มัลแวร์ Masjesu มุ่งเล่นงานอุปกรณ์ IoT พร้อมเลี่ยงการถูกตรวจจับจากเครือข่ายของทางรัฐ

มัลแวร์ Masjesu มุ่งเล่นงานอุปกรณ์ IoT พร้อมเลี่ยงการถูกตรวจจับจากเครือข่ายของทางรัฐ

มัลแวร์ประเภทเปลี่ยนเครื่องของเหยื่อให้เป็นเครือข่ายสำหรับระดมยิงเครือข่ายที่ใหญ่กว่า หรือ Botnet นั้นเรียกได้ว่ามีอยู่มากมายหลายตัว แต่มักจะถูกตรวจสอบได้ยากเพราะมักแทรกซึมไปยังอุปกรณ์ที่ไม่สามารถถูกตรวจสอบด้วยเครื่องมือทั่วไป เช่น อุปกรณ์ IoT (Internet-of-Things) ดั่งเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Security Affair ได้กล่าวถึงการตรวจพบมัลแวร์ Masjesu ซึ่งเป็นมัลแวร์ประเภท Botnet โดยผลนั้นพบว่ามัลแวร์ตัวนี้มีความร้ายกาจมาก จากการที่สามารถระบาด และแอบฝังตัวบนระบบต่าง ๆ ได้มาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2566) เนื่องด้วยสามารถในการล่องหนลอยในระบบได้อย่างแนบเนียนมาโดยตลอด โดยมัลแวร์ตัวนี้มีความคงทนอยู่ภายในระบบ (Persistent) ที่สูงมาก ด้วยการปลอมตัวเป็นไฟล์ระบบ (System File) เช่น /usr/lib/ld-unix.so.2 เป็นต้น และทำการติดตั้ง cron job เพื่อให้ตัวมัลแวร์สามารถรันขึ้นมาใหม่ได้ทุก 15 นาที ทั้งยังสามารถปิด Process ต่าง ๆ ที่จำเป็น เช่น wget, curl, sshd แล้วทำการล็อกโฟลเดอร์ /tmp เพื่อให้สามารถควบคุมเครื่องได้อย่างเบ็ดเสร็จ

ไม่เพียงเท่านั้นตัวมัลแวร์ยังมีความสามารถเข้าถึงเหยื่อได้อย่างหลากหลายผ่านการใช้งานฟังก์ชัน Createchildrenreplic() เพื่อสแกนหาหมายเลขไอพีของอุปกรณ์ IoT แบรนด์ต่าง ๆ ที่มีช่องโหว่ความปลอดภัยอยู่แบบสุ่ม โดยครอบคลุมถึง D-Link, GPON, และ Netgear เป็นต้น แต่ก็หลีกเลี่ยงในการเข้าถึงเครือข่ายที่มีชื่อเสียงเพื่อหลบเลี่ยงการถูกตรวจจับ เช่น ตัวมัลแวร์จะเลี่ยงการเข้าถึงเครือข่ายของรัฐบาลด้วยการเลี่ยงการเข้าสู่กลุ่มหมายเลขไอพี (IP Range) ของกระทรวงกลาโหมสหรัฐฯ (U.S. Department of Defense) เป็นต้น ด้วยการระบุไว้บนรายชื่อการบล็อก (Blocklist) นอกจากนั้นเพื่อให้ตรวจจับในช่วงของการเข้าถึงระบบได้ยากยิ่งขึ้น ยังมีการใช้วิธีการปกปิดตัวเองด้วยการเข้ารหัสค่าสตริง (String), ค่าการตั้งค่า (Config), และตัวไฟล์มัลแวร์ (Payload) ไว้ด้วยระบบการเข้ารหัส (Encryption) แบบ XOR

โดยหลังจากที่ตัวมัลแวร์สามารถฝังลงบนระบบได้อย่างสมบูรณ์แล้ว ตัวมัลแวร์ก็จะทำติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อรับคำสั่งในการโจมตีเครือข่ายแบบ DDoS (Distributed Denial-of Service) ด้วยวิธีการระดมยิง (Flood) ผ่านทางโปรโตคอลต่าง ๆ เช่น TCP, UDP, และ HTTP ตามแต่คำสั่งที่จะได้รับมาผ่านทางเซิร์ฟเวอร์ C2 นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการใช้งานโดเมนของเซิร์ฟเวอร์ C2 ได้อย่างหลากหลายด้วยระบบหมายเลขไอพีสำรอง (Fallback IP) จำนวนมาก ทั้งยังมีความสามารถในการดาวน์โหลดมัลแวร์ (Payload) ตัวอื่น ๆ จากเซิร์ฟเวอร์ C2 ลงมาติดตั้งด้วย แคมเปญที่มัลแวร์ตัวนี้ระดมเครื่องของเหยื่อในเครือข่ายเพื่อโจมตีระบบใหญ่ก็มีความรุนแรงมาก โดยสามารถยิงได้ไวถึง 290 Gbps เลยทีเดียว ซึ่งจากการตรวจสอบการจราจรของข้อมูล (Traffic) พบว่าเครือข่ายของเครื่องที่ติดมัลแวร์ตัวนี้มีการกระจายตัวอยู่ในหลากหลายประเทศไม่ว่าจะเป็น เวียดนาม, ยูเครน, อิหร่าน, บราซิล, เคนย่า, และอินเดีย โดยการโจมตีนั้นจะพุ่งเป้าไปยังเซิร์ฟเวอร์เกม และ เครือข่ายของบริษัทต่าง ๆ

มัลแวร์ตัวนี้ถูกวางจำหน่ายในรูปแบบเช่าใช้ หรือ MaaS (Malware-as-a-Service) แต่ถูกโฆษณาโปรโมตให้บริการยิงระบบรับจ้าง (DDoS-for-Hire) ซึ่งตัวมัลแวร์ตัวนี้ถูกปล่อยเช่าผ่านทางช่อง “Masjesu Botnet / 僵尸网络” ของแฮกเกอร์บนบริการแชทชื่อดัง Telegram โดยมีการโฆษณาว่าสามารถเข้าฝังตัวบนเครื่องมือ IoT ได้มากมายหลากหลายชนิด เช่น เราเตอร์ และ เกตเวย์ (Gateway) ต่าง ๆ นอกจากนั้นยังสนับสนุนการทำงานบนสถาปัตยกรรม (Architecture) หลากรูปแบบ เช่น 386, MIPS, ARM, SPARC, PPC, 68K, และ AMD64 เป็นต้น