CDIC 2023

Microsoft ผนึกกำลังพันธมิตรทลายเครือข่าย Botnet TrickBot แต่ไม่สำเร็จ

Microsoft ได้ร่วมกับพันธมิตรหลายฝ่ายเพื่อร่วมกันทำลายเครือข่ายของ Botnet รายใหญ่ที่มีเหยื่อแล้วมากกว่าล้านเครื่อง อย่างไรก็แม้ความพยายามครั้งแรกจะยังไม่สำเร็จ แต่ก็มีความก้าวหน้าในหลายด้าน

TrickBot Botnet

TrickBot ถือเป็น Botnet ที่ประสบความสำเร็จอย่างมากตัวหนึ่ง เพราะปัจจุบันมีเหยื่อในเครือข่ายมากกว่าล้านเครื่อง โดยเริ่มปฏิบัติการมาตั้งแต่ปี 2016 ในรูปแบบของ Banking Trojan ต่อมาได้พัฒนาเป็น Downloader ให้บริการธุรกิจแบบ Malware-as-a-service (MaaS) แก่กลุ่มคนร้ายอื่นเข้ามาใช้ได้ ที่นำไปสู่การปล่อยแรนซัมแวร์เช่น Ryuk และ Conti รวมไปถึงปฏิบัติการอันตรายอื่นๆ

ปฏิบัติการทำลายล้างของ Microsoft

ล่าสุดเมื่อไม่กี่วันก่อน Microsoft ได้จับมือกับพันธมิตรหลายฝ่ายอาทิเช่น Financial Service Information Sharing and Analysis Center (การรวมตัวของสถาบันการเงินเพื่อช่วยปกป้องโครงสร้างพื้นฐานการให้บริการทางการเงิน เนื่องจาก TrickBot ได้สร้างความเสียหายแก่ลูกค้าธนาคารต่างๆ) รวมไปถึงพันธมิตรทางด้านเทคนิคอย่าง ESET, NTT, Symantec และ Black Lotus Labs เพื่อพยายามสกัดกั้นและปิดเซิร์ฟเวอร์ควบคุมของ TrickBot โดยอันที่จริงแล้วทีมงานได้ร่วมมือกันเก็บข้อมูลการโจมตีมาระยะหนึ่งแล้ว

อีกประเด็นหนึ่งคือ Microsoft ได้ยื่นขออำนาจต่อศาลว่า TrickBot มีการละเมิดสิขลิทธิ์ของ Windows SDK ของตน เพื่อไปก่อให้เกิดความเสียหายแก่บุคคลอื่น และศาลก็ได้เห็นชอบข้อเรียกร้องนี้แล้ว

ความพยายามล้มเหลว

ในปฏิบัติการนี้ผู้เชี่ยวชาญทราบถึงโอกาสสำเร็จดีว่าไม่มากนัก เพราะหลังจากความพยายามของฝ่ายป้องกัน ทางคนร้ายได้ย้ายเซิร์ฟเวอร์ไปยัง DNS ในระบบ Decentralize และกลับมาได้ในวันถัดมา แต่เชื่อว่าคนร้ายก็ต้องเหนื่อยอยู่บ้าง อย่างไรก็ดีมีผลลัพธ์ที่เป็นไปในทางบวกแม้ความพยายามจะไม่สำเร็จดังนี้

  • Microsoft และพันธมิตรได้ส่งสารไปยังลูกค้า MaaS แล้วว่าเครือข่ายที่เชื่อว่าเหนือเมฆนี้ สามารถถูกรบกวนได้ และปัจจุบันถูกจับตาแล้ว ซึ่งปฏิบัติการต่างๆ ที่ผ่านช่องทางนี้ย่อมมีความเสี่ยง หรือพูดง่ายๆ ว่าพยายามทำให้เครือข่าย TrickBot เสียชื่อในวงวารของการให้บริการ
  • ช่วยให้เหยื่อมีช่วงเวลาที่หลุดจากการโจมตีบ้างและชะลอการปฏิบัติการร้ายๆ ที่กำลังดำเนินอยู่
  • จากหลักฐานที่ยื่นขออำนาจศาล ทำให้ทีมทางกฏหมายของ Microsoft และการตอบโต้กลับ สามารถค้นหาเพื่อแจ้งเตือนหรือเข้าไปช่วยเหลือเหยื่อได้มากขึ้น หรือการมีอำนาจกฏหมายอยู่ในมือแล้วนั่นเอง

ที่มา : https://www.zdnet.com/article/trickbot-botnet-survives-takedown-attempt-but-microsoft-sets-new-legal-precedent/ และ https://www.zdnet.com/article/microsoft-and-other-tech-companies-orchestrate-takedown-of-trickbot-botnet/ และ https://redmondmag.com/articles/2020/10/13/microsoft-patents-trickbot-network.aspx


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

AWS ประกาศเปิดให้ใช้งาน Amazon Bedrock บริการ Generative AI แบบ GA แล้ว

Amazon Web Services (AWS) ได้เปิดให้ใช้งาน Amazon Bedrock บริการ Generative AI แบบ General Availability (GA) แล้ว …