เตือนภัย! SSHStalker บอทเน็ตจอมเก๋า ขุดกรุช่องโหว่เก่าถล่ม Linux
ทีมนักวิจัยจากบริษัทด้านความปลอดภัย Flare ได้ออกมาเปิดเผยรายละเอียดของปฏิบัติการบอทเน็ตตัวใหม่ในชื่อ SSHStalker ซึ่งความน่ากลัวของมันไม่ได้อยู่ที่เทคโนโลยีล้ำสมัย แต่อยู่ที่การหยิบเอา "ช่องโหว่ระดับตำนาน" มาใช้โจมตีระบบที่ถูกลืมครับ
เจาะลึกพฤติกรรม เก่าแต่เก๋า แฝงตัวเงียบกริบ
เจ้า SSHStalker นี้ใช้โปรโตคอลการสื่อสารแบบยุคบุกเบิกอย่าง IRC (Internet Relay Chat) ในนการควบคุม (C2) ซึ่งถือว่าแปลกตาในยุคนี้ แต่วิธีการของมันคือ
- เน้นขุดกรุ: มันรวบรวมช่องโหว่ของ Linux Kernel ตั้งแต่ปี 2009-2010 (CVE เก่ากว่า 15 ปี) มาใช้โจมตี ถึงแม้จะใช้กับระบบใหม่ๆ ไม่ได้ผล แต่กับ "ครงสร้างพื้นฐานที่ถูกลืม" หรือระบบเก่าที่ไม่มีการอัปเดต มันคือยาพิษดีๆ นี่เองครับ
- แฝงตัวเพื่อรอคอย: ปกติบอทเน็ตทั่วไปพอเจาะได้จะรีบยิง DDoS หรือขุดเหรียญคริปโตทันที แต่ SSHStalker กลับเลือกที่จะ "อยู่นิ่งๆ" เพื่อรักษาการเข้าถึงระบบไว้ (Persistent Access) ซึ่งนักวิจัยคากว่ามันอาจถูกใช้เป็นฐานที่มั่นสำหรับการทดสอบ กรือเตรียมการโจมตีครั้งใหญ่ในอนาคต
- ลบร่อยรอยเก่ง: มีเครื่องมือที่เขียนด้วยภาษา C เพื่อล้าง Log การเชื่อมต่อ SSH ทำให้เจ้าหน้าที่ตรวจสอบได้ยากมาก แถมมีระบบ "Keep-alive" ที่จะปลุกตัวเองขึ้นมาใหม่ภายใน 60 วินาทีหากถูกสั่งปิด
อาวุธในคลังแสงของ SSHStalker
จากการตรวจสอบเซิร์ฟเวอร์ของคนร้าย พบว่ามีการเตรียมเครื่องมือไว้เพียบ ไม่ว่าจะเป็น
- Scanner (Golang): สแกนหาพอร์ต 22 (SSH) แบบอัตโนมัติเพื่อแพร่กระจายตัวเหมือนเวิร์ม
- Rootkits: ใช้สำหรับพรางตัวในระบบ
- Payloads: มีทั้งบอทที่ควบคุมผ่าน IRC และสคริปต์ Python สำหรับขโมยความลับ (Secrets) ของ AWS จากเว็บไซต์ต่างๆ
บทสรุปและข้อแนะนำ
แม้แฮกเกอร์กลุ่มนี้จะไม่ได้สร้าง Zero-day ขึ้นมาเองแต่เขามีความเชี่ยวชาญสูงมากในการจัดการระบบขนาดใหญ่และการเข้าถึงระยะยาว สิ่งนี้เตือนให้เรารู้ว่า "การอัปเดตระบบและปิดพอร์ตที่ไม่จำเป็น" ัยงคงเป็นพื้นฐานสำคัญที่สุดในการป้องกันตัวเอง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก