จับตา "RustDuck" บอตเนตอัจฉริยะยุคใหม่ อัปเกรดซอร์สโค้ดสู่ Rust หวังยึดอุปกรณ์ IoT ถล่มเว็บไซต์

 

สัปดาห์นี้มีข่าวคราวในโลกไซเบอร์ที่น่าสนใจและอยากชวนทุกคนมาอัปเดตกันครับ โดยเฉพาะใครที่ใช้เราเตอร์บ้าน กล่องแอนดรอยด์ หรือกล้อง IP camera ต้องฟังทางนี้เลย เพราะตอนนี้มีมัลแวร์ตัวใหม่ชื่อว่า "RustDuck" กำลังไล่แฮกอุปกรณ์เหล่านี้เพื่อดึงเข้าพวกไปทำเป็นกองทัพบอตเนต (Botnet) เอาไว้ใช้ยิงถล่มเว็บไซต์ชาวบ้าน หรือที่เรารู้จักกันในนามการโจมตีแบบ DDoS (Distributed Denial-of-Service) นั่นเอง

ทางทีมนักวิจัยจาก XLab ของ QiAnXin ได้เริ่มแกะรอยมันมาตั้งแต่เดือนกุมภาพันธ์ปี 2026 นี้ สิ่งที่น่ากลัวไม่ใช่ขนาดของมันในตอนนี้ครับ แต่เป็น "ความเร็วในการพัฒนาตัวเอง" ต่างหาก

ทำไมต้องชื่อ "RustDuck" และมันเจ๋งยังไง?

เดิมทีบอตเนตทั่วไปมักจะเขียนด้วยภาษา C แต่ RustDuck กำลังอยู่ระหว่างการยกเครื่องเขียนขึ้นมาใหม่ด้วย ภาษา Rust ซึ่งทำให้เหล่านักวิจัยแกะรอยและวิเคราะห์ซอร์สโค้ดได้ยากขึ้นมาก ส่วนคำว่า "Duck" นั้นมาจากพฤติกรรมของมันที่ชอบแอบไปเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C&C) ผ่านบริการ Dynamic-DNS ฟรีอย่าง duckdns.org สิ่งที่ทำให้เจ้าเป็ดตัวนี้แสบกว่าตัวอื่น คือมันมีความ "หวาดระแวงขั้นสุด" ก่อนมันจะเริ่มทำงานบนอุปกรณ์ไหน มันจะมี Checklist ตรวจสอบก่อนเสมอว่า:

  • เครื่องนี้เป็นของนักวิจัยที่กำลังล่อซื้อ (Honeypot) อยู่หรือเปล่า?
  • มีโปรแกรมดักจับสัญญาณอย่าง Wireshark เปิดอยู่ไหม?
  • เป็นระบบจำลอง (Virtual Machine) หรือเปล่า?
ถ้าคะแนนความเสี่ยงเกินเกณฑ์ มันจะทำการ "ลบพยานหลักฐานและตัวเองทิ้งทันที" ก่อนที่นักวิจัยจะได้ทันเห็นมันทำงานด้วยซ้ำ! นี่ยังไม่นับรวมระบบเข้ารหัสการคุยกันของมันที่ใช้ระดับทหาร (ChaCha20-Poly1305 และ AES-GCM) แถมเปลี่ยนคีย์ถอดรหัสทุกๆ 10 นาทีอีกต่างหาก เรียกได้ว่าซ่อนตัวเนียนสุดๆ

มันเจาะเข้ามาในบ้านเราได้ยังไง?

RustDuck ไม่ได้ใช้ทริคพิสดารอะไรเลยครับ แต่มันใช้การสุ่มโจมตีใน 3 ช่องทางหลักๆ ที่คนมักมองข้าม:

  1. รหัสผ่านสุดเดาจัด: ไล่สุ่มล็อกอินเข้าอุปกรณ์ที่เปิดช่องทาง Telnet หรือ SSH ทิ้งไว้บนโลกอินเทอร์เน็ตโดยใช้รหัสผ่านโรงงาน หรือรหัสง่ายๆ
  2. ช่องโหว่เก่าที่ไม่มีคนอุด (Unpatched Bugs): มันตามไล่ล่าอุปกรณ์ที่มีช่องโหว่ โดยเฉพาะกล้องและเครื่องบันทึก DVR ของ TVT, รวมถึงเราเตอร์ Ruijie, TP-Link, ZTE และช่องโหว่ในตำนานอย่าง CVE-2017-17215 ของเราเตอร์ Huawei รวมถึงช่องโหว่ใหม่อย่าง CVE-2025-29635 ในเราเตอร์ D-Link DIR-823X และ CVE-2024-1781 ใน Totolink X6000R
  3. ซอฟต์แวร์ฝั่งเซิร์ฟเวอร์: ลามไปถึงระบบองค์กรอย่าง ThinkPHP, Jenkins และ Hadoop YARN ด้วย

เราจะป้องกันตัวอย่างไรได้บ้าง?

เนื่องจาก RustDuck เป็นมัลแวร์ ไม่ใช่บั๊กของระบบ ดังนั้นจึงไม่มี "แพตช์" ตัวไหนที่จะมากดอัปเดตแล้วหายขาด วิธีรับมือที่ดีที่สุดคือการปิดประตูบ้านให้แน่นหนาครับ:

  • ปิดช่องทางเสี่ยง: ปิดระบบรีโมทจัดการระยะไกล (Remote Management) รวมถึง Android Debug Bridge (ADB), Telnet, และ SSH หากไม่ได้ใช้งาน หรือถ้าจำเป็นต้องใช้ ห้าม ใช้รหัสผ่านเดิมๆ จากโรงงานเด็ดขาด
  • อัปเดตและโละของเก่า: หากใช้อุปกรณ์ที่ผู้ผลิตหยุดซัพพอร์ตไปแล้ว (End-of-Life) อย่างเช่นเราเตอร์ D-Link หรือ Totolink รุ่นเก่าๆ แนะนำให้เปลี่ยนใหม่เลยครับ เพราะจะไม่มีแพตช์ความปลอดภัยใหม่ออกมาแก้แล้ว ฝืนใช้ต่อไปก็เท่ากับเปิดบ้านรับโจร
  • อัปเดตและโละของเก่า: หากใช้อุปกรณ์ที่ผู้ผลิตหยุดซัพพอร์ตไปแล้ว (End-of-Life) อย่างเช่นเราเตอร์ D-Link หรือ Totolink รุ่นเก่าๆ แนะนำให้เปลี่ยนใหม่เลยครับ เพราะจะไม่มีแพตช์ความปลอดภัยใหม่ออกมาแก้แล้ว ฝืนใช้ต่อไปก็เท่ากับเปิดบ้านรับโจร
แม้ว่าปัจจุบัน RustDuck จะยังเป็นบอตเนตขนาดเล็กเมื่อเทียบกับยักษ์ใหญ่อย่าง AISURU ที่เคยอาละวาดหนักจนโดนทลายไปเมื่อต้นปี แต่เทคนิคการเขียนด้วย Rust พ่วงด้วยระบบหลบหลีกอัจฉริยะแบบนี้ อีกไม่นานกลุ่มแฮกเกอร์รายอื่นก็น่าจะก๊อปปี้เอาไปใช้ตามๆ กันแน่นอนครับ... ป้องกันตัวเองไว้ก่อนดีที่สุด!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก