Breaking News

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS ด้วย เช่น Linksys, Microtik, Netgear, TP-Link, QNAP และอื่นๆ เป็นต้น

credit : Bleepingcomputer.com

มัลแวร์มีความสามารถปฏิบัติการอย่างซับซ้อน

ทาง Cisco ได้แบ่งระดับขั้นการทำงานเป็น 3 ช่วงคือ

1.ติดอุปกรณ์ตามปกติ แต่สามารถรอดจากการบูตอุปกรณ์ได้ โดยทางรายงานของ Symantec กล่าวว่าสถานะนี้ยังสามารถจัดการกับมัลแวร์ได้ด้วย Hard Reset หรือ Factory Reset นั่นเอง

2.โมดูลของมัลแวร์ไม่สามารถรอดจากการรีบูตโดยมันจะไปดาวน์โหลดโมดูลมาใหม่เมื่อมีการรีบูต โมดูลนี้มีหน้าที่หลักเพื่อการรองรับ Plugin ในขั้นตอนต่อไป

3.Plugin ที่ติดตั้งเพิ่มมีความสามารถคือ การดักจับแพ็กเกจของเครือข่ายและขัดขวางทราฟฟิค ติดตามโปรโตคอล Modbus ของระบบ SCADA และ สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่านเครือข่าย TOR

นอกจากนี้ในช่วงที่ 2 ถือเป็นภัยที่อันตรายที่สุดเพราะทาง Cisco ได้ระบุว่ามันมีฟังก์ชันทำลายส่วนของ Firmware ที่อยู่ในอุปกรณ์โดยการเขียนทับส่วนของ โค้ด Firmware ที่ต้องใช้เพื่อเริ่มทำงานด้วยข้อมูลที่ยุ่งเหยิง หลังจากนั้นจะรีบูตและอุปกรณ์จะไม่สามารถใช้ได้ “การกระทำจากมัลแวร์ไม่สามารถแก้ไขได้โดยผู้ใช้งานทั่วไปส่วนใหญ่เพราะมันต้องอาศัยความรู้ทางเทคนิคและเครื่องมือที่ผู้ใช้ธรรมดาไม่น่าจะมี“–นักวิจัยจาก Cisco กล่าว โดยผู้โจมตีสามารถใช้มัลแวร์นี้ได้หลายทางดังนี้

  • สอดแนมเครือข่ายหรือขัดขวางดักจับข้อมูลที่ละเอียดอ่อน เช่น Credential ต่างๆ
  • ใช้เครือข่าย Botnet จากอุปกรณ์ที่แฮ็กได้บังหน้าต้นตอการโจมตีอันตรายอื่นๆ
  • ทำลายเราเตอร์จำนวนมากโดยเฉพาะในยูเครนให้ใช้การไม่ได้
  • สอดแนมเครือข่ายที่มุ่งไปยังอุปกรณ์ SCADA และสร้างมัลแวร์พิเศษเพื่อโจมตีโครงสร้างพื้นฐานทางอุตสาหกรรม (ICS)

มีอุปกรณ์ตกเป็นเหยื่อแล้วกว่า 5 แสนอุปกรณ์ ไม่เว้นแม้แต่อุปกรณ์ NAS

จากการสังเกตการณ์ของ Symantec พบเหยื่อดังนี้ Linksys E1200, Linksys E2500, Linksys WRVS4400N, Microtik RouterOS for Cloud Router: Version 1016, 1036, และ 1072, Netgear DGN2200, Netgear R6400, Netgear R700, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, QNAP อื่นๆ ที่รันซอฟต์แวร์ QTS และ TP-Link R600 VPN

มีอุปกรณ์ตกเป็นเหยื่อกว่า 54 ประเทศเพราะมีสัญญานมาตั้งแต่ปี 2016 แล้วแต่ไม่กี่อาทิตย์ที่ผ่านมา Cisco พบปริมาณเพิ่มมากอย่างผิดสังเกตในยูเครน รวมถึงมีเซิร์ฟเวอร์เข้ามาจัดการเครือข่าย Bot เหล่านี้ด้วย หลายฝ่ายต่างคาดการณ์กันไปที่รัสเซียเพราะไปพบโค้ดที่คล้ายกับมัลแวร์ BlackEnergy ที่เคยโจมตีตัดไฟฟ้าในยูเครนเมื่อช่วงปี 2015-2016 ซึ่งตอนนั้นกระทรวงความมั่นคงสหรัฐชี้ไปที่รัสเซียว่าเป็นผู้ก่อเหตุ อย่างไรก็ตามถ้าพูดถึงเหตุการณ์สำคัญในยูเครนที่อาจจะตกเป็นเป้าได้ก็มีการจัดแข่งขันฟุตบอล UEFA Champions League รอบสุดท้ายที่จะเกิดที่ Kiev วันเสาร์ที่ 26 พฤษภาคม นี้

ในส่วนของการบรรเทาปัญหาทาง Sophos แนะนำว่า

  • ติดต่อ ISP เพื่ออัปเดต Firmware ของเราเตอร์ที่ใช้งานอยู่
  • ปิดการเชื่อมต่อช่วยเหลือจากระยะไกลผ่านอินเทอร์เน็ตเข้ามา เปิดเฉพาะตอนจำเป็นต้องจริงๆ เท่านั้น
  • อย่าใช้ชื่อบัญชีและรหัสผ่านดั้งเดิมที่ติดมาตั้งแต่แรกใหเเปลี่ยนเป็นชื่อและรหัสผ่านใหม่ที่แข็งแรง
  • ใช้งานเว็บที่เป็น HTTPS เพราะมันเป็นถูกเข้ารหัสแบบ end-to-end ดังนั้นเมื่อถูกดักจับข้อมูลไปก็อ่านเนื้อหาไม่ได้ง่ายๆ

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จักกับ Toad: เครื่องมือบริหารจัดการและเชื่อมต่อ Database ระดับองค์กร สำหรับ DBA และ Developer โดยเฉพาะ

หากใครเคยต้องดูแลระบบ Database ภายในธุรกิจขนาดใหญ่กันมา ก็คงคุ้นเคยกับเสียงกบร้องและชื่อของ Toad เป็นอย่างดีในฐานะของเครื่องมือที่ใช้ในการบริหารจัดการ Database ที่ช่วยลดความซับซ้อนในการทำงานลงไปได้เป็นอย่างมาก ซึ่งอันที่จริงแล้ว Toad นั้นยังทำอะไรได้อีกมากมาย ด้วย Edition ที่หลากหลายสำหรับโจทย์การทำงานของ DBA และ Developer ในทุกวันนี้ที่นับวันจะยิ่งต้องจัดการกับระบบ Database กันมากขึ้นจากการเติบโตของระบบ Application ท่ามกลางยุคสมัยแห่ง Digital Transformation

สรุปงานสัมมนา Cybersecurity Officer Far From Jail รับมือกฎหมายใหม่ด้วยโซลูชันที่เหมาะสม โดย NetONE และ Exclusive Networks

เมื่อช่วงต้นเดือนตุลาคม 2019 ที่ผ่านมา ทีมงาน TechTalkThai มีโอกาสได้ไปร่วมงานสัมมนา Cybersecurity Officer Far From Jail ที่จัดขึ้นโดยทีมงาน NetONE Network Solution และ Exclusive Networks เพื่ออัปเดตทั้งประเด็นสำคัญทางด้านกฎหมาย Cybersecurity พร้อมเทคโนโลยีและโซลูชันใหม่ๆ ที่จะมาเป็นเครื่องมือช่วยให้ฝ่าย Cybersecurity และผู้ดูแลระบบ IT ในธุรกิจองค์กรสามารถตอบรับต่อความต้องการใหม่ๆ ทางด้านกฎหมายได้ดีขึ้น จึงขอนำสรุปเนื้อหางานสัมมนาเอาไว้ดังนี้ครับ