พบเราเตอร์ชื่อดังหลายแบรนด์ ตกเป็นเป้าของมัลแวร์ล่องหน เจาะจุดอ่อนเข้าควบคุมระบบจากทางไกล

ผู้ใช้งานทั่วไปมักจะให้ความสนใจกับการรักษาความปลอดภัยในส่วนของระบบปฏิบัติการด้วยการใช้งานซอฟต์แวร์รักษาความปลอดภัยหลากชนิดมากกว่าฮาร์ดแวร์ที่เกี่ยวข้องกับการติดต่อกับเครือข่าย ที่ในความเป็นจริงแล้วมักตกเป็นเป้าของการโจมตีโดยแฮกเกอร์ไม่แพ้ตัวระบบปฏิบัติการ เนื่องจากอุปกรณ์เหล่านี้ เช่น เราเตอร์ นั้นมีความใกล้ชิด และเรียกได้ว่าเป็นด่านหน้าในการติดต่อกับเครือข่ายอินเทอร์เน็ต

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์นกต่อ (Loader) แบบล่องหนเพื่อแพร่กระจายมัลแวร์ประเภทเปลี่ยนเครื่องของเหยื่อเป็นบอทร่วมโจมตีระบบที่ใหญ่กว่า หรือ Botnet ที่มีชื่อว่า “Gayfemboy” ผ่านการยิงเจาะ (Injection) หน้าจอการตั้งค่าแบบ Web Service ของอุปกรณ์ด้านเครือข่ายมากมายหลายตัว รวมถึงเราเตอร์แบรนด์ดังหลายแบรนด์ เช่น DrayTek, TP-Link, Raisecom, และ Cisco โดยปัจจุบันมัลแวร์ดังกล่าวกำลังระบาดอยู่ในหลายประเทศอย่างเช่น สหรัฐอเมริกา, บราซิล, เม็กซิโก, เยอรมนี, ฝรั่งเศส, สวิสเซอร์เแลนด์, อิสราเอล และเวียดนาม ซึ่งการโจมตีนั้นจะมุ่งเน้นการโจมตีไปยังกลุ่มอุตสาหกรรมหลากรูปแบบตั้งแต่ภาคการผลิต ไปยังกลุ่มอุตสาหกรรมด้านสื่อ

ในขั้นตอนการโจมตีนั้น แฮกเกอร์จะทำการส่ง HTTP Requests ไปยังอุปกรณ์เป้าหมายซึ่งจะนำไปสู่การดาวน์โหลด และรันสคริปท์ที่ทำหน้าที่เป็น Loader ซึ่งถูกออกแบบมาให้เหมาะสมกับอุปกรณ์แต่ละรูปแบบในแต่ละแบรนด์อย่างเงียบเชียบ ซึ่งหลังจากสคริปท์ดังกล่าวนั้นถูกรันขึ้นมา ก็จะนำไปสู่การดาวน์โหลดมัลแวร์ตัวหลัก (Payload) ลงมาติดตั้ง หลังจากที่มัลแวร์สามารถเข้าถึงระบบของเหยื่อได้แล้ว ตัวมัลแวร์จะทำการอัปเกรดสิทธิ์ในการเข้าถึงระบบในระดับผู้ดูแลขั้นสูงสุด หรือ Root เพื่อให้สามารถทำการสำรวจลาดเลา (Reconnaissance) และ เคลื่อนย้ายในแนวขวางเพื่อแพร่กระจายมัลแวร์บนระบบเครือข่ายภายใน (Lateral Movement) นอกจากนั้นด้วยสิทธิ์สูงสุดในการเข้าถึงอุปกรณ์ ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างเบ็ดเสร็จอีกด้วย

ในส่วนของมูลเชิงเทคนิคของมัลแวร์ “Gayfemboy” ก็เรียกได้ว่ามีหลายอย่างที่น่าสนใจ ทั้งการใช้งาน URI Path ที่ถูกสร้างขึ้นมาโดยเฉพาะเพื่อใช้ในการยิงเจาะคำสั่ง (Command Injection) ลงไปบน Web Interface ของเราเตอร์โดยตรง เช่น การแอบสอดแทรกคำสั่ง Shell ไว้บนพารามิเตอร์ (Parameter) Country ซึ่งส่งผลให้เกิดการดาวน์โหลดและติดตั้ง Payload โดยสคริปท์มัลแวร์ที่ใช้งานนั้นถึงแม้จะแตกต่างไปตามรุ่น และยี่ห้อของอุปกรณ์ แต่ก็มักจะทำงานไปตามขั้นตอนรูปแบบเดียวกันคือ

• ดัดแปลงโฟลเดอร์ที่สามารถเขียนได้ (Writable Directory)
• ดาวน์โหลดตัวมัลแวร์ Loader ลงมา
• มอบสิทธิ์ในการเข้าถึงระบบให้มัลแวร์
• สร้างรหัสยืนยันตัวเครื่องที่ติดมัลแวร์ (Identifer)
• ลบร่องรอยการติดตั้งมัลแวร์

นอกจากนั้น ยังมีการสอดส่องติดตามโฟลเดอร์ /proc/[PID]/exe ตลอดเวลาเพื่อคอยกำจัดมัลแวร์ตัวอื่นที่เข้ามาแข่งขันในการฝังตัวเองลงบนอุปกรณ์ เพื่อที่ตัวมัลแวร์ “Gayfemboy” จะสามารถมีสิทธิ์ในการใช้งานอุปกรณ์ของเหยื่อได้อย่างเด็ดขาด 

สำหรับส่วนโครงสร้างพื้นฐานของการทำงานของตัวมัลแวร์นั้น ทางทีมวิจัยพบว่าการโจมตีนั้นถูกจับได้ว่ามีที่มาจากหมายเลข IP ที่ 87.121.84.34 ขณะที่ตัวมัลแวร์นั้นถูกดาวน์โหลดมาจากหมายเลข IP ที่ 220.158.234.135 ซึ่งอาจเป็นหมายเลข IP ของเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) โดยชื่อไฟล์มัลแวร์ที่ถูกดาวน์โหลดมามักจะดูธรรมดา ๆ ไม่มีพิษมีภ้ยหรือผิดสังเกต ซึ่งชื่อไฟล์นั้นจะแตกต่างกันไปตามสถาปัตยกรรมของอุปกรณ์ปลายทาง เช่น  “aalel” สำหรับ AArch และ “xale” สำหรับ x86-64 ที่มีการใช้งาน UPX Packer พร้อม Header แบบพิเศษ (Magic Header) เพื่อป้องกันการถูกคลายไฟล์อย่างอัตโนมัติ และ รับประกันการคงอยู่บนระบบ (Persistent) ในส่วนของการดาวน์โหลดไฟล์และรับส่งคำสั่งนั้น ทางทีมวิจัยจาก Fortinet บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ในระดับองค์กร รายงานว่า มัลแวร์มีการใช้งานโปรโตคอลการสื่อสารทั้งแบบ HTTP และ TFTP ตามแต่ว่าอุปกรณ์ปลายทางจะรองรับบ้างการสื่อสารแบบใด เพื่อรับประกันความสำเร็จในการทำงานของการทำงานของมัลแวร์ถึงแม้จะมีข้อจำกัดในการติดต่อแบบขาออก (Outbound Connections)

ทางแหล่งข่าวได้แนะนำวิธีการป้องกันการถูกโจมตีด้วยวิธีการดังกล่าวว่า สามารถป้องกันได้เพียงแค่อัปเดตเฟิร์มแวร์เราเตอร์บ่อย ๆ และทำการแบ่งระบบเครือข่ายภายในให้เป็นหลายส่วน (Network Segmentation) เพื่อจำกัดความเสียหายและช่วยให้ผู้เชี่ยวชาญสามารถจัดการกับมัลแวร์ได้ง่ายขึ้นในกรณีที่ติดมัลแวร์