Breaking News

ผู้เชี่ยวชาญเผยความกังวล Hajime Botnet แพร่กระจายกว่า 300,000 เครื่องแล้ว ไทยเป็นอันดับที่ 3

หลังจากไม่กี่วันก่อน Symantec ได้ออกมาเปิดเผยถึง IoT Botnet ที่ชื่อว่า Hajime กลับมาแพร่ระบาดอีกครั้ง โดยมีเป้าหมายเป็นอุปกรณ์ IoT ประเภทเดียวกับที่มัลแวร์ Mirai ซึ่งเป็น IoT Botnet ชื่อดังพุ่งเป้าโจมตี จนถึงตอนนี้พบว่ามีอุปกรณ์ตกเป็นเหยื่อแล้วกว่า 300,000 เครื่อง และประเทศไทยถือว่าเป็นอันดับ 3 ที่มีอุปกรณ์ติดมัลแวร์ Hajime มากที่สุด

Credit: Symantec

Hajime Botnet ถูกค้นพบครั้งแรกเมื่อปลายปี 2016 ที่ผ่านโดยนักวิจัยจาก Rapidity Networks ซึ่งชื่อ Hajime มาจากภาษาญี่ปุ่นที่แปลว่า “การเริ่มต้น” สาเหตุที่นักวิจัยตั้งชื่อนี้เพราะว่า Botnet ดังกล่าวพยายามโจมตีอุปกรณ์ประเภทเดียวกับที่ Mirai โจมตีโดยเฉพาะ ซึ่ง Mirai มีความหมายว่า “อนาคต”

การเชื่อมโยงกับ Mirai นี้มีความสำคัญมาก เนื่องจาก Hajime ปรากฎตัวท่ามกลางกระแสของ Mirai ซึ่งสร้างกองทัพ Botnet โจมตีเป้าหมายไปทั่วโลก ส่งผลให้บริษัทด้านความมั่นคงปลอดภัยส่วนใหญ่ไม่ตระหนักถึงการมีอยู่ของ Hajime เพราะเน้นพุ่งเป้าที่การตรวจสอบ Mirai Botnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากที่ Symantec ออกมาเปิดเผยถึงข้อมูลของ Hajime อีกครั้ง ก็ทำให้หลายบริษัทเริ่มให้ความสนใจมัลแวร์ตัวนี้มากยิ่งขึ้น ทั้ง Kaspersky Labs และ Radware ต่างออกรายงานเกี่ยวกับ Hajime เมื่อไม่กี่วันมานี้ทั้งสิ้น

รายงานจากหลายๆ บริษัทให้ข้อสรุปตรงกันว่า Hajime เป็นหนึ่งในมัลแวร์ที่ถูกออกแบบมาอย่างแยบยล (Sophisticated) โดยลักษณะของ Hajime มีดังนี้

  • มัลแวร์พุ่งเป้าอุปกรณ์ Linux ที่รันบนแพลตฟอร์ม Arm5, Arm6, Arm7, Mipseb และ Mipsel
  • อุปกรณ์ที่ติดมัลแวร์ส่วนใหญ่เป็น DVR กล้องวงจรปิด และเราท์เตอร์ตามบ้าน
  • มัลแวร์แพร่กระจายตัวผ่าน 3 ท่า คือ Brute Force ผ่าน Telnet, โจมตีช่องโหว่บนโปรโตคอล TR-064 ที่ ISP ใช้บริหารจัดการเราท์เตอร์ และโจมตีผ่านช่องโหว่ Password of the Day ของ Arris Cable Modem
  • Hajime ใช้รายชื่อและรหัสผ่านเดียวกับที่ Mirai ใช้ และเพิ่มเติมเข้าไปอีก 2 รายการ
  • Hajime ผ่านการอัปเดตมาแล้ว 6 ครั้งตั้งแต่ปี 2017 นั่นหมายความว่าแฮ็คเกอร์ยังคงมีการพัฒนาอย่างต่อเนื่อง
  • แฮ็คเกอร์ควบคุม Botnet ผ่านทางโปรโตคอล P2P และมีการเข้ารหัสการติดต่อสื่อสารทั้งหมด
  • มัลแวร์ถูกออกแบบให้มีสถาปัตยกรรมแยกย่อยเป็นโมดูล และสามารถดาวน์โหลดโมดูลเสริมมาเพื่อทำหน้าที่บางอย่างโดยเฉพาะได้
  • โมดูลและไบนารี่ส่วนใหญ่ถูกเก็บไว้บน Botnet ตัวอื่น และไม่มีการดาวน์โหลดมาจาก C&C Server
  • นักวิจัยตรวจจับโมดูลสำหรับทำสำเนาตัวเองได้เท่านั้น ไม่มีโมดูลสำหรับโจมตีแบบ DDoS หรือทำ Proxy ทราฟฟิกแต่อย่างใด
  • โมดูลเสริมสามารถพัฒนาโดยใช้ภาษาอะไรก็ได้ ตราบเท่าที่ไบนารี่ที่ได้หลังคอมไพล์รองรับกับการใช้งานบนแพลตฟอร์มเหล่านั้น
  • สามารถจัดการมัลแวร์ได้โดยการรีบูต เนื่องจากมัลแวร์ไม่มีการเก็บโค้ดไว้ถาวร
  • ทุกครั้งที่ Botnet ติดต่อกับ C&C Server เพื่ออัปเดตการตั้งค่า มัลแวร์จะแสดงข้อความตามรูปด้านล่างบนหน้าคอนโซล ซึ่ง Symantec เชื่อว่าแฮ็คเกอร์ที่พัฒนา Botnet ไม่มีจุดประสงค์ร้าย
Credit: Bleeping Computer

ประเทศไทยถือว่าเป็นอันดับ 3 ที่มีอุปกรณ์ติดมัลแวร์ Hajime มากที่สุด โดยคิดเป็นส่วนแบ่งประมาณ 11%

ถึงแม้ว่า จนถึงตอนนี้มัลแวร์ Hajime จะยังไม่กระทำการใดๆ ที่เป็นอันตราย เช่น โจมตีแบบ DDoS แต่ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายฝ่ายกำลังกังวลว่า ด้วยปริมาณ Botnet ระดับ 300,000 เครื่อง อาจมีแฮ็คเกอร์มือดีสามารถเข้าควบคุมการปฏิบัติของ Hajime Botnet ได้ทั้งหมด แล้วพัฒนาต่อยอดโมดูลสำหรับโจมตีเพื่อใช้ Hajime Botnet เป็นเครื่องมือในการถล่มเป้าหมายทั่วโลกได้

ที่มา: https://www.bleepingcomputer.com/news/security/security-experts-worry-as-hajime-botnet-grows-to-300-000-bots/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Salesforce ประกาศใช้ Azure ขยายฐานการให้บริการ Marketing Cloud

เมื่อวานนี้ Salesforce ผู้นำตลาด Cloud CRM ได้ประกาศว่ากำลังจะใช้ Azure เพื่อให้บริการ Marketing Cloud

Fortinet เปิดตัว FortiGate 60F พร้อมชิปประมวลผล SOC4 เพิ่มสมรรถนะ SD-WAN ให้ถึงขีดสุด

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง ประกาศเปิดตัว FortiGate 60F ที่มาพร้อมกับชิปประมวลผล SOC4 สำหรับเพิ่มประสิทธิภาพการเชื่อมต่อ SD-WAN ไปอีกขั้น ในขณะที่ Throughput การใช้งานสูงกว่าคู่แข่งอื่นในท้องตลาดถึง 17 เท่า