ที่เกี่ยวข้องกับระบบเครือข่าย (Network) ไม่ว่าจะเป็นเราเตอร์ (Router), อุปกรณ์ IoT (Internet of Things) และอุปกรณ์จัดการเครือข่ายในระดับองค์กร (Enterprise) ซึ่งมัลแวร์ที่ถูกแพร่กระจายในแคมเปญนี้นั้นมีถึง 3 ตัว นั่นคือ CondiBot มัลแวร์แบบ Botnet สำหรับการทำ DDoS ที่ออกมาแบบมาเพื่อเข้าฝังตัวบนอุปกรณ์จัดการเครือข่ายที่ทำงานอยู่บนระบบปฏิบัติการ Linux และ Monaco มัลแวร์ประเภทสแกน Secure Shell เพื่อเข้าโจมตีระบบ หรือ SSH Scanner และท้ายสุดคือ Monero มัลแวร์สำหรับการขุดเหรียญคริปโตเคอร์เรนซี (Crypto Miner) สกุล Monero ที่จะถูกปล่อยลงเครื่องโดยฝีมือของมัลแวร์ Monaco หลังจากที่ฝังตัวลงบนระบบเสร็จเรียบร้อย โดยมัลแวร์ทั้งหมดนี้ถูกตรวจพบในช่วงต้นเดือนมีนาคมที่ผ่านมานี้เอง ซึ่ง 2 ตัวแรกนั้นเป็นมัลแวร์ใหม่ที่ไม่เคยได้ถูกบันทึกบนเครื่องมือตรวจหามัลแวร์ชื่อดัง อย่าง VirusTotal, ThreatFox และ Hybrid Analysis มาก่อนแต่อย่างใด

โดยทางทีมวิจัยจาก Eclypsium ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการป้องกันการโจมตีห่วงโซ่อุปทาน (Supply Chain Attacks) กล่าวว่า จากการตรวจสอบพฤติกรรมการแพร่กระจายของมัลแวร์นั้นทำให้สามารถสังเกตได้ว่า การโจมตีของมัลแวร์ชุดดังกล่าวไม่น่าจะมาจากฝีมือของแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hacker) แต่น่าจะมาจากกลุ่มแฮกเกอร์ที่หวังจะใช้งานทรัพยากรเครื่องของเหยื่อเพื่อขุด และทำกำไรจากเหรียญที่ขุดได้มากกว่า ซึ่งกลุ่มแฮกเกอร์ต่าง ๆ เหล่านี้มักจะใช้งานช่องโหว่ความปลอดภัยบนเครื่องของเหยื่อ โดยเฉพาะช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาระบบ หรือ Zero-Day มักจะถูกนำมาใช้งานมากเป็นพิเศษ และที่อันตรายไปกว่านั้นคือ อุปกรณ์ต่าง ๆ ที่แฮกเกอร์เพ่งเล็งเล่นงานในแคมเปญนี้ มักจะเป็นอุปกรณ์ที่ไม่สามารถรันเครื่องมือตรวจสอบความปลอดภัยตามปกติได้ ทำให้หลังฝังตัวได้แล้ว ทั้งแฮกเกอร์และมัลแวร์ก็จะสามารถฝังอยู่ภายในระบบได้อย่างยาวนานโดยไม่ถูกตรวจจับแต่อย่างใด

สำหรับการโจมตีด้วยมัลแวร์ CondiBot จะเริ่มต้นจากแฮกเกอร์ใช้งานเครื่องมือส่งไฟล์ (File Transfer Utility) เช่น wget, curl, tftp, และ ftpget ส่งไฟล์มัลแวร์ (Payload) ลงบนอุปกรณ์ Linux ที่มีช่องโหว่ความปลอดภัยอยู่ (ทางแหล่งข่าวไม่ได้ระบุว่าเป็นช่องโหว่ตัวใด) หลังจากที่ตัว Payload ถูกรันลงบนระบบเป้าหมายแล้ว มัลแวร์ก็จะเข้าทำการปิดเครื่องมือสำหรับรีบูทระบบ (Reboot Utility) ด้วยการเปลี่ยนสิทธิ์ของไฟล์ที่เกี่ยวข้องเป็น 000 ให้ไม่สามารถทำงานได้ จากนั้นจึงทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) แล้วลงทะเบียนหมายเลขระบุตัวตนเฉพาะตัวของบอท (Unique Bot Identifier) ในทันที

หลังจากที่ลงทะเบียนเสร็จแล้ว ตัวมัลแวร์ก็จะเข้าสู่ช่วงรอจังหวะการทำงานอีกครั้ง (Waiting Loop) และคอยรับคำสั่ง (Command) จากทางเซิร์ฟเวอร์ C2 ซึ่งเมื่อได้รับคำสั่งแล้ว ตัวมัลแวร์ก็จะทำการส่งเครื่องมือสำหรับการโจมตีเป้าหมาย (Attack Handlers) หนึ่งใน 32 ตัวออกไปทำหน้าที่ในทันที นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการจัดการลบมัลแวร์ประเภท Botnet ตัวอื่นที่อาจอยู่บนเครื่อง รวมทั้งเข้าจัดการกับ Process ชื่อว่า /bin/sora เพื่อให้มัลแวร์สามารถเข้าควบคุมเครื่องได้โดยสมบูรณ์อีกด้วย ด้วยการทำงานที่สมบูรณ์แบบเช่นนี้ ทำให้เป็นการยากมากที่จะจัดการมัลแวร์ นอกเสียจากจะสามารถเข้าถึงตัวเครื่องเพื่อจัดการโดยตรง