จับตา "RustDuck" บอตเนตอัจฉริยะยุคใหม่ อัปเกรดซอร์สโค้ดสู่ Rust หวังยึดอุปกรณ์ IoT ถล่มเว็บไซต์
สัปดาห์นี้มีข่าวคราวในโลกไซเบอร์ที่น่าสนใจและอยากชวนทุกคนมาอัปเดตกันครับ โดยเฉพาะใครที่ใช้เราเตอร์บ้าน กล่องแอนดรอยด์ หรือกล้อง IP camera ต้องฟังทางนี้เลย เพราะตอนนี้มีมัลแวร์ตัวใหม่ชื่อว่า "RustDuck" กำลังไล่แฮกอุปกรณ์เหล่านี้เพื่อดึงเข้าพวกไปทำเป็นกองทัพบอตเนต (Botnet) เอาไว้ใช้ยิงถล่มเว็บไซต์ชาวบ้าน หรือที่เรารู้จักกันในนามการโจมตีแบบ DDoS (Distributed Denial-of-Service) นั่นเอง
ทางทีมนักวิจัยจาก XLab ของ QiAnXin ได้เริ่มแกะรอยมันมาตั้งแต่เดือนกุมภาพันธ์ปี 2026 นี้ สิ่งที่น่ากลัวไม่ใช่ขนาดของมันในตอนนี้ครับ แต่เป็น "ความเร็วในการพัฒนาตัวเอง" ต่างหาก
ทำไมต้องชื่อ "RustDuck" และมันเจ๋งยังไง?
เดิมทีบอตเนตทั่วไปมักจะเขียนด้วยภาษา C แต่ RustDuck กำลังอยู่ระหว่างการยกเครื่องเขียนขึ้นมาใหม่ด้วย ภาษา Rust ซึ่งทำให้เหล่านักวิจัยแกะรอยและวิเคราะห์ซอร์สโค้ดได้ยากขึ้นมาก ส่วนคำว่า "Duck" นั้นมาจากพฤติกรรมของมันที่ชอบแอบไปเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C&C) ผ่านบริการ Dynamic-DNS ฟรีอย่าง duckdns.org สิ่งที่ทำให้เจ้าเป็ดตัวนี้แสบกว่าตัวอื่น คือมันมีความ "หวาดระแวงขั้นสุด" ก่อนมันจะเริ่มทำงานบนอุปกรณ์ไหน มันจะมี Checklist ตรวจสอบก่อนเสมอว่า:
- เครื่องนี้เป็นของนักวิจัยที่กำลังล่อซื้อ (Honeypot) อยู่หรือเปล่า?
- มีโปรแกรมดักจับสัญญาณอย่าง Wireshark เปิดอยู่ไหม?
- เป็นระบบจำลอง (Virtual Machine) หรือเปล่า?
มันเจาะเข้ามาในบ้านเราได้ยังไง?
RustDuck ไม่ได้ใช้ทริคพิสดารอะไรเลยครับ แต่มันใช้การสุ่มโจมตีใน 3 ช่องทางหลักๆ ที่คนมักมองข้าม:
- รหัสผ่านสุดเดาจัด: ไล่สุ่มล็อกอินเข้าอุปกรณ์ที่เปิดช่องทาง Telnet หรือ SSH ทิ้งไว้บนโลกอินเทอร์เน็ตโดยใช้รหัสผ่านโรงงาน หรือรหัสง่ายๆ
- ช่องโหว่เก่าที่ไม่มีคนอุด (Unpatched Bugs): มันตามไล่ล่าอุปกรณ์ที่มีช่องโหว่ โดยเฉพาะกล้องและเครื่องบันทึก DVR ของ TVT, รวมถึงเราเตอร์ Ruijie, TP-Link, ZTE และช่องโหว่ในตำนานอย่าง CVE-2017-17215 ของเราเตอร์ Huawei รวมถึงช่องโหว่ใหม่อย่าง CVE-2025-29635 ในเราเตอร์ D-Link DIR-823X และ CVE-2024-1781 ใน Totolink X6000R
- ซอฟต์แวร์ฝั่งเซิร์ฟเวอร์: ลามไปถึงระบบองค์กรอย่าง ThinkPHP, Jenkins และ Hadoop YARN ด้วย
เราจะป้องกันตัวอย่างไรได้บ้าง?
เนื่องจาก RustDuck เป็นมัลแวร์ ไม่ใช่บั๊กของระบบ ดังนั้นจึงไม่มี "แพตช์" ตัวไหนที่จะมากดอัปเดตแล้วหายขาด วิธีรับมือที่ดีที่สุดคือการปิดประตูบ้านให้แน่นหนาครับ:
- ปิดช่องทางเสี่ยง: ปิดระบบรีโมทจัดการระยะไกล (Remote Management) รวมถึง Android Debug Bridge (ADB), Telnet, และ SSH หากไม่ได้ใช้งาน หรือถ้าจำเป็นต้องใช้ ห้าม ใช้รหัสผ่านเดิมๆ จากโรงงานเด็ดขาด
- อัปเดตและโละของเก่า: หากใช้อุปกรณ์ที่ผู้ผลิตหยุดซัพพอร์ตไปแล้ว (End-of-Life) อย่างเช่นเราเตอร์ D-Link หรือ Totolink รุ่นเก่าๆ แนะนำให้เปลี่ยนใหม่เลยครับ เพราะจะไม่มีแพตช์ความปลอดภัยใหม่ออกมาแก้แล้ว ฝืนใช้ต่อไปก็เท่ากับเปิดบ้านรับโจร
- อัปเดตและโละของเก่า: หากใช้อุปกรณ์ที่ผู้ผลิตหยุดซัพพอร์ตไปแล้ว (End-of-Life) อย่างเช่นเราเตอร์ D-Link หรือ Totolink รุ่นเก่าๆ แนะนำให้เปลี่ยนใหม่เลยครับ เพราะจะไม่มีแพตช์ความปลอดภัยใหม่ออกมาแก้แล้ว ฝืนใช้ต่อไปก็เท่ากับเปิดบ้านรับโจร
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก