ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ การแยกตัวของ Mirai Botnet ก่อให้เกิดการโจมตี DDoS ทั่วโลก

การแยกตัวของ Mirai Botnet ก่อให้เกิดการโจมตี DDoS ทั่วโลก

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

บอต เน็ต Mirai สองกลุ่มได้เปิดตัวแคมเปญ Distributed Denial-of-Service (DDoS) เชิงรุกทั่วโลก โดยกำหนดเป้าหมายที่จุดอ่อนในอุปกรณ์ Internet of Things (IoT) และใช้ประโยชน์จากข้อมูลประจำตัวที่อ่อนแอ แคมเปญดังกล่าวเน้นย้ำถึงภัยคุกคามที่คงอยู่จากมัลแวร์ที่ใช้ Mirai ซึ่งยังคงเป็นอาวุธไซเบอร์ที่ทรงพลังมาเกือบทศวรรษหลังจากเปิดตัวครั้งแรกอย่างฉาวโฉ่

วิวัฒนาการของ Mirai: ภัยคุกคามต่อความปลอดภัยของ IoT อย่างต่อเนื่อง

บอตเน็ต Mirai เป็นสัญลักษณ์ของช่องโหว่ที่แฝงอยู่ในอุปกรณ์ IoT มานานแล้ว นับตั้งแต่มีการรั่วไหลโค้ดต้นฉบับในปี 2016 Mirai ก็ได้เป็นแรงบันดาลใจให้เกิดมัลแวร์สายพันธุ์ใหม่มากมาย โดยแต่ละตัวก็สร้างขึ้นจากความสามารถอันน่าสะพรึงกลัวของมัลแวร์ดั้งเดิม เมื่อไม่นานมานี้ มีแคมเปญที่แตกต่างกันสองแคมเปญเกิดขึ้น โดยใช้มัลแวร์ที่มาจาก Mirai เพื่อโจมตีอุปกรณ์ IoT และเริ่มการโจมตี DDoS ทั่วโลก

แคมเปญ 1: บอตเน็ต Murdoc

หนึ่งในแคมเปญที่ใช้งานอยู่ซึ่งเรียกว่า Murdoc Botnet กำลังส่งมัลแวร์ Mirai เพื่อโจมตีจุดอ่อนเฉพาะในอุปกรณ์ IoT เช่น กล้อง Avtech และเราเตอร์ Huawei HG532 ตามที่นักวิจัยของ Qualys ระบุ บอตเน็ตนี้ใช้ประโยชน์จากช่องโหว่ที่ทราบแล้ว ได้แก่:

  • CVE-2024-7029 : ช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ในกล้อง Avtech ช่วยให้ผู้โจมตีสามารถแทรกคำสั่งจากระยะไกลได้
  • CVE-2017-17215 : ข้อบกพร่องการดำเนินการรหัสระยะไกล (RCE) ในเราเตอร์ Huawei

บอตเน็ต Murdoc เริ่มดำเนินการในเดือนกรกฎาคม 2024 และได้โจมตี IP มากกว่า 1,300 รายการ โดยส่วนใหญ่อยู่ในมาเลเซีย ไทย เม็กซิโก และอินโดนีเซีย นักวิจัยค้นพบชุดเซิร์ฟเวอร์ที่แตกต่างกันมากกว่า 100 ชุดที่เชื่อมโยงกับบอตเน็ต โดยแต่ละชุดทำหน้าที่จัดการอุปกรณ์ที่ติดไวรัสและประสานงานการโจมตีเพิ่มเติม

มัลแวร์แทรกซึมเข้าไปในอุปกรณ์ผ่านไฟล์ ELF และสคริปต์เชลล์ ซึ่งจะถูกนำไปใช้ในการติดตั้งมัลแวร์ Mirai เวอร์ชันต่างๆ อุปกรณ์ที่ติดเชื้อเหล่านี้จะถูกนำไปใช้เป็นอาวุธเพื่อเข้าร่วมในการโจมตี DDoS ขนาดใหญ่ เพื่อสร้างเครือข่ายบอตเน็ตระดับโลกที่น่าเกรงขาม

แคมเปญที่ 2: มัลแวร์ไฮบริดที่กำหนดเป้าหมายองค์กรทั่วโลก

แคมเปญที่สองซึ่งใช้ประโยชน์จากมัลแวร์ที่มาจากทั้ง Mirai และ Bashlite ได้กำหนดเป้าหมายองค์กรต่างๆ ทั่วอเมริกาเหนือ ยุโรป และเอเชีย นักวิจัยของ Trend Micro ระบุการโจมตี DDoS ขนาดใหญ่ที่ส่งผลกระทบต่อบริษัทและธนาคารของญี่ปุ่นก่อนจะแพร่กระจายไปทั่วโลก

เวกเตอร์การโจมตีและอุปกรณ์เป้าหมาย

ผู้โจมตีมุ่งเน้นไปที่การใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยและข้อมูลรับรองที่อ่อนแอในอุปกรณ์ IoT ที่ใช้กันอย่างแพร่หลาย เช่น:

  • เราเตอร์ TP-Link
  • เราเตอร์ Zyxel
  • กล้อง IP ของ Hikvision

มัลแวร์ใช้ประโยชน์จากช่องโหว่การรันโค้ดจากระยะไกลและรหัสผ่านที่อ่อนแอเพื่อเข้าถึง จากนั้นจึงดาวน์โหลดสคริปต์เพื่อเจาะระบบอุปกรณ์ ปฏิบัติการทั่วโลกนี้ใช้การโจมตี DDoS หลักๆ สองประเภท:

  1. การโจมตีแบบโอเวอร์โหลดเครือข่าย : การโจมตีเครือข่ายด้วยข้อมูลจำนวนมหาศาลจนเกินแบนด์วิดท์
  2. การโจมตีที่ทำให้ทรัพยากรของเซิร์ฟเวอร์หมด : การสร้างเซสชันจำนวนมากเพื่อใช้ทรัพยากรของเซิร์ฟเวอร์จนหมด

ในบางกรณี ผู้โจมตีจะใช้ทั้งสองวิธีร่วมกันเพื่อเพิ่มความเสียหายให้สูงสุด ส่งผลให้เกิดการหยุดชะงักอย่างมากในพื้นที่ที่ได้รับผลกระทบ

มาตรการป้องกัน: การบรรเทาผลกระทบของบอตเน็ต Mirai

การกลับมาของ แคมเปญที่ใช้ Mirai เน้นย้ำถึงความจำเป็นที่องค์กรต่างๆ จะต้องเสริมการป้องกันต่อการโจมตี DDoS นักวิจัยจาก Qualys และ Trend Micro ได้ให้คำแนะนำที่สำคัญในการต่อสู้กับภัยคุกคามเหล่านี้

แนวทางปฏิบัติที่ดีโดยทั่วไป

  1. ตรวจสอบกิจกรรมที่น่าสงสัย : ติดตามกระบวนการ เหตุการณ์ และการรับส่งข้อมูลบนเครือข่ายเป็นประจำเพื่อหาสัญญาณของการบุกรุก
  2. หลีกเลี่ยงแหล่งข้อมูลที่ไม่น่าเชื่อถือ : หลีกเลี่ยงการดำเนินการสคริปต์เชลล์หรือไฟล์ไบนารีจากแหล่งที่มาที่ไม่รู้จัก
  3. เสริมความแข็งแกร่งให้กับอุปกรณ์ IoT : ตรวจสอบให้แน่ใจว่าอุปกรณ์ได้รับการอัปเดตด้วยเฟิร์มแวร์เวอร์ชันล่าสุดและมีรหัสผ่านที่แข็งแรงและไม่ซ้ำกัน

การลดการโจมตีจากการโอเวอร์โหลดเครือข่าย

  • ใช้ไฟร์วอลล์หรือเราเตอร์เพื่อบล็อกที่อยู่ IP ที่เป็นอันตรายและจำกัดการรับส่งข้อมูลที่ไม่ต้องการ
  • ร่วมมือกับผู้ให้บริการอินเทอร์เน็ตเพื่อกรองการรับส่งข้อมูล DDoS ที่ขอบเครือข่าย
  • อัพเกรดฮาร์ดแวร์เราเตอร์เพื่อรองรับปริมาณแพ็กเก็ตที่สูงขึ้น

บรรเทาการโจมตีจากการใช้ทรัพยากรจนหมด

  • ใช้การจำกัดอัตราเพื่อจำกัดจำนวนการร้องขอจากที่อยู่ IP เฉพาะ
  • ใช้บริการป้องกัน DDoS ของบุคคลที่สามเพื่อกรองการรับส่งข้อมูลที่เป็นอันตราย
  • ตรวจสอบการเชื่อมต่ออย่างต่อเนื่องแบบเรียลไทม์ และบล็อก IP ที่มีกิจกรรมมากเกินไป

มรดกอันคงอยู่ของมิไร

แคมเปญบ็อตเน็ต Mirai ล่าสุดเหล่านี้ทำหน้าที่เป็นตัวเตือนที่ชัดเจนถึงความเสี่ยงที่เกิดจากอุปกรณ์ IoT ที่ไม่ได้รับการป้องกัน ในขณะที่ผู้โจมตียังคงปรับปรุงกลยุทธ์ของตนและใช้ประโยชน์จากช่องโหว่ IoT องค์กรต่างๆ จะต้องเฝ้าระวัง ดำเนินการเชิงรุก และเตรียมพร้อมที่จะลดความเสี่ยงจากการโจมตี DDoS ด้วยการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งและส่งเสริมความร่วมมือระหว่างผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยทางไซเบอร์ เราสามารถลดผลกระทบของภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องเหล่านี้ได้

กำลังโหลด...