เตือนภัย! แบ็คดอร์ 'Plague' ตัวร้ายใหม่บน Linux แอบขโมยรหัสผ่านเงียบ... ตรวจจับไม่ได้นานนับปี

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาแจ้งเตือนถึง แบ็คดอร์ (Backdoor) บนระบบปฏิบัติการ Linux ตัวใหม่ที่ไม่เคยถูกค้นพบมาก่อนในชื่อ 'Plague' ซึ่งน่ากังวลอย่างยิ่ง เพราะมันสามารถหลบเลี่ยงการตรวจจับจากโปรแกรมความปลอดภัยต่างๆ มาได้นานนับปี

Pierre-Henri Pezier นักวิจัยจากบริษัท Nextron Systems กล่าวว่า "มัลแวร์ตัวนี้ถูกสร้างขึ้นมาในรูปแบบของ PAM (Pluggable Authentication Module) ที่เป็นอันตราย ทำให้แฮกเกอร์สามารถข้ามขั้นตอนการยืนยันตัวตนของระบบไปได้อย่างเงียบๆ และสามารถเข้าถึงระบบผ่าน SSH (Secure Shell) ได้อย่างถาวร"

PAM คืออะไร และทำไมถึงอันตราย?

สำหรับคนที่ไม่คุ้นเคย PAM (Pluggable Authentication Module) คือชุดไลบรารีที่ใช้ในการจัดการและยืนยันตัวตนของผู้ใช้สำหรับแอปพลิเคชันและบริการต่างๆ บนระบบ Linux และ UNIX พูดง่ายๆ คือเป็นเหมือน "ด่านตรวจคนเข้าเมือง" ของระบบ

เนื่องจากโมดูล PAM จะถูกโหลดเข้าไปในกระบวนการยืนยันตัวตนที่มีสิทธิ์สูง การมี PAM ที่เป็นอันตรายแฝงอยู่จึงเปรียบเสมือนการมีเจ้าหน้าที่ด่านตรวจทุจริต ที่สามารถ ขโมยข้อมูลสำคัญของผู้ใช้ (user credentials), อนุญาตให้ผู้บุกรุกผ่านโดยไม่ต้องตรวจสอบสิทธิ์ และที่สำคัญคือสามารถ ซ่อนตัวจากการตรวจจับของเครื่องมือรักษาความปลอดภัยได้

บริษัทด้านความปลอดภัยไซเบอร์ระบุว่า ได้ค้นพบไฟล์ตัวอย่างของ Plague หลายไฟล์ที่ถูกอัปโหลดไปยัง VirusTotal (เว็บไซต์สำหรับตรวจสอบไฟล์ต้องสงสัย) ตั้งแต่วันที่ 29 กรกฎาคม 2024 แต่ที่น่าตกใจคือ ไม่มีโปรแกรมป้องกันมัลแวร์ตัวใดเลยที่ตรวจจับได้ว่าไฟล์เหล่านั้นเป็นอันตราย ยิ่งไปกว่านั้น การพบตัวอย่างหลายเวอร์ชันยังบ่งชี้ว่ามัลแวร์ตัวนี้ยังคงอยู่ระหว่างการพัฒนาอย่างต่อเนื่องโดยกลุ่มแฮกเกอร์ที่ไม่ระบุตัวตน

ความสามารถในการล่องหนขั้นสูงของ 'Plague'

Plague มีคุณสมบัติเด่นที่ทำให้มันน่ากลัวเป็นพิเศษ คือ:

1. ใช้รหัสผ่านลับ (Static credentials) เพื่อให้แฮกเกอร์สามารถแอบเข้ามาในระบบได้ทุกเมื่อ

2. ต่อต้านการวิเคราะห์ โดยใช้เทคนิคซับซ้อนเพื่อป้องกันไม่ให้ผู้เชี่ยวชาญแกะรอยหรือทำความเข้าใจการทำงานของมันได้

3. ยกระดับการล่องหน ด้วยการลบหลักฐานการเชื่อมต่อผ่าน SSH เพื่อไม่ให้ทิ้งร่องรอยการบุกรุกไว้

มันทำสิ่งนี้ได้โดยการลบตัวแปรของระบบอย่าง $SSH_CONNECTION และ $SSH_CLIENT และสั่งไม่ให้ระบบบันทึกประวัติการใช้คำสั่ง (Command History) เพื่อไม่ให้มีหลักฐานใดๆ หลงเหลือให้ตรวจสอบได้ในภายหลัง

"Plague สามารถฝังตัวลึกเข้าไปในระบบยืนยันตัวตน, สามารถรอดพ้นจากการอัปเดตระบบ และแทบไม่ทิ้งร่องรอยทางดิจิทัลไว้เลย" Pezier สรุป "เมื่อรวมกับเทคนิคการซ่อนตัวที่ซับซ้อน ยิ่งทำให้มันตรวจจับได้ยากมากด้วยเครื่องมือแบบดั้งเดิม"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก