TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากไม่กี่วันก่อน Symantec ได้ออกมาเปิดเผยถึง IoT Botnet ที่ชื่อว่า Hajime กลับมาแพร่ระบาดอีกครั้ง โดยมีเป้าหมายเป็นอุปกรณ์ IoT ประเภทเดียวกับที่มัลแวร์ Mirai ซึ่งเป็น IoT Botnet ชื่อดังพุ่งเป้าโจมตี จนถึงตอนนี้พบว่ามีอุปกรณ์ตกเป็นเหยื่อแล้วกว่า 300,000 เครื่อง และประเทศไทยถือว่าเป็นอันดับ 3 ที่มีอุปกรณ์ติดมัลแวร์ Hajime มากที่สุด
Hajime Botnet ถูกค้นพบครั้งแรกเมื่อปลายปี 2016 ที่ผ่านโดยนักวิจัยจาก Rapidity Networks ซึ่งชื่อ Hajime มาจากภาษาญี่ปุ่นที่แปลว่า “การเริ่มต้น” สาเหตุที่นักวิจัยตั้งชื่อนี้เพราะว่า Botnet ดังกล่าวพยายามโจมตีอุปกรณ์ประเภทเดียวกับที่ Mirai โจมตีโดยเฉพาะ ซึ่ง Mirai มีความหมายว่า “อนาคต”
การเชื่อมโยงกับ Mirai นี้มีความสำคัญมาก เนื่องจาก Hajime ปรากฎตัวท่ามกลางกระแสของ Mirai ซึ่งสร้างกองทัพ Botnet โจมตีเป้าหมายไปทั่วโลก ส่งผลให้บริษัทด้านความมั่นคงปลอดภัยส่วนใหญ่ไม่ตระหนักถึงการมีอยู่ของ Hajime เพราะเน้นพุ่งเป้าที่การตรวจสอบ Mirai Botnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากที่ Symantec ออกมาเปิดเผยถึงข้อมูลของ Hajime อีกครั้ง ก็ทำให้หลายบริษัทเริ่มให้ความสนใจมัลแวร์ตัวนี้มากยิ่งขึ้น ทั้ง Kaspersky Labs และ Radware ต่างออกรายงานเกี่ยวกับ Hajime เมื่อไม่กี่วันมานี้ทั้งสิ้น
รายงานจากหลายๆ บริษัทให้ข้อสรุปตรงกันว่า Hajime เป็นหนึ่งในมัลแวร์ที่ถูกออกแบบมาอย่างแยบยล (Sophisticated) โดยลักษณะของ Hajime มีดังนี้
- มัลแวร์พุ่งเป้าอุปกรณ์ Linux ที่รันบนแพลตฟอร์ม Arm5, Arm6, Arm7, Mipseb และ Mipsel
- อุปกรณ์ที่ติดมัลแวร์ส่วนใหญ่เป็น DVR กล้องวงจรปิด และเราท์เตอร์ตามบ้าน
- มัลแวร์แพร่กระจายตัวผ่าน 3 ท่า คือ Brute Force ผ่าน Telnet, โจมตีช่องโหว่บนโปรโตคอล TR-064 ที่ ISP ใช้บริหารจัดการเราท์เตอร์ และโจมตีผ่านช่องโหว่ Password of the Day ของ Arris Cable Modem
- Hajime ใช้รายชื่อและรหัสผ่านเดียวกับที่ Mirai ใช้ และเพิ่มเติมเข้าไปอีก 2 รายการ
- Hajime ผ่านการอัปเดตมาแล้ว 6 ครั้งตั้งแต่ปี 2017 นั่นหมายความว่าแฮ็คเกอร์ยังคงมีการพัฒนาอย่างต่อเนื่อง
- แฮ็คเกอร์ควบคุม Botnet ผ่านทางโปรโตคอล P2P และมีการเข้ารหัสการติดต่อสื่อสารทั้งหมด
- มัลแวร์ถูกออกแบบให้มีสถาปัตยกรรมแยกย่อยเป็นโมดูล และสามารถดาวน์โหลดโมดูลเสริมมาเพื่อทำหน้าที่บางอย่างโดยเฉพาะได้
- โมดูลและไบนารี่ส่วนใหญ่ถูกเก็บไว้บน Botnet ตัวอื่น และไม่มีการดาวน์โหลดมาจาก C&C Server
- นักวิจัยตรวจจับโมดูลสำหรับทำสำเนาตัวเองได้เท่านั้น ไม่มีโมดูลสำหรับโจมตีแบบ DDoS หรือทำ Proxy ทราฟฟิกแต่อย่างใด
- โมดูลเสริมสามารถพัฒนาโดยใช้ภาษาอะไรก็ได้ ตราบเท่าที่ไบนารี่ที่ได้หลังคอมไพล์รองรับกับการใช้งานบนแพลตฟอร์มเหล่านั้น
- สามารถจัดการมัลแวร์ได้โดยการรีบูต เนื่องจากมัลแวร์ไม่มีการเก็บโค้ดไว้ถาวร
- ทุกครั้งที่ Botnet ติดต่อกับ C&C Server เพื่ออัปเดตการตั้งค่า มัลแวร์จะแสดงข้อความตามรูปด้านล่างบนหน้าคอนโซล ซึ่ง Symantec เชื่อว่าแฮ็คเกอร์ที่พัฒนา Botnet ไม่มีจุดประสงค์ร้าย
ประเทศไทยถือว่าเป็นอันดับ 3 ที่มีอุปกรณ์ติดมัลแวร์ Hajime มากที่สุด โดยคิดเป็นส่วนแบ่งประมาณ 11%
ถึงแม้ว่า จนถึงตอนนี้มัลแวร์ Hajime จะยังไม่กระทำการใดๆ ที่เป็นอันตราย เช่น โจมตีแบบ DDoS แต่ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายฝ่ายกำลังกังวลว่า ด้วยปริมาณ Botnet ระดับ 300,000 เครื่อง อาจมีแฮ็คเกอร์มือดีสามารถเข้าควบคุมการปฏิบัติของ Hajime Botnet ได้ทั้งหมด แล้วพัฒนาต่อยอดโมดูลสำหรับโจมตีเพื่อใช้ Hajime Botnet เป็นเครื่องมือในการถล่มเป้าหมายทั่วโลกได้
