ผู้เชี่ยวชาญเผยความกังวล Hajime Botnet แพร่กระจายกว่า 300,000 เครื่องแล้ว ไทยเป็นอันดับที่ 3

หลังจากไม่กี่วันก่อน Symantec ได้ออกมาเปิดเผยถึง IoT Botnet ที่ชื่อว่า Hajime กลับมาแพร่ระบาดอีกครั้ง โดยมีเป้าหมายเป็นอุปกรณ์ IoT ประเภทเดียวกับที่มัลแวร์ Mirai ซึ่งเป็น IoT Botnet ชื่อดังพุ่งเป้าโจมตี จนถึงตอนนี้พบว่ามีอุปกรณ์ตกเป็นเหยื่อแล้วกว่า 300,000 เครื่อง และประเทศไทยถือว่าเป็นอันดับ 3 ที่มีอุปกรณ์ติดมัลแวร์ Hajime มากที่สุด

Credit: Symantec

Hajime Botnet ถูกค้นพบครั้งแรกเมื่อปลายปี 2016 ที่ผ่านโดยนักวิจัยจาก Rapidity Networks ซึ่งชื่อ Hajime มาจากภาษาญี่ปุ่นที่แปลว่า “การเริ่มต้น” สาเหตุที่นักวิจัยตั้งชื่อนี้เพราะว่า Botnet ดังกล่าวพยายามโจมตีอุปกรณ์ประเภทเดียวกับที่ Mirai โจมตีโดยเฉพาะ ซึ่ง Mirai มีความหมายว่า “อนาคต”

การเชื่อมโยงกับ Mirai นี้มีความสำคัญมาก เนื่องจาก Hajime ปรากฎตัวท่ามกลางกระแสของ Mirai ซึ่งสร้างกองทัพ Botnet โจมตีเป้าหมายไปทั่วโลก ส่งผลให้บริษัทด้านความมั่นคงปลอดภัยส่วนใหญ่ไม่ตระหนักถึงการมีอยู่ของ Hajime เพราะเน้นพุ่งเป้าที่การตรวจสอบ Mirai Botnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากที่ Symantec ออกมาเปิดเผยถึงข้อมูลของ Hajime อีกครั้ง ก็ทำให้หลายบริษัทเริ่มให้ความสนใจมัลแวร์ตัวนี้มากยิ่งขึ้น ทั้ง Kaspersky Labs และ Radware ต่างออกรายงานเกี่ยวกับ Hajime เมื่อไม่กี่วันมานี้ทั้งสิ้น

รายงานจากหลายๆ บริษัทให้ข้อสรุปตรงกันว่า Hajime เป็นหนึ่งในมัลแวร์ที่ถูกออกแบบมาอย่างแยบยล (Sophisticated) โดยลักษณะของ Hajime มีดังนี้

  • มัลแวร์พุ่งเป้าอุปกรณ์ Linux ที่รันบนแพลตฟอร์ม Arm5, Arm6, Arm7, Mipseb และ Mipsel
  • อุปกรณ์ที่ติดมัลแวร์ส่วนใหญ่เป็น DVR กล้องวงจรปิด และเราท์เตอร์ตามบ้าน
  • มัลแวร์แพร่กระจายตัวผ่าน 3 ท่า คือ Brute Force ผ่าน Telnet, โจมตีช่องโหว่บนโปรโตคอล TR-064 ที่ ISP ใช้บริหารจัดการเราท์เตอร์ และโจมตีผ่านช่องโหว่ Password of the Day ของ Arris Cable Modem
  • Hajime ใช้รายชื่อและรหัสผ่านเดียวกับที่ Mirai ใช้ และเพิ่มเติมเข้าไปอีก 2 รายการ
  • Hajime ผ่านการอัปเดตมาแล้ว 6 ครั้งตั้งแต่ปี 2017 นั่นหมายความว่าแฮ็คเกอร์ยังคงมีการพัฒนาอย่างต่อเนื่อง
  • แฮ็คเกอร์ควบคุม Botnet ผ่านทางโปรโตคอล P2P และมีการเข้ารหัสการติดต่อสื่อสารทั้งหมด
  • มัลแวร์ถูกออกแบบให้มีสถาปัตยกรรมแยกย่อยเป็นโมดูล และสามารถดาวน์โหลดโมดูลเสริมมาเพื่อทำหน้าที่บางอย่างโดยเฉพาะได้
  • โมดูลและไบนารี่ส่วนใหญ่ถูกเก็บไว้บน Botnet ตัวอื่น และไม่มีการดาวน์โหลดมาจาก C&C Server
  • นักวิจัยตรวจจับโมดูลสำหรับทำสำเนาตัวเองได้เท่านั้น ไม่มีโมดูลสำหรับโจมตีแบบ DDoS หรือทำ Proxy ทราฟฟิกแต่อย่างใด
  • โมดูลเสริมสามารถพัฒนาโดยใช้ภาษาอะไรก็ได้ ตราบเท่าที่ไบนารี่ที่ได้หลังคอมไพล์รองรับกับการใช้งานบนแพลตฟอร์มเหล่านั้น
  • สามารถจัดการมัลแวร์ได้โดยการรีบูต เนื่องจากมัลแวร์ไม่มีการเก็บโค้ดไว้ถาวร
  • ทุกครั้งที่ Botnet ติดต่อกับ C&C Server เพื่ออัปเดตการตั้งค่า มัลแวร์จะแสดงข้อความตามรูปด้านล่างบนหน้าคอนโซล ซึ่ง Symantec เชื่อว่าแฮ็คเกอร์ที่พัฒนา Botnet ไม่มีจุดประสงค์ร้าย
Credit: Bleeping Computer

ประเทศไทยถือว่าเป็นอันดับ 3 ที่มีอุปกรณ์ติดมัลแวร์ Hajime มากที่สุด โดยคิดเป็นส่วนแบ่งประมาณ 11%

ถึงแม้ว่า จนถึงตอนนี้มัลแวร์ Hajime จะยังไม่กระทำการใดๆ ที่เป็นอันตราย เช่น โจมตีแบบ DDoS แต่ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายฝ่ายกำลังกังวลว่า ด้วยปริมาณ Botnet ระดับ 300,000 เครื่อง อาจมีแฮ็คเกอร์มือดีสามารถเข้าควบคุมการปฏิบัติของ Hajime Botnet ได้ทั้งหมด แล้วพัฒนาต่อยอดโมดูลสำหรับโจมตีเพื่อใช้ Hajime Botnet เป็นเครื่องมือในการถล่มเป้าหมายทั่วโลกได้

ที่มา: https://www.bleepingcomputer.com/news/security/security-experts-worry-as-hajime-botnet-grows-to-300-000-bots/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: เคล็ดลับความสำเร็จในการขึ้นระบบ ERP สำหรับอุตสาหกรรมการผลิต โดย FMS

FMS ขอเรียนเชิญเจ้าของกิจการ, ผู้บริหารธุรกิจ และผู้จัดการ IT ในอุตสาหกรรมโรงงานและการผลิต, ค้าปลีก รวมถึง Logistics เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "เคล็ดลับความสำเร็จในการขึ้นระบบ ERP สำหรับอุตสาหกรรมการผลิต โดย FMS" เพื่อรับฟังประสบการณ์การวางระบบ ERP ให้กับเหล่าธุรกิจอุตสาหกรรมการผลิตที่มีมายาวนานกว่า 25 ปีของ FMS ในวันพฤหัสบดีที่ 25 กรกฎาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

เสริม Security ให้ระบบเครือข่ายด้วย AI กับ Aruba IntroSpect

หนึ่งในเทรนด์หลักทางด้าน Network ในระยะนี้ก็คงหนีไม่พ้นเรื่องของการประยุกต์นำศาสตร์ทางด้าน Artificial Intelligence หรือ AI มาใช้ในแง่มุมต่างๆ ภายในระบบเครือข่าย Aruba Networks ในฐานะของผู้นำเทคโนโลยีเครือข่ายสำหรับองค์กรเองก็ไม่พลาดที่จะขึ้นเป็นผู้นำเทรนด์นี้ ด้วยการนำ AI เข้ามาใช้เพื่อเสริม Security ให้กับระบบเครือข่ายของธุรกิจองค์กรให้รัดกุมยิ่งขึ้น ภายใต้โซลูชัน Aruba IntroSpect ที่วิเคราะห์ข้อมูลจากทั้ง Traffic ในระบบเครือข่ายและผู้ใช้งานไปพร้อมๆ กัน