Larry Cashdollar นักวิจัยด้านความมั่นคงปลอดภัยจาก Akamai ได้รายงานพบมัลแวร์ประเภททำลายล้างตัวใหม่ โดยให้ชื่อว่า ‘Silex’ ที่ได้เข้าไปลบพื้นที่บนอุปกรณ์ IoT หรือปฏิบัติการอื่นที่ทำให้อุปกรณ์ไม่สามารถใช้การได้ โดยหลังจากมัลแวร์ปฏิบัติการได้เพียงไม่กี่ชั่วโมงมีอุปกรณ์ถูกโจมตีแล้วกว่า 2,000 ชิ้น
Silex ได้อาศัยใช้ Default Credentials เพื่อล็อกอินเข้าไปทำลายล้างอุปกรณ์ โดยฟีเจอร์ที่พบมีดังนี้
- เขียนค่าสุ่มจาก /dev/random ไปยังพื้นที่ Mount Storage ที่ค้นพบ
- ลบการตั้งค่าของเครือข่าย เช่น rm -rf /
- Flush ค่าใน iptable และเพิ่ม Rule เพื่อตัดทุกการเชื่อมต่อทิ้งจากนั้นก็ทำให้อุปกรณ์หยุดทำงาน
นักวิจัยกล่าวว่า “มัลแวร์จ้องเล่นงานระบบที่คล้าย Unix โดยใช้ Default Credentials” นอกจากนี้ยังเสริมว่า “IP Address ที่เข้ามาโจมตี Honeypot นั้นมาจาก VPS ที่ตั้งในอิหร่านจาก novinvps.com” ทั้งนี้ปัจจุบัน IP ดังกล่าวถูกเพิ่มเข้าไปในบัญชีดำแล้ว นอกจากนี้สำหรับเหยื่อที่ถูกโจมตีจำเป็นต้องเข้าไปลง Firmware ใหม่เองซึ่งยุ่งยากหากไม่มีความรู้พื้นฐาน
อย่างไรก็ตาม Zdnet กล่าวว่าได้ติดต่อแฮ็กเกอร์ได้ผ่านทางนักวิจัยจาก NewSky ที่ชื่อ Ankit Anubhav ซึ่งอ้างว่าแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์โจมตีครั้งนี้มีอายุเพียงแค่ 14 ปีและใช้ชื่อนามสมมติว่า ‘Light Leafon’ โดยให้แฮ็กเกอร์ยืนยันตัวจากการส่งข้อความบางอย่างบนเซิร์ฟเวอร์ควบคุมมัลแวร์ นอกจากนี้แฮ็กเกอร์คุยว่าตนจะอัปเกรดให้มัลแวร์เก่งขึ้นด้วยการใช้ช่องโหว่หรือเพิ่มให้โจมตีทาง SSH ได้ ทั้งนี้ยังได้บอกว่าจะพัฒนา Silex ตามรอย BrickerBot ซึ่งเคยแสดงฝีมือทำลายล้างอุปกรณ์ IoT ทั่วโลกจำนวนหลายล้านชิ้นมาแล้วเมื่อปี 2017 ดังนั้นเบื้องต้นเลยสำหรับเจ้าของหรือผู้ติดตั้งโซลูชัน IoT กรุณาเปลี่ยนรหัสผ่านและอัปเดตแพตช์กันด้วยนะครับ
————————————————————-
ที่มา : TechTalk Thai / June 26, 2019
Link : https://www.techtalkthai.com/found-new-destructive-iot-malware-silex/
