TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ESET ได้รายงานพบมัลแวร์ใหม่บน Linux ซึ่งพุ่งเป้าไปยังเครื่อง Supercomputer เป็นส่วนใหญ่ และมีพฤติกรรมที่ซับซ้อน ด้วยโค้ดขนาดเล็ก
Kobalos เป็นมัลแวร์ที่เน้นโจมตีระบบปฏิบัติการ Unix อย่าง FreeBSD และ Solaris ซึ่งบาง Variant มีการค้นพบว่าใช้บน AIX และ Windows ได้ด้วย โดยเมื่อ ESET ได้จัดทำ Fingerprint เพื่อสแกนหาการมีอยู่ของมัลแวร์ในโลกอินเทอร์เน็ตก็พบว่าเหยื่อมักเป็นพวกระบบประมวลผลขนาดใหญ่ทั้ง Supercomputer หรือเครื่องเซิร์ฟเวอร์ที่ใช้ในงานวิจัย การศึกษา หรือแม้กระทั่ง ISP รายใหญ่ในเอเซีย บริษัทให้บริการ Hosting และอื่นๆ โดยผู้เชี่ยวชาญยังไม่สรุปวิธีการเข้าถึงเครื่องเหยื่อแต่คาดว่าอาจเป็นเพราะเหยื่อส่วนใหญ่ไม่อัปแพตช์ป้องกัน OS หรือกล่าวคือยังใช้ OS เวอร์ชันเก่าๆ อย่างไรก็ดีความโดดเด่นของ Kobalos ที่ทำให้แตกต่างจากมัลแวร์ตัวอื่นมีดังนี้
- โค้ดขนาดเล็กมากเพียงแค่ 24 KB เท่านั้น แต่ภายในมีความซับซ้อนสูง โดยถูกเรียกเพียงครั้งเดียว จากนั้นจะทำ Recursive เพื่อรันการปฏิบัติการอีก 37 กิจกรรม หนึ่งในนั้งคือการแปลงเครื่องเหยื่อเป็นเซิร์ฟเวอร์ C&C
- มีการทำ Obfuscation ให้โค้ด
- มีการเข้ารหัสการสื่อสาร
- อายุการฝังตัวของมัลแวร์ไม่แน่ชัดแต่มี String บางส่วนเชื่อมโยงได้กับ Windows 3.11 และ Windows 95 และที่แน่ๆคืออยู่ก่อนการค้นพบมัลแวร์ที่โจมตี Supercomputer ตัวแรกๆ ในปี 2019
- แม้จะเล็งเครื่องที่มีทรัพยากรมากมาย แต่มัลแวร์ไม่มีการขุดเหมืองแต่อย่างใด
- ปัจจุบันยังไม่มีการฟังธงถึงเป้าหมายที่แน่ชัด เพราะผู้เชี่ยวชาญยังไม่พบ Payload ที่เจาะจง แต่ที่มั่นใจคือมีการแก้ไขเปลี่ยนแปลง OpenSSH Client
นอกจากนี้ผู้เชี่ยวชาญยังพบวิธีการเข้าเชื่อมต่อระหว่างคนร้ายกับมัลแวร์ว่าเป็นไปได้ 3 ทางคือ 1.) เปิด TCP Listening รอการเชื่อมต่อ 2.) คุยผ่านเครื่องเหยื่ออื่นที่เป็น C&C Server 3.) แฝงตัวกับ OpenSSH ที่เปิดอยู่แล้ว การศึกษาครั้งนี้ผู้เชี่ยวชาญยังไม่สามารถสรุปอะไรอีกหลายอย่าง ทั้งเรื่องอายุและวิธีการเข้าโจมตี อย่างไรก็ดีหากท่านใดสนใจเบื้องหลังเชิงเทคนิคสามารถเข้าไปอ่านได้ที่บล็อกของ ESET ที่ https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/
