นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดเกี่ยวกับ Botnet ที่มีจำนวนมากที่สุดในโลก ซึ่งถูกใช้โจมตีอย่างแพร่หลายตั้งแต่เมื่อ 6 ปีที่ผ่านมา โดยทำให้อุปกรณ์กว่า 1.6 ล้านเครื่องติดไวรัสในประเทศจีน โดยมีเป้าหมายเพื่อใช้ในการโจมตีแบบ Distributed denial-of-service (DDoS) และแทรกโฆษณาลงในเว็บไซต์สำหรับโจมตีผู้ใช้งานที่ไม่ได้ระมัดระวัง
ทีมรักษาความปลอดภัย Netlab ของ Qihoo 360 ได้ขนานนาม Botnet ตัวนี้ว่า “Pink” ตามตัวอย่างได้รับมาเมื่อวันที่ 21 พฤศจิกายน 2562 เนื่องจากมีชื่อฟังก์ชั่นจำนวนมากขึ้นต้นด้วยสีชมพู โดยส่วนใหญ่ Botnet จะกำหนดเป้าหมายโจมตีไปยัง fiber routers แบบ MIPS หรือใช้ประโยชน์จาก third-party service เช่น GitHub หรือเครือข่าย P2P และ C2 Server สำหรับส่งคำสั่งไปยังอุปกรณ์ที่ถูกควบคุม
หลังจากนักวิเคราะห์ได้ดำเนินการวิเคราะห์ร่วมกับ Vendor และทีมเทคนิค จาก CNCERT/CC ของจีน ก็ได้กล่าวหลังจากการวิเคราะห์ว่า “Pink” ยังได้มีการแข่งขันกับ Vendor เพื่อเข้าควบคุมอุปกรณ์ที่ติดไวรัส ในขณะ Vendor พยายามที่จะแก้ไขปัญหาที่เกิดขึ้นจากไวรัส แต่ Bot master ก็จะสังเกตการกระทำของ Vendor แบบเรียลไทม์เช่นกัน และจะทำการอัพเดท Firmware ของ Botnet หลายตัวบน Fiber router ตามลำดับ
และที่น่าสนใจคือ PINK ได้ใช้ DNS-Over-HTTPS(DoH) ซึ่งเป็นโปรโตคอลที่ใช้สำหรับแก้ไขระบบชื่อโดเมนจากระยะไกลผ่าน HTTPS เพื่อเชื่อมต่อกับ Controller ที่ระบุไฟล์การกำหนดค่าที่ส่งผ่านทาง GitHub หรือ Baidu Tieba หรือ domain ที่มีการใส่ Hard-coded ลงไปแล้ว
Zombie Node มากกว่า 96% เป็นส่วนหนึ่งของเครือข่าย Bot ขนาดใหญ่พิเศษที่ตั้งอยู่ในประเทศจีน ซึ่งทางบริษัทรักษาความปลอดภัยทางไซเบอร์ในกรุงปักกิ่ง NSFOCUS ได้ระบุในรายงานว่า ผู้โจมตีบุกเข้าไปในอุปกรณ์เพื่อติดตั้งโปรแกรมที่เป็นอันตราย โดยใช้ประโยชน์จากช่องโหว่ 0-Day ในอุปกรณ์เกตเวย์เครือข่าย ถึงแม้ว่าอุปกรณ์ส่วนมากจะได้รับการแก้ไข และกู้คืนสถานะก่อนหน้านี้ในเดือนกรกฎาคม 2563 แล้วก็ตาม แต่ Botnet ก็ยังคงทำงานอยู่ ซึ่งประกอบไปด้วยโหนดกว่า 100,000 โหนด และด้วยการโจมตี DDoS เกือบ 100 ครั้ง โดย Botnet จนถึงปัจจุบันนี้ เป็นข้อบ่งชี้อีกประการหนึ่งว่า Botnet มีความสามารถที่หลากหลายสำหรับผู้โจมตีให้ใช้ในการบุกรุกได้มากขึ้น ซึ่งอุปกรณ์ Internet of Things (IOT) ได้กลายเป็นเป้าหมายที่น่าสนใจสำหรับกลุ่ม Advanced Persistent Threats (APT)
ที่มา: thehackernews