ข้อมูลทั่วไป
เมื่อวันที่ 8 เมษายน 2563 บริษัท Bitdefender ได้แจ้งเตือนการโจมตีอุปกรณ์ IoT (Internet of Things) เพื่อฝังมัลแวร์ชื่อ dark_nexus ซึ่งเป็นมัลแวร์ประเภทบอทเน็ต (botnet) ที่เปิดช่องทางให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุมและสั่งการอุปกรณ์ที่ตกเป็นเหยื่อเพื่อใช้ในการโจมตีทางไซเบอร์ได้ เช่น สั่งการให้อุปกรณ์จำนวนมากเชื่อมต่อไปยังคอมพิวเตอร์ปลายทางในเวลาเดียวกัน จุดประสงค์เพื่อทำให้ระบบดังกล่าวไม่สามารถให้บริการได้ (เป็นรูปแบบการโจมตีประเภท DDoS หรือ Distributed Denial of Service) ทั้งนี้ ทาง Bitdefender พบว่าจุดประสงค์ของการแพร่กระจายมัลแวร์ในครั้งนี้คือเพื่อรับจ้างโจมตีแบบ DDoS (DDoS-for-hire service)
จากการวิเคราะห์ของทีม Bitdefender พบว่ามัลแวร์ dark_nexus น่าจะถูกพัฒนาต่อยอดมาจากมัลแวร์ Qbot และ Mirai ซึ่งเป็นมัลแวร์ที่เคยถูกใช้เพื่อโจมตีอุปกรณ์ IoT มาแล้วก่อนหน้านี้ เนื่องจากพบโค้ดและโมดูลหลายส่วนที่ใกล้เคียงกับมัลแวร์ก่อนหน้า ช่องทางการโจมตี มีทั้งอาศัยช่องโหว่ของตัวอุปกรณ์และอาศัยการเดารหัสผ่านสำหรับเข้าถึงการตั้งค่า จากข้อมูลของ Bitdefender พบว่าผู้ประสงค์ร้ายได้ใช้มัลแวร์นี้โจมตีอุปกรณ์ IoT ไปแล้วทั่วโลก โดยในประเทศไทยมีอุปกรณ์ที่ได้ตกเป็นเหยื่อแล้วอย่างน้อย 172 เครื่อง [1]
ผลกระทบ
อุปกรณ์ IoT ที่มีช่องโหว่ด้านความมั่นคงปลอดภัย หรือมีการตั้งค่ารหัสผ่านที่คาดเดาได้ง่าย อาจถูกเจาะระบบเพื่อติดตั้งมัลแวร์สำหรับใช้เป็นฐานการโจมตีทางไซเบอร์ หรืออาจถูกแก้ไขการตั้งค่าของอุปกรณ์โดยไม่ได้รับอนุญาต ซึ่งอาจก่อให้เกิดความเสี่ยงอื่นตามมาได้ เช่น ข้อมูลรั่วไหล
ระบบที่ได้รับผลกระทบ
จากรายงานยังไม่พบข้อมูลที่สามารถระบุได้ชัดถึงประเภท ยี่ห้อ หรือรุ่นของอุปกรณ์ IoT ที่ได้รับผลกระทบ แต่เนื่องจากตัวมัลแวร์ dark_nexus ถูกออกแบบมาให้สามารถทำงานได้บน CPU ทั้งหมด 12 สถาปัตยกรรม (Architecture) ทำให้ขอบเขตของอุปกรณ์ IoT ที่ได้รับผลกระทบนั้นค่อนข้างกว้าง จากข้อมูลของ Bitdefender พบว่าอุปกรณ์ IoT เช่น เราเตอร์ (ส่วนใหญ่เป็นยี่ห้อ Dasan Zhone, Dlink, และ ASUS) รวมถึงกล้องวิดีโอ และกล้องจับอุณหภูมิ มีความเสี่ยงที่จะถูกโจมตี
ข้อแนะนำในการป้องกันและแก้ไข
ในรายงานของ Bitdefender มีข้อมูล IoC (Indicator of Compromise) ที่สามารถใช้เพื่อตรวจสอบได้ว่าอุปกรณ์ IoT ถูกโจมตีแล้วหรือไม่ โดยข้อมูล IoC ประกอบด้วยไอพีของเครื่องเซิร์ฟเวอร์ที่เกี่ยวข้องกับมัลแวร์ และค่าแฮชของไฟล์มัลแวร์ ซึ่งหากตรวจสอบ log แล้วพบว่ามีอุปกรณ์ในเครือข่ายที่เชื่อมต่อไปยังไอพีต้องสงสัยหรือพบไฟล์ต้องสงสัยปรากฏในระบบก็อาจเป็นไปได้ว่าอุปกรณ์ดังกล่าวอาจติดมัลแวร์ อย่างไรก็ตาม การตรวจสอบข้อมูลอาจมีความซับซ้อนและในบางอุปกรณ์อาจมีข้อจำกัดทางเทคนิคในการเข้าถึงระบบไฟล์ ซึ่งอาจทำให้การยืนยันความเสียหายนั้นทำได้ยาก
แนวทางการป้องกัน อ้างอิงจากช่องทางการโจมตีเพื่อแพร่กระจายมัลแวร์ ผู้ใช้ควรอัปเดตแพตช์ของอุปกรณ์ IoT อย่างสม่ำเสมอหากสามารถทำได้ เพื่อลดความเสี่ยงที่จะถูกโจมตี รวมถึงควรตั้งค่ารหัสผ่านสำหรับการตั้งค่าอุปกรณ์ IoT ให้คาดเดาได้ยาก ไม่ใช้รหัสผ่านเริ่มต้นที่มาพร้อมกับตัวอุปกรณ์ และไม่ควรเปิดให้สามารถเข้าถึงช่องทางการตั้งค่าอุปกรณ์ IoT ได้จากอินเทอร์เน็ต
——————————————————————
ที่มา : ThaiCERT / 9 เมษายน 2563
Link : https://www.thaicert.or.th/alerts/user/2020/al2020us002.html
