សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ ក្រុមចារកម្ម Cyber របស់ចិនបញ្ចេញ Botnet រថភ្លើង Raptor...

ក្រុមចារកម្ម Cyber របស់ចិនបញ្ចេញ Botnet រថភ្លើង Raptor ដោយកំណត់គោលដៅយោធាអាមេរិក និងតៃវ៉ាន់

ដោយ Mura ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

នៅក្នុងការអភិវឌ្ឍន៍ដ៏គួរឱ្យភ្ញាក់ផ្អើលមួយ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញ ប្រតិបត្តិការ botnet ដ៏ធំ មួយដែលរៀបចំដោយក្រុមចារកម្មដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិន។ botnet នេះ មានឈ្មោះកូដ Raptor Train បានសម្រុះសម្រួលឧបករណ៍ការិយាល័យ/ផ្ទះតូចៗ (SOHO) និង Internet of Things (IoT) រាប់រយរាប់ពាន់គ្រឿង ដែលធ្វើឲ្យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗនៅសហរដ្ឋអាមេរិក និងតៃវ៉ាន់ស្ថិតក្នុងហានិភ័យ។ botnet ផ្តោតជាចម្បងលើវិស័យដូចជា យោធា រដ្ឋាភិបាល ការអប់រំខ្ពស់ ទូរគមនាគមន៍ និងមូលដ្ឋានឧស្សាហកម្មការពារជាតិ។

រថភ្លើង Raptor គឺជាការគំរាមកំហែងពហុជាន់

យោងតាមរបាយការណ៍របស់ Black Lotus Labs ដែលជាផ្នែកស្រាវជ្រាវនៃ Lumen Technologies នោះ botnet ត្រូវបានបង្កើតឡើងដោយក្រុម hacking របស់ចិនដែលគេស្គាល់ថា Flax Typhoon ។ ក្រុម Advanced Persistent Threat (APT) នេះមានភាពល្បីល្បាញចំពោះការជ្រៀតចូលអង្គការតៃវ៉ាន់ ខណៈពេលដែលរក្សាការបំបាំងកាយដោយប្រើមេរោគតិចតួច និងឧបករណ៍ផ្នែកទន់ស្របច្បាប់។ Black Lotus Labs ប៉ាន់ប្រមាណថា botnet បានឆ្លងឧបករណ៍ជាង 200,000 ចាប់តាំងពីការចាប់ផ្តើមរបស់ខ្លួនក្នុងខែឧសភា ឆ្នាំ 2020។ នៅកម្រិតកំពូលរបស់វា នៅពាក់កណ្តាលឆ្នាំ 2023 ឧបករណ៍ជាង 60,000 ត្រូវបានសម្របសម្រួលយ៉ាងសកម្ម។

ហេដ្ឋារចនាសម្ព័ន្ធ command-and-control (C2) នៅពីក្រោយ botnet គឺមានភាពស្មុគ្រស្មាញខ្ពស់។ ផ្នែកខាងក្រោយត្រូវបានដំណើរការដោយវេទិកា Node.js កណ្តាល ខណៈដែលឧបករណ៍ខាងមុខឆ្លងវេទិកាហៅថា Sparrow គ្រប់គ្រងឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ Sparrow ត្រូវបានរចនាឡើងដើម្បីប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ គ្រប់គ្រងភាពងាយរងគ្រោះ សម្រួលដល់ការផ្ទេរឯកសារ និងអាចចាប់ផ្តើមការវាយប្រហារដែលចែកចាយការបដិសេធនៃសេវាកម្ម (DDoS) ។ ទោះយ៉ាងណាក៏ដោយ មិនមានសកម្មភាព DDoS ត្រូវបានរាយការណ៍ពី botnet នៅឡើយទេ។

ការកេងប្រវ័ញ្ចឧបករណ៍ IoT សម្រាប់ចារកម្ម

Raptor Train botnet ចែកចេញជាបីថ្នាក់។ កម្រិតទី 1 មានឧបករណ៍ IoT ដែលត្រូវបានសម្របសម្រួលដូចជា រ៉ោតទ័រ ម៉ូដឹម កាមេរ៉ា IP និងប្រព័ន្ធផ្ទុកទិន្នន័យភ្ជាប់បណ្តាញ (NAS) ។ ឧបករណ៍ទាំងនេះត្រូវបានបង្វិលឥតឈប់ឈរ ដោយនៅមានសកម្មភាពជាមធ្យម 17 ថ្ងៃ មុនពេលត្រូវបានជំនួស។ កម្រិតទី 2 ទទួលខុសត្រូវចំពោះម៉ាស៊ីនមេកេងប្រវ័ញ្ច និងថ្នាំង C2 ខណៈដែលកម្រិតទី 3 គ្រប់គ្រងបណ្តាញតាមរយៈវេទិកា Sparrow

ឧបករណ៍ជាង 20 ប្រភេទផ្សេងៗគ្នា រួមទាំងម៉ូដឹមពី ActionTec, ASUS, និង DrayTek Vigor រួមជាមួយនឹងកាមេរ៉ា IP ពី D-Link, Hikvision និង Panasonic កំពុងត្រូវបានកេងប្រវ័ញ្ចដោយប្រើការលាយបញ្ចូលគ្នានៃសូន្យថ្ងៃ និងភាពងាយរងគ្រោះដែលគេស្គាល់។ មេរោគដែលផ្តល់ថាមពលដល់ថ្នាំងលំដាប់ទី 1 ដែលត្រូវបានគេហៅថា Nosedive គឺជាវ៉ារ្យ៉ង់នៃការផ្សាំ Mirai ដ៏ល្បីល្បាញ។ Nosedive ដំណើរការទាំងស្រុងនៅក្នុងអង្គចងចាំ ដែលធ្វើឱ្យវាពិបាកក្នុងការរកឃើញ និងឆ្លងឧបករណ៍ជាច្រើន រួមទាំងឧបករណ៍ដែលមានស្ថាបត្យកម្ម MIPS, ARM, SuperH និង PowerPC ។

កំណត់គោលដៅសំខាន់នៃហេដ្ឋារចនាសម្ព័ន្ធអាមេរិក និងតៃវ៉ាន់

botnet បាននិងកំពុងធ្វើការស្កែនយ៉ាងទូលំទូលាយ និងផ្តោតលើវិស័យយោធា និងរដ្ឋាភិបាលសំខាន់ៗរបស់សហរដ្ឋអាមេរិក ក៏ដូចជាអង្គការនៅក្នុងមូលដ្ឋានឧស្សាហកម្មការពារជាតិ (DIB)។ ក្រុមអ្នកស្រាវជ្រាវនៅ Black Lotus Labs បានសង្កេតឃើញសកម្មភាព botnet ក្នុងគោលបំណងទាញយកកម្មវិធីដែលងាយរងគ្រោះដូចជា Atlassian Confluence servers និង Ivanti Connect Secure appliances ដោយផ្តោតលើសហរដ្ឋអាមេរិក និងតៃវ៉ាន់។

នៅក្នុងឧទាហរណ៍មួយ ប្រតិបត្តិករ botnet បានកំណត់គោលដៅទីភ្នាក់ងាររដ្ឋាភិបាលមួយនៅក្នុងប្រទេសកាហ្សាក់ស្ថាន ដោយបង្ហាញពីការឈានទៅដល់ទូទាំងពិភពលោកនៃប្រតិបត្តិការរថភ្លើង Raptor ។ ការវាយប្រហារពឹងផ្អែកលើឧបករណ៍ផ្ទាល់ខ្លួន និងបច្ចេកទេសកម្រិតខ្ពស់ ដែលធ្វើឱ្យវាពិបាកក្នុងការកំណត់អត្តសញ្ញាណ និងបន្សាប botnet ។

ការអនុវត្តច្បាប់ និងការឆ្លើយតបឧស្សាហកម្ម

ដើម្បីឆ្លើយតបទៅនឹងការគំរាមកំហែងដែលបង្កឡើងដោយ Raptor Train botnet Black Lotus Labs មានចរាចរគ្មានផ្លូវពីថ្នាំង និងហេដ្ឋារចនាសម្ព័ន្ធដែលគេស្គាល់។ ភ្នាក់ងារអនុវត្តច្បាប់របស់សហរដ្ឋអាមេរិកកំពុងធ្វើការយ៉ាងសកម្មដើម្បីរុះរើ botnet ដែលនៅតែជាការគំរាមកំហែងដល់ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗទូទាំងពិភពលោក។

ខណៈពេលដែលការផ្តោតសំខាន់របស់ botnet គឺចារកម្ម សមត្ថភាពរបស់វាសម្រាប់ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ និងការគ្រប់គ្រងភាពងាយរងគ្រោះ បង្កឱ្យមានការព្រួយបារម្ភអំពីការវាយប្រហារ DDoS ដែលអាចកើតមាន ឬសកម្មភាពរំខានផ្សេងទៀត។ នៅពេលដែលសហគមន៍សន្តិសុខតាមអ៊ីនធឺណិតបន្តតាមដាន និងកាត់បន្ថយការគំរាមកំហែងនេះ អង្គការនានានៅទូទាំងសហរដ្ឋអាមេរិក និងតៃវ៉ាន់ត្រូវតែមានការប្រុងប្រយ័ត្នក្នុងការធានាឧបករណ៍ និងបណ្តាញ IoT របស់ពួកគេប្រឆាំងនឹងការកេងប្រវ័ញ្ចបន្ថែមទៀត។

ការរកឃើញនៃ Raptor Train botnet បម្រើជាការរំលឹកយ៉ាងច្បាស់លាស់អំពីភាពងាយរងគ្រោះនៃឧបករណ៍ IoT នៅក្នុងពិភពទំនាក់ទំនងគ្នានាពេលបច្ចុប្បន្ននេះ។ ជាមួយនឹងក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់ចិនដែលផ្តោតលើវិស័យសំខាន់ៗរបស់សហរដ្ឋអាមេរិក និងតៃវ៉ាន់ ការរក្សាបាននូវវិធានការសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំមិនមានសារៈសំខាន់ជាងនេះទេ។ អង្គការគួរតែធានាថាបណ្តាញ និងឧបករណ៍របស់ពួកគេត្រូវបានជួសជុល និងធ្វើបច្ចុប្បន្នភាពជាប្រចាំដើម្បីការពារប្រឆាំងនឹង botnet ដ៏ទំនើបនេះ។

គន្លឹះសំខាន់ៗ

  • ក្រុម APT Flax Typhoon បានសាងសង់បណ្តាញរថភ្លើង Raptor Train ដោយផ្តោតលើអង្គភាពយោធា និងរដ្ឋាភិបាលរបស់សហរដ្ឋអាមេរិក និងតៃវ៉ាន់។
  • ឧបករណ៍ IoT ជាង 200,000 ត្រូវបានឆ្លងមេរោគ ដោយផ្តោតលើរ៉ោតទ័រ ម៉ូដឹម កាមេរ៉ា IP និងប្រព័ន្ធ NAS ។
  • ហេដ្ឋារចនាសម្ព័ន្ធរបស់ botnet មានភាពរឹងមាំ ដោយប្រើឧបករណ៍កម្រិតខ្ពស់ដូចជា Sparrow platform សម្រាប់ការគ្រប់គ្រងពីចម្ងាយ និងការកេងប្រវ័ញ្ច។
  • ការអនុវត្តច្បាប់របស់សហរដ្ឋអាមេរិកកំពុងធ្វើការយ៉ាងសកម្មដើម្បីបន្សាបហេដ្ឋារចនាសម្ព័ន្ធរបស់ botnet ។

    • តាមរយៈការយល់ដឹងអំពីយុទ្ធសាស្ត្រ និងគោលដៅរបស់ក្រុមដូចជា Flax Typhoon យើងអាចការពារហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរបស់យើងបានប្រសើរជាងមុនពីការគំរាមកំហែងតាមអ៊ីនធឺណិតនាពេលអនាគត។

    កំពុង​ផ្ទុក...