มัลแวร์Miraiได้แตกสายพันธุ์ย่อยไปกว่า100 สายพันธุ์
มัลแวร์ Mirai ได้แตกสายพันธุ์ย่อยไปกว่า 100 สายพันธุ์แล้ว
มัลแวร์ประเภทแปลงเครื่องเข้าเป็นเครือข่ายของแฮกเกอร์ หรือ Botnet นั้น มักถูกใช้เพื่อการนำเอาเครือข่ายเครื่องที่ติดเชื้อไปใช้ในการโจมตีแบบระดมยิงให้ระบบล่ม หรือ DDoS (Distributed Denial-of-Service) ซึ่งมัลแวร์แบบนี้ก็มีอยู่มากมายหลายตัว โดยตัวที่ดังสุดคงจะไม่พ้น Mirai ��ที่ตอนนี้กำลังมีพัฒนาการอย่างต่อเนื่อง
จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการขยายแตกสายพันธุ์ของมัลแวร์ Botnet ชื่อ Mirai ที่ได้มีการพัฒนาแตกขยายสายพันธุ์ไปมากกว่า 116 สายพันธุ์ จากการตรวจสอบไฟล์ที่ปนเปื้อนมัลแวร์ถึง 21,000 ตัวอย่าง ซึ่งมัลแวร์มัลแวร์ Mirai นั้นถูกตรวจพบครั้งแรกในปี ค.ศ. 2016 (พ.ศ. 2559) โดยตัวมัลแวร์จะมุ่งเน้นอุปกรณ์สำหรับการจัดการเครือข่าย (Network) และอุปกรณ์ IoT (Internet-of-Things) ต่าง ๆ เพื่อใช้ในการโจมตีระบบแบบ DDoS ซึ่งในเวลาต่อมาตัวโค้ดต้นฉบับ (Source Code) ของมัลแวร์ตัวนี้ได้รั่วไหลไปสู่มือแฮกเกอร์กลุ่มอื่น ๆ นำมาสู่การแตกขยายสายพันธุ์ในครั้งนี้
ซึ่งในหมู่สายพันธุ์แยกย่อยจำนวนมาก มีสายพันธุ์หนึ่งที่มีความน่าสนใจนั่นคือ Satori ที่สามารถแพร่กระจายจนไปฝังตัวในเราเตอร์ (Router) จำนวนมากถึง 260,000 ตัว ด้วยการอาศัยช่องโหว่ความปลอดภัยบนเราเตอร์รุ่น D-Link DSL-2750B ขณะที่มัลแวร์อีกสายพันธุ์อย่าง KimWolf นั้นจะมุ่งเน้นการโจมตีอุปกรณ์ที่ทำงานบนระบบปฏิบัติการ Android หลากชนิด ไม่ว่าจะเป็นโทรศัพท์มือถือ ไปจนถึงโทรทัศน์แบบ Smart TV ต่าง ๆ ซึ่งมัลแวร์เหล่านี้นั้นถูกจัดจำหน่ายให้แฮกเกอร์ต่าง ๆ ใช้ในรูปแบบมัลแวร์สำหรับการเช่าใช้ หรือ MaaS (Malware-as-a-Service) ผ่านช่องทางซื้อขายบนแอปแชทดัง เช่น Discord หรือ Telegram โดยในช่องทางเหล่านี้ไม่ได้มีการขายแค่มัลแวร์ทั้ง 2 ตัวที่กล่าวไปข้างต้นเท่านั้น แต่ยังมีสายพันธุ์แยกย่อยของ Mirai ตัวอื่น ๆ อีกมากมาย ไม่ว่าจะเป็น Aisuru, Tiny Mantis, Murdoc_Botnet, Lzrd และ Resgod เป็นต้น
ในด้านการใช้งานเพื่อโจมตีระบบนั้น ทางทีมวิจัยได้ยกตัวอย่างของการใช้งานมัลแวร์ Aisuru และ Kimwolf โดยกลุ่ม Aisuru-Kimwolf ด้วยการใช้งานมัลแวร์ดังกล่าวระดมเครื่องที่ติดมายิงระบบเป้าหมายด้วยความเร็วแรงอันน่าเหลือเชื่อ ด้วยความเร็วในการยิงที่มากกว่า 31.4 เทราบิต (Terabit) ต่อวินาที ด้วยการส่งแพ็คเกจมากกว่า 14.1 พันล้านแพ็คเกจ ซึ่งจุดเด่นการโจมตีครั้งนี้นั้น นอกจากจะเป็นการโจมตีครั้งที่ใหญ่ที่สุดเป็นประวัติการณ์แล้ว ตัวแพ็คเกจนั้นยังมีลักษณะแบบสุ่ม ทำให้สามารถถูกตรวจจับ และป้องกันได้ยากจากการที่เครื่องมือรักษาความปลอดภัยของระบบหลายตัวนั้นมองไม่เห็นแพ็คเกจดังกล่าว ไม่เพียงเท่านั้น ทีมวิจัยยังได้เปิดเผยว่า ทางแฮกเกอร์กลุ่มนี้ได้มีการใช้งาน Proxy เซิร์ฟเวอร์ที่ใช้หมายเลขไอพี (IP Address) จริง หรือ Residential Proxies อย่าง IPIDEA เพื่อใช้ซ่อนตัวเองด้วยการแอบอ้างหมายเลขไอพีของเหยื่อที่ไม่รู้เรื่อง และไม่เกี่ยวข้องกับการโจมตีดังกล่าวอีกด้วย ซึ่งถึงแม้โครงสร้างพื้นฐานของแฮกเกอร์กลุ่มดังกล่าวจะถูกหน่วยงานผู้รักษากฎหมายทำลายทิ้งไปแล้ว แต่ตัวกลุ่มเองก็ยังไม่ได้ถูกปราบลงอย่างสมบูรณ์ ทั้งยังได้ย้ายตัวเองไปอยู่บนบริการเครือข่ายล่องหน (Hidden Network) ของทาง The Invisible Project (I2P) ทำให้ตรวจจับได้ยากยิ่งขึ้นอีกด้วย
จากประสบการณ์การติดตามข่าวสารด้านความปลอดภัยไซเบอร์ ผมพบว่า มัลแวร์ Mirai ไม่เพียงแต่พัฒนาไปในเรื่องของจำนวนสายพันธุ์ย่อยเท่านั้น แต่ยังมีการปรับปรุงเทคนิคการโจมตีให้ซับซ้อนและหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพมากยิ่งขึ้น การโจมตีด้วย DDoS ที่ใช้มัลแวร์ Mirai รุ่นใหม่ มักจะเป็นแบบใช้แพ็คเกจที่มีลักษณะสุ่มแทนที่จะแฮ็กแพ็คเกจจากแหล่งเดียว ทำให้ซอฟต์แวร์รักษาความปลอดภัยตรวจจับได้ยากขึ้น นอกจากนี้ การใช้ Proxy เซิร์ฟเวอร์ที่เป็น Residential Proxy ยังช่วยให้กลุ่มแฮกเกอร์สามารถซ่อนตัวตนและเลี่ยงการปิดกั้น IP ได้อย่างชาญฉลาด นอกจากนี้ ผู้ใช้งานทั่วไปที่มีอุปกรณ์ IoT หรือเราเตอร์ที่ไม่ได้รับการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ มีความเสี่ยงสูงมากที่จะถูกโจมตีจากมัลแวร์ Mirai ที่เลือกใช้ช่องโหว่ในอุปกรณ์เหล่านี้เป็นจุดเข้าถึง อย่างเช่นกรณีของเราเตอร์ D-Link รุ่น DSL-2750B ซึ่งถูกแพร่กระจายโดยสายพันธุ์ Satori ผมขอแนะนำว่า ควรเปลี่ยนรหัสผ่านของเราเตอร์และอุปกรณ์ IoT เป็นรหัสที่ซับซ้อนและไม่ใช้ค่าเริ่มต้น รวมถึงอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดช่องโหว่ที่มัลแวร์ Mirai หลายสายพันธุ์อาศัยโจมตี ท้ายที่สุด การติดตามข่าวสารจากทีมวิจัยด้านความปลอดภัยและหน่วยงานที่เกี่ยวข้องก็เป็นสิ่งจำเป็น เพื่อให้ทราบถึงภัยคุกคามและแนวทางป้องกันที่อัพเดตล่าสุด โดยเฉพาะอย่างยิ่งเมื่อมัลแวร์ Mirai ถูกจัดจำหน่ายในรูปแบบ Malware-as-a-Service หรือ MaaS บนแพลตฟอร์มต่างๆ อย่าง Discord และ Telegram ด้วยการตระหนักถึงภัยคุกคามและการลงมือป้องกันอย่างเหมาะสม เราสามารถรักษาความปลอดภัยบนโลกออนไลน์ได้อย่างมีประสิทธิภาพมากขึ้น ฝึกฝนการสังเกตและปฏิบัติตามหลักการรักษาความปลอดภัยไซเบอร์จะช่วยสร้างภูมิคุ้มกันให้กับระบบและอุปกรณ์ของเราได้อย่างมั่นคง
