การโจมตีทางไซเบอร์โจมตีเราเตอร์แบรนด์ ASUS กว่า 14,000 ตัวพร้อมมัลแวร์ KadNap ที่มีความทนทานสูง

นักวิจัยด้านความปลอดภัยของข้อมูลตรวจพบแคมเปญการติดไวรัสขนาดใหญ่ที่โจมตีเราเตอร์ประมาณ 14,000 ตัวในหลายภูมิภาค อุปกรณ์ที่ได้รับผลกระทบส่วนใหญ่เป็นของผู้ผลิต ASUS ซึ่งระบุถึงการกำหนดเป้าหมายเฉพาะของการโจมตีเพื่อใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในเฟิร์มแวร์ของแบรนด์นั้น

เจ้าหน้าที่ที่รับผิดชอบต่อการบุกรุกครั้งใหญ่นี้คือมัลแวร์ที่ระบุว่าเป็น KadNap ซึ่งเป็นโค้ดที่เป็นอันตรายซึ่งโดดเด่นด้วยความยากอย่างยิ่งในการกำจัด เมื่อติดตั้งบนอุปกรณ์เครือข่ายแล้ว โปรแกรมจะเปลี่ยนอุปกรณ์ให้เป็นโหนดที่ใช้งานของบอตเน็ต ซึ่งปฏิบัติการโดยซ่อนไม่ให้เจ้าของการเชื่อมต่ออินเทอร์เน็ต

การค้นพบเครือข่ายซอมบี้นี้เกิดขึ้นระหว่างการตรวจสอบการรับส่งข้อมูลทางอินเทอร์เน็ตที่ผิดปกติเป็นประจำ เมื่อผู้เชี่ยวชาญสังเกตเห็นรูปแบบการสื่อสารที่น่าสงสัยซึ่งมีต้นกำเนิดจากการเชื่อมต่อที่บ้านและธุรกิจขนาดเล็ก อุปกรณ์ดังกล่าวยังคงทำงานตามปกติสำหรับการนำทางในแต่ละวัน ซึ่งทำให้เหยื่อไม่ตระหนักถึงปัญหาดังกล่าวล่าช้า

โครงสร้างทางเทคนิคของการบุกรุกอุปกรณ์

การวิเคราะห์พฤติกรรมของ KadNap พบว่าการติดเชื้อส่วนใหญ่เกิดจากการใช้ประโยชน์จากพอร์ตการสื่อสารที่เปิดไม่ถูกต้องไปยังอินเทอร์เน็ต ผู้โจมตีทำการสแกนอัตโนมัติเพื่อค้นหาเราเตอร์ที่ยังคงใช้ข้อมูลรับรองการเข้าถึงเริ่มต้นจากโรงงาน หรือที่ทราบข้อบกพร่องด้านความปลอดภัยที่ยังไม่ได้รับการแก้ไข

เมื่อพบเป้าหมายที่มีช่องโหว่ สคริปต์ที่เป็นอันตรายจะแทรกข้อมูลลงในหน่วยความจำของอุปกรณ์โดยตรง ทำให้เกิดการสื่อสารในทันทีกับเซิร์ฟเวอร์สั่งการและควบคุมที่ดำเนินการโดยอาชญากรไซเบอร์ ตั้งแต่นั้นเป็นต้นมา เราเตอร์จะเริ่มได้รับคำสั่งระยะไกลเพื่อดำเนินการผิดกฎหมายต่างๆ ในสภาพแวดล้อมดิจิทัล

จำนวนหน่วยที่ถูกบุกรุกจำนวน 14,000 หน่วยแสดงให้เห็นถึงประสิทธิภาพของวิธีการเผยแพร่อัตโนมัติที่นักพัฒนาภัยคุกคามใช้ การให้ความสนใจกับโมเดลของ ASUS ชี้ให้เห็นว่าอาชญากรได้จัดทำแผนผังสถาปัตยกรรมซอฟต์แวร์ของอุปกรณ์เหล่านี้อย่างละเอียด เพื่อเพิ่มอัตราความสำเร็จของการบุกรุกแบบเงียบๆ

ความคงอยู่ของรหัสและกลไกการซ่อน

สิ่งที่ทำให้ KadNap สร้างความแตกต่างทางเทคนิคหลักจากภัยคุกคามอื่นๆ ที่มุ่งเป้าไปที่อุปกรณ์เครือข่ายก็คือความสามารถในการเอาตัวรอดขั้นสูงบนระบบโฮสต์ มัลแวร์ได้รับการออกแบบให้ผสานรวมเข้ากับกระบวนการเฟิร์มแวร์เราเตอร์ที่จำเป็นอย่างล้ำลึก สร้างกลไกสำรองที่ทำให้ยากต่อการลบออกโดยใช้วิธีการแบบเดิม เมื่อผู้ใช้ทำการรีเซ็ตอุปกรณ์ง่ายๆ โค้ดที่เป็นอันตรายจะสามารถเปิดใช้งานตัวเองใหม่ได้ทันทีในระหว่างกระบวนการบู๊ต ทำให้มั่นใจได้ว่าอุปกรณ์จะอยู่ภายใต้การควบคุมของบ็อตเน็ตโดยไม่หยุดชะงักอย่างมีนัยสำคัญในการสื่อสารกับเซิร์ฟเวอร์ภายนอก

นอกจากความต้านทานต่อการรีบูตแล้ว นักวิจัยตั้งข้อสังเกตว่าความพยายามที่จะคืนค่าค่าเริ่มต้นจากโรงงานนั้นไม่เพียงพอที่จะกำจัดการติดเชื้ออย่างถาวรเสมอไป KadNap ใช้เทคนิคการทำให้งงงวยเพื่อซ่อนไฟล์และกระบวนการจากเครื่องมือวินิจฉัยดั้งเดิมของอุปกรณ์ การซ่อนตัวในการปฏิบัติงานนี้ทำให้เครือข่ายซอมบี้สามารถรักษาขนาดและพลังการประมวลผลให้คงที่เมื่อเวลาผ่านไป สร้างความหงุดหงิดให้กับความพยายามบรรเทาผลกระทบเบื้องต้นโดยผู้ใช้ที่มีความรู้ด้านเทคนิคขั้นพื้นฐาน และต้องมีการแทรกแซงระบบที่ลึกซึ้งยิ่งขึ้น

การใช้โครงสร้างพื้นฐานสำหรับการโจมตีแบบกระจาย

การสร้างบ็อตเน็ตที่มีเราเตอร์ภายในบ้านและองค์กรหลายพันตัวช่วยให้อาชญากรมีโครงสร้างพื้นฐานที่แข็งแกร่งในการดำเนินการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย การโจมตีเหล่านี้ประกอบด้วยการส่งคำขอจำนวนมากไปยังเซิร์ฟเวอร์หรือเว็บไซต์เฉพาะพร้อมๆ กัน โดยมีจุดประสงค์เพื่อให้คำขอมากเกินไปและทำให้ไม่สามารถเข้าถึงได้

การใช้การเชื่อมต่อภายในบ้านสำหรับกิจกรรมที่ผิดกฎหมายเหล่านี้ทำให้การทำงานของเครื่องมือป้องกันไซเบอร์ทำได้ยาก เนื่องจากการรับส่งข้อมูลที่เป็นอันตรายนั้นมาจากที่อยู่ IP ที่ถูกกฎหมายและกระจายตามพื้นที่ทางภูมิศาสตร์ คุณลักษณะนี้จะปกปิดแหล่งที่มาที่แท้จริงของการโจมตี และทำให้การดำเนินการบล็อกตามตำแหน่งมีความซับซ้อน

Leia Tambem

Colby Minifie ยืนยันพลังของ Ashley Barrett ใน The Boys ซีซั่นที่ 5

การทดสอบแบตเตอรี่ใหม่ทำให้ Galaxy S26 Ultra นำหน้า iPhone 17 Pro Max ในการจัดอันดับโลก

ผลวิจัยเผยพ่อแม่ไม่รู้ว่าลูกใช้ปัญญาประดิษฐ์อย่างไร

นอกเหนือจากการโจมตีแบบปฏิเสธการให้บริการแล้ว เราเตอร์ที่ติดไวรัส KadNap ยังสามารถใช้เป็นพร็อกซีเพื่อซ่อนตัวตนของอาชญากรในระหว่างการฉ้อโกงทางการเงินหรือการบุกรุกระบบขององค์กร อุปกรณ์ของเหยื่อทำหน้าที่เป็นสะพานส่งต่อการรับส่งข้อมูลที่เป็นอันตรายราวกับว่าเป็นการท่องเว็บตามปกติ

ความสามารถในการประมวลผลรวมของอุปกรณ์ถึง 14,000 เครื่องยังช่วยให้สามารถดำเนินการแคมเปญเดรัจฉานขนาดใหญ่ได้ เครือข่ายซอมบี้ทดสอบชุดรหัสผ่านหลายพันชุดต่อนาทีกับเซิร์ฟเวอร์อีเมล ฐานข้อมูล และแพลตฟอร์มออนไลน์อื่น ๆ ซึ่งขยายขอบเขตการเข้าถึงการดำเนินการทางอาญา

ขั้นตอนทางเทคนิคเพื่อควบคุมภัยคุกคาม

การฆ่าเชื้อเราเตอร์ที่ถูกบุกรุกโดย KadNap ต้องใช้วิธีการที่เป็นระบบและเข้มงวดจากผู้ดูแลระบบเครือข่ายและผู้ใช้ตามบ้าน ขั้นตอนพื้นฐานขั้นแรกประกอบด้วยการแยกอุปกรณ์ออกทันที ถอดอุปกรณ์ออกจากโมเด็มอินเทอร์เน็ตเพื่อหยุดการสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุมของบอตเน็ต ถัดไป จำเป็นต้องเข้าถึงแผงการดูแลระบบของอุปกรณ์ผ่านเครือข่ายท้องถิ่นที่ปลอดภัย และอัปเดตเฟิร์มแวร์ด้วยตนเอง โดยใช้เฉพาะไฟล์อย่างเป็นทางการที่มีอยู่ในเว็บไซต์ ASUS เนื่องจากมัลแวร์มีความคงอยู่สูง การใช้การอัปเดตเพียงอย่างเดียวอาจไม่เพียงพอ ผู้เชี่ยวชาญแนะนำว่ากระบวนการนี้มาพร้อมกับการทำความสะอาดหน่วยความจำภายในของอุปกรณ์โดยสมบูรณ์ ตามด้วยการกำหนดค่าพารามิเตอร์เครือข่ายทั้งหมดใหม่ด้วยตนเอง ในระหว่างการกำหนดค่าใหม่นี้ จำเป็นต้องแทนที่รหัสผ่านผู้ดูแลระบบด้วยข้อมูลประจำตัวที่ซับซ้อน ปิดใช้งานบริการการจัดการระยะไกลผ่านอินเทอร์เน็ต และปิดพอร์ตการสื่อสารที่ไม่จำเป็นอย่างยิ่งสำหรับเครือข่ายท้องถิ่นในการทำงาน การตรวจสอบบันทึกการเข้าถึงอย่างต่อเนื่องในช่วงหลายสัปดาห์ตามขั้นตอนจะช่วยยืนยันว่าการกำจัดโค้ดที่เป็นอันตรายสำเร็จแล้ว และการรับส่งข้อมูลกลับสู่ภาวะปกติ

ช่องโหว่ในระบบนิเวศอินเทอร์เน็ตของสรรพสิ่ง

เหตุการณ์ที่เกี่ยวข้องกับอุปกรณ์ของ ASUS เน้นย้ำถึงปัญหาเชิงโครงสร้างในการรักษาความปลอดภัยของอุปกรณ์ที่ประกอบขึ้นเป็นอินเทอร์เน็ตของทุกสิ่ง เราเตอร์ กล้องรักษาความปลอดภัย และอุปกรณ์ที่เชื่อมต่อมักจะออกสู่ตลาดโดยมีการกำหนดค่าที่มุ่งเป้าไปที่การติดตั้งที่ง่ายดาย โดยละเลยโปรโตคอลการป้องกันที่เข้มงวดยิ่งขึ้น วงจรชีวิตของผลิตภัณฑ์เหล่านี้ยังทำให้สถานการณ์แย่ลง เนื่องจากผู้ผลิตหลายรายยุติการสนับสนุนอย่างเป็นทางการตั้งแต่เนิ่นๆ

การไม่มีระบบอัปเดตความปลอดภัยแบบอัตโนมัติและบังคับทำให้อุปกรณ์หลายล้านเครื่องเผชิญกับข้อบกพร่องที่ค้นพบหลายเดือนหรือหลายปีหลังจากการผลิต อาชญากรไซเบอร์ใช้ประโยชน์จากช่องโหว่นี้ในอุปกรณ์รุ่นเก่าเพื่อขยายเครือข่ายซอมบี้โดยใช้ความพยายามเพียงเล็กน้อยและให้ผลตอบแทนสูง โดยยังคงควบคุมอุปกรณ์ที่เจ้าของลืมได้

การตรวจสอบการรับส่งข้อมูลอย่างต่อเนื่อง

การตรวจหาการติดไวรัสแบบเงียบตั้งแต่เนิ่นๆ เช่น KadNap นั้นขึ้นอยู่กับการใช้เครื่องมือตรวจสอบเครือข่ายที่สามารถระบุความผิดปกติในกระแสข้อมูลได้ การอัปโหลดที่เพิ่มขึ้นอย่างไม่ยุติธรรมในช่วงเช้าตรู่หรือการเชื่อมต่ออย่างต่อเนื่องไปยังที่อยู่ IP ซึ่งตั้งอยู่ในภูมิภาคที่น่าสงสัยเป็นตัวบ่งชี้ที่ชัดเจนถึงการบุกรุกโครงสร้างพื้นฐานในท้องถิ่น

บริษัทโทรคมนาคมและผู้ให้บริการอินเทอร์เน็ตมีบทบาทสำคัญในการระบุภัยคุกคามขนาดใหญ่เหล่านี้ การทำงานร่วมกันระหว่าง ISP และผู้ผลิตฮาร์ดแวร์จะเร่งความเร็วในการบล็อกเซิร์ฟเวอร์ที่เป็นอันตราย และแจ้งเตือนลูกค้าที่ได้รับผลกระทบก่อนการโจมตีจะทำให้เกิดความเสียหายมากขึ้น

คำแนะนำด้านความปลอดภัยสำหรับผู้ดูแลระบบ

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เน้นย้ำว่าการบำรุงรักษาเชิงป้องกันเป็นอุปสรรคที่มีประสิทธิภาพเพียงอย่างเดียวในการต่อต้านมัลแวร์ที่มีความเสถียรสูง การใช้นโยบายการควบคุมการเข้าถึงที่เข้มงวด การแบ่งกลุ่มเครือข่ายองค์กร การใช้ระบบตรวจจับการบุกรุก และการตรวจสอบการกำหนดค่าเราเตอร์เป็นระยะ จะช่วยลดพื้นที่การโจมตีที่มีอยู่สำหรับภัยคุกคามอัตโนมัติบนอินเทอร์เน็ตได้อย่างมาก