นักวิจัยด้านความมั่นคงปลอดภัยจาก GuardiCore ออกมาเปิดเผยถึง Botnet ประเภทใหม่ ชื่อว่า “BondNet” ซึ่งแพร่กระจายตัวไปยังเซิร์ฟเวอร์ทั่วโลกกว่า 15,000 เครื่อง แล้วเปลี่ยนเป็นกองทัพซอมบี้สำหรับขุดเงินดิจิทัล (Cryptocurrencies) หลายรายการ สร้างรายได้ให้แก่แฮ็คเกอร์มากถึง $25,000 หรือประมาณ 860,000 บาทต่อเดือน
การขุดเงินดิจิทัลเรียกได้ว่าต้องมีการลงทุนด้านทรัพยากรของเครื่องคอมพิวเตอร์พอสมควร เนื่องจากต้องแลกกับกำลังประมวลผลขนาดใหญ่ อย่างไรก็ตาม อาชากรไซเบอร์ได้ค้นพบวิธีที่ช่วยให้หาเงินได้ง่ายกว่านั้นแล้ว ด้วยการสร้างกองทัพ Botnet มาช่วยกันขุดเงินดิจิทัลโดยที่ตนเองไม่ต้องลงแรงเองแต่อย่างใด หนึ่งในนั้นคือ BondNet ซึ่งถูกควบคุมโดยกลุ่มแฮ็คเกอร์นาม Bond007.01 จากประเทศจีน
เป้าหมายถึงคือ Windows Server เวอร์ชันเก่าๆ
เป้าหมายของ BondNet ส่วนใหญ่เป็น Windows Server แทนที่จะเป็นอุปกรณ์ IoT เนื่องจากแฮ็คเกอร์ต้องการขุมพลัง CPU/GPU ในการประมวลผล ทำให้ไม่สามารถแฮ็คโดยใช้ Default Username/Password เหมือนอย่าง Mirai Botnet ได้ แต่ GuardiCore พบว่า แฮ็คเกอร์เลือกใช้ช่องโหว่เก่าๆ คู่กับการโจมตีแบบ Brute Force รหัสผ่านที่อ่อนแอ ในการโจมตี Windows Server ที่ไม่ได้แพทช์ หรือเครื่องรุ่นเก่าที่ไม่ได้รับการซัพพอร์ตแล้ว ช่องโหว่ส่วนใหญ่ที่แฮ็คเกอร์เลือกใช้ ได้แก่ ช่องโหว่การตั้งค่าบน phpMyAdmin, ช่องโหว่บน jBoss, Oracle Web Application Testing Suite, MsSQL, ElasticSearch, Apache Tomcat, Oracle WebLogic และอื่นๆ
หลังจากแฮ็คเครื่อง Windows Server ได้แล้ว แฮ็คเกอร์จะทำการติดตั้งไฟล์ Visual Basic เพื่อเก็บข้อมูลเกี่ยวกับเซิร์ฟเวอร์เครื่องดังกล่าว แล้วติดตั้ง Remote Access Trojan (RAT) และ Cryptocurrency Miner ลงไปเพื่อเตรียมควบคุมให้ขุดเงินดิจิทัลให้กับตนเอง อย่างไรก็ตาม แฮ็คเกอร์ไม่ได้ใช้ Botnet ทุกเครื่องในการขุดเงินดิจิทัล แต่สร้างเป็นเครือข่ายสำหรับทำหน้าที่แตกต่างกัน เช่น เป็นเครื่องสแกนหาช่องโหว่ของเซิร์ฟเวอร์เครื่องอื่นๆ บนอินเทอร์เน็ต เป็นเซิร์ฟเวอร์สำหรับแชร์ซอฟต์แวร์ที่ใช้ขุดเงินดิจิทัล หรือเป็น C&C Server เป็นต้น
ถูกเปลี่ยนเป็น Botnet แล้วกว่า 15,000 เครื่อง
จนถึงตอนนี้ มี Windows Server ติด BondNet แล้วกว่า 15,000 เครื่องจากทั่วโลก และมีแนวโน้มเพิ่มขึ้นประมาณ 500 เครื่องต่อวัน (ในขณะที่มีเครื่องหลุดจากการเป็น Botnet ประมาณ 500 เครื่องต่อวันเช่นกัน) เซิร์ฟเวอร์ที่ตกเป็นเหยื่อส่วนใหญ่มาจากบริษัทขนาดใหญ่ที่มีชื่อเสียง มหาวิทยาลัย หน่วยงานราชการ และอื่นๆ โดยเครื่องที่ติด BondNet มากที่สุดรันระบบปฏิบัติการ Windows Server 2008 R2 และประเทศที่ตกเป็นเหยื่อมากที่สุดคือ จีน อินเดีย สหรัฐฯ และบราซิล
ถึงแม้ว่า BondNet จะถูกใช้เพื่อขุดเงินดิจิทัลหลายรายการ ไม่ว่าจะเป็น Monero, ByteCoin, RieCoin หรือ ZCash แต่จริงๆ แล้วแฮ็คเกอร์สามารถทำได้มากกว่านั้น ด้วยการเข้าควบคุมระบบคอมพิวเตอร์ทั้งหมด แล้วสั่งให้ดำเนินปฏิบัติการไม่พึงประสงค์ เช่น โจมตีแบบ DDoS แบบที่ Mirai Botnet ทำ
ที่มา: http://thehackernews.com/2017/05/cryptocurrency-mining-botnet.html