TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft ได้ร่วมกับพันธมิตรหลายฝ่ายเพื่อร่วมกันทำลายเครือข่ายของ Botnet รายใหญ่ที่มีเหยื่อแล้วมากกว่าล้านเครื่อง อย่างไรก็แม้ความพยายามครั้งแรกจะยังไม่สำเร็จ แต่ก็มีความก้าวหน้าในหลายด้าน
TrickBot Botnet
TrickBot ถือเป็น Botnet ที่ประสบความสำเร็จอย่างมากตัวหนึ่ง เพราะปัจจุบันมีเหยื่อในเครือข่ายมากกว่าล้านเครื่อง โดยเริ่มปฏิบัติการมาตั้งแต่ปี 2016 ในรูปแบบของ Banking Trojan ต่อมาได้พัฒนาเป็น Downloader ให้บริการธุรกิจแบบ Malware-as-a-service (MaaS) แก่กลุ่มคนร้ายอื่นเข้ามาใช้ได้ ที่นำไปสู่การปล่อยแรนซัมแวร์เช่น Ryuk และ Conti รวมไปถึงปฏิบัติการอันตรายอื่นๆ
ปฏิบัติการทำลายล้างของ Microsoft
ล่าสุดเมื่อไม่กี่วันก่อน Microsoft ได้จับมือกับพันธมิตรหลายฝ่ายอาทิเช่น Financial Service Information Sharing and Analysis Center (การรวมตัวของสถาบันการเงินเพื่อช่วยปกป้องโครงสร้างพื้นฐานการให้บริการทางการเงิน เนื่องจาก TrickBot ได้สร้างความเสียหายแก่ลูกค้าธนาคารต่างๆ) รวมไปถึงพันธมิตรทางด้านเทคนิคอย่าง ESET, NTT, Symantec และ Black Lotus Labs เพื่อพยายามสกัดกั้นและปิดเซิร์ฟเวอร์ควบคุมของ TrickBot โดยอันที่จริงแล้วทีมงานได้ร่วมมือกันเก็บข้อมูลการโจมตีมาระยะหนึ่งแล้ว
อีกประเด็นหนึ่งคือ Microsoft ได้ยื่นขออำนาจต่อศาลว่า TrickBot มีการละเมิดสิขลิทธิ์ของ Windows SDK ของตน เพื่อไปก่อให้เกิดความเสียหายแก่บุคคลอื่น และศาลก็ได้เห็นชอบข้อเรียกร้องนี้แล้ว
ความพยายามล้มเหลว
ในปฏิบัติการนี้ผู้เชี่ยวชาญทราบถึงโอกาสสำเร็จดีว่าไม่มากนัก เพราะหลังจากความพยายามของฝ่ายป้องกัน ทางคนร้ายได้ย้ายเซิร์ฟเวอร์ไปยัง DNS ในระบบ Decentralize และกลับมาได้ในวันถัดมา แต่เชื่อว่าคนร้ายก็ต้องเหนื่อยอยู่บ้าง อย่างไรก็ดีมีผลลัพธ์ที่เป็นไปในทางบวกแม้ความพยายามจะไม่สำเร็จดังนี้
- Microsoft และพันธมิตรได้ส่งสารไปยังลูกค้า MaaS แล้วว่าเครือข่ายที่เชื่อว่าเหนือเมฆนี้ สามารถถูกรบกวนได้ และปัจจุบันถูกจับตาแล้ว ซึ่งปฏิบัติการต่างๆ ที่ผ่านช่องทางนี้ย่อมมีความเสี่ยง หรือพูดง่ายๆ ว่าพยายามทำให้เครือข่าย TrickBot เสียชื่อในวงวารของการให้บริการ
- ช่วยให้เหยื่อมีช่วงเวลาที่หลุดจากการโจมตีบ้างและชะลอการปฏิบัติการร้ายๆ ที่กำลังดำเนินอยู่
- จากหลักฐานที่ยื่นขออำนาจศาล ทำให้ทีมทางกฏหมายของ Microsoft และการตอบโต้กลับ สามารถค้นหาเพื่อแจ้งเตือนหรือเข้าไปช่วยเหลือเหยื่อได้มากขึ้น หรือการมีอำนาจกฏหมายอยู่ในมือแล้วนั่นเอง
ที่มา : https://www.zdnet.com/article/trickbot-botnet-survives-takedown-attempt-but-microsoft-sets-new-legal-precedent/ และ https://www.zdnet.com/article/microsoft-and-other-tech-companies-orchestrate-takedown-of-trickbot-botnet/ และ https://redmondmag.com/articles/2020/10/13/microsoft-patents-trickbot-network.aspx
One comment
Pingback: Microsoft ผนึกกำลังพันธมิตรทลายเครือข่าย Botnet TrickBot แต่ไม่สำเร็จ | | อัพเดทเครื่องใช้ไฟฟ้าและอุปกรณ์ไ