Ransomware รูปแบบใหม่ พุ่งเป้าระบบควบคุมอุณหภูมิอัจฉริยะ

จ่ายค่าไถ่ซะ ถ้าไม่อยากร้อน !!

Ken Munro และ Andrew Tierney นักวิจัยจาก Pen Test Partners บริษัทให้คำปรึกษาด้านความมั่นคงปลอดภัยชื่อดังจากสหราชอาณาจักร ได้สาธิต Ransomware รูปแบบใหม่โดยมีเป้าหมายที่ระบบควบคุมอุณหภูมิอัจฉริยะ ซึ่งช่วยให้แฮ็คเกอร์สามารถล็อกอุณหภูมิได้ตามความต้องการ เหยื่อจำเป็นต้องจ่ายค่าไถ่ถ้าไม่อยากให้บ้านของตนร้อน

นักวิจัยทั้ง 2 คนได้ทำการ POC Ransomware รูปแบบใหม่ภายในงานประชุม DEF CON เมื่อวันเสาร์ที่ผ่านมา โดยพุ่งเป้าไปยังอุปกรณ์ IoT ที่ใช้ภายในบ้าน นั่นคือ ระบบควบคุมอุณหภูมิอัจฉริยะ ซึ่งเมื่อ Ransomware ถูกติดตั้งลงไปแล้ว นักวิจัยจะสามารถปรับอุณหภูมิได้ตามความต้องการ เช่น 40 องศาเซลเซียส พร้อมแสดงข้อความเรียกค่าไถ่ $300 ในรูปของ Bitcoin เพื่อให้ผู้ใช้สามารถกลับมาควบคุมระบบปรับอุณหภูมิได้ตามเดิม

Munro และ Tierney เลือกเป้าหมายเป็นระบบควบคุมอุณหภูมิจากสหรัฐฯ ที่มีหน้าจอ LDC ขนาดใหญ่ และใช้ระบบปฏิบัติการ Linux นอกจากนี้ยังมีช่องใส่ SD Card เพื่อให้ผู้ใช้สามารถโหลดการตั้งค่าและวอลล์เปเปอร์เข้าไปได้ โดยทั้ง 2 คนให้เหตุผลว่า เงื่อนไขเหล่านี้ “ช่วยให้ง่ายต่อการแฮ็ค”

ทั้งสองคนพบว่าระบบควบคุมอุณหภูมิไม่มีการตรวจสอบไฟล์ที่ถูกส่งเข้าไปรัน ส่งผลให้พวกเขาสามารถโหลด Ransomware เขัาไปในระบบซึ่งพร้อมรันด้วยสิทธิ์ระดับ Root ทันที มัลแวร์จะทำการล็อคหน้าจอและปรับอุณหูมิให้สูงเกือบ 40 องศา พร้อมแสดงข้อความเรียกค่าไถ่ เหยื่อจำเป็นต้องจ่ายเงิน 1 Bitcoin เพื่อรับรหัส PIN สำหรับปลดล็อค ที่แย่กว่านั้นคือ รหัส PIN จะเปลี่ยนแปลงทุกๆ 30 วินาที เพื่อป้องกันการเดาสุ่ม

Munro และ Tierney ปฏิเสธที่จะเปิดเผยรายละเอียดของช่องโหว่บนระบบควบคุมอุณหภูมินี้ พร้อมจะแจ้งไปยังผู้ผลิตเพื่อให้แก้ไขปัญหาดังกล่าว

ที่มาและเครดิตรูปภาพ: http://thehackernews.com/2016/08/hacking-thermostat.html