เตือนคนขุดเหมืองเงินดิจิทัลเสี่ยงถูก Satori Botnet โจมตีโดยไม่รู้ตัว

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Satori Botnet สายพันธุ์ใหม่ ซึ่งพุ่งเป้าโจมตีผู้ใช้ซอฟต์แวร์ Claymore ในการขุดเหมืองเงินดิจิทัล หลังพบเหยื่อหลายรายถูกเปลี่ยนการตั้งค่าสำหรับใช้ขุดเหมืองเป็นของแฮ็กเกอร์แทน กลายเป็นว่าตนเองถูกหลอกให้ขุดเงินดิจิทัลฟรีๆ

Satori เป็น Botnet เวอร์ชันดัดแปลงของ Mirai IoT DDoS Botnet ชื่อดัง โดยปรากฏโฉมครั้งแรกเมื่อต้นเดือนธันวาคม 2017 ที่ผ่านมา ซึ่งต่างจาก Mirai ตรงที่ แทนที่จะใช้การ Brute Force เพื่อเข้าควบคุมอุปกรณ์ กลับใช้การ Exploit ช่องโหว่ของอุปกรณ์ IoT ที่ใช้เฟิร์มแวร์เวอร์ชันเก่าแทน ได้แก่ CVE-2014-8361 ซึ่งเป็นช่องโหว่บนอุปกรณ์ที่ใช้ Realtek SDK และ CVE-2017-17215 ช่องโหว่บน Router ของ Huawei อย่างไรก็ตาม แค่เพียง 2 ช่องโหว่นี้ ก็ช่วยให้ Satori สามารถเข้าควบคุมอุปกรณ์ได้มากถึง 500,000 – 700,000 เครื่อง

ถึงแม้ว่า C&C Server ของ Satori จะถูกปิดไปแล้วหลังจากที่ปฎิบัติการเริ่มต้นเพียงแค่ 2 สัปดาห์ แต่ล่าสุดทาง Netlab กลับพบ วันที่ 8 มกราคม Satori สายพันธุ์ใหม่เริ่มแพร่ระบาดอย่างช้าๆ และมีการเพิ่ม Exploit เข้าไปอีก 1 รายการ ที่น่าสนใจคือ แทนที่จะพุ่งเป้าโจมตีอุปกรณ์ IoT แบบเดิม Exploit ดังกล่าวกลับถูกใช้โจมตี Claymore ซึ่งเป็นซอฟต์แวร์สำหรับทำ Cryptocurrency Mining แทน

จากการตรวจสอบพบว่า Exploit ที่เพิ่มเข้ามานี้ใช้โจมตีช่องโหว่บนระบบบริหารจัดการของ Claymore ช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้แฮ็กเกอร์เปลี่ยนการตั้งค่าของ Claymore ไปให้ขุดเหรียญ Ethereum ให้ตนเองแทน

New pool: eth-us2.dwarfpool.com:8008 New wallet: 0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

จนถึงตอนนี้ ผ่านมา 10 วัน พบว่า Satori สามารถทำรายได้จากการแฮ็กซอฟต์แวร์ Claymore ของคนอื่นไปแล้วมากกว่า 1 ETH (ประมาณ 32,000 บาท) แนะนำให้ผู้ใช้ Claymore สำหรับขุดเหรียญรีบตรวจสอบการตั้งค่าของตนและทำการอัปเดตซอฟต์แวร์เวอร์ชันล่าสุดทันที

รายละเอียดเชิงเทคนิค: http://blog.netlab.360.com/art-of-steal-satori-variant-is-robbing-eth-bitcoin-by-replacing-wallet-address-en/

ที่มา: https://www.bleepingcomputer.com/news/security/satori-botnet-is-now-attacking-ethereum-mining-rigs/