ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก NetLab, Qihoo 360 ออกมาแจ้งเตือนถึง IoT Botnet ตัวใหม่ที่พุ่งเป้าโจมตีอุปกรณ์ Router ตามบ้าน แล้วเปลี่ยนเป็นกองทัพ Botnet สำหรับเชื่อมต่อกับ Webmail Services เพื่อใช้ยิงอีเมลสแปม จนถึงตอนนี้มี Router ที่ตกเป็นเหยื่อแล้วกว่า 100,000 เครื่องภายในระยะเวลาเพียง 2 เดือน
ทีมนักวิจัยระบุว่า IoT Botnet นี้แพร่กระจายตัวผ่านทางการโจมตีช่องโหว่ที่มีอายุนานกว่า 5 ปี ซึ่งเป็นช่องโหว่ที่นักวิจัยด้านความมั่นคงปลอดภัยจาก DefenseCode ค้นพบเมื่อปี 2013 บน Broadcom UPnP SDK ชิ้นส่วนซอฟต์แวร์ที่ถูกฝังอยู่บน Router หลายพันรุ่นในหลากหลายยี่ห้อ ช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดจากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้ ถือเป็นหนึ่งในช่องโหว่ที่อันตรายที่สุดในยุค IoT
Netlab ตั้งชื่อช่องโหว่ IoT Botnet นี้ว่า BCMUPnP_Hunter ตามพฤติกรรมของมันที่เน้นค้นหา Router ที่เปิดใช้งาน UPnP Interface (พอร์ต 5431) จนถึงตอนนี้ ผ่านมาแล้ว 2 เดือนที่ทีมนักวิจัยเริ่มต้นติดตาม BCMUPnP_Hunter พบว่ามันได้ทำการสแกนอุปกรณ์ไปแล้วมากกว่า 3,370,000 IPs และมีอุปกรณ์ที่ติดมัลแวร์ออนไลน์ในแต่ละวันประมาณ 100,000 เครื่องกระจายอยู่ทั่วโลก โดยเฉพาะประเทศอินเดีย จีน และสหรัฐฯ
ที่น่าสนใจคือ Botnet ใหม่ๆ ในปัจจุบันมักใช้โค้ดที่แฮ็กเกอร์ทำหลุดหรือเผยแพร่บนโลกออนไลน์มาต่อยอด แต่ BCMUPnP_Hunter กลับเป็นมัลแวร์ชนิดใหม่ที่แฮ็กเกอร์ผู้เป็นเจ้าของเขียนโค้ดขึ้นมาเอง แถมยังมีกลไกในการแพร่กระจายตัวที่ซับซ้อน แสดงให้เห็นว่าเป็นแฮ็กเกอร์ที่มีฝีมือ ไม่ใช่มือสมัครเล่นแต่อย่างใด
หลังจากที่ BCMUPnP_Hunter แพร่กระจายตัวไปยัง Router ได้สำเร็จ มันจะใช้ Router ดังกล่าวเป็นฐานที่มั่นในการค้นหา Router อื่นๆ ที่มีช่องโหว่แล้วแพร่กระจายตัวต่อไป รวมไปถึงใช้เป็น Proxy ตัวกลางในการติดต่อกับ Webmail Services อย่าง Yahoo, Outlook และ Hotmail เนื่องจากการเชื่อมต่อทั้งหมดกระทำผ่านทาง TCP พอร์ต 25 (SMTP) จึงมั่นใจว่า Router เหล่านั้นถูกใช้เพื่อส่งสแปมอีเมลแน่นอน
ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่: http://blog.netlab.360.com/bcmpupnp_hunter-a-100k-botnet-turns-home-routers-to-email-spammers-en/
———————————————————-
ที่มา : TECHTALK Thai / November 9, 2018
Link : https://www.techtalkthai.com/new-iot-botnet-infects-100000-routers-to-send-spam-emails/
