กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง
กระทรวงยุติธรรมได้ร่วมมือกับ Lumen และตำรวจในเนเธอร์แลนด์ และไทยเพื่อรื้อถอนบริการพร็อกซีที่ชื่อว่า Anyproxy และ 5socks โดยได้ทำการยึดโดเมนของบริการทั้งสอง และ Lumen ได้จัดการกับโครงสร้างพื้นฐานโดยการใช้ null-routing เพื่อบล็อกการรับส่งข้อมูลทั้งหมดไปยังจุดควบคุม
กระทรวงยุติธรรมยังได้เปิดเผยคำฟ้องที่กล่าวหา 4 บุคคลว่าเกี่ยวข้องกับการดำเนินงานของบริการเหล่านี้ ผู้ต้องสงสัยเป็นชาวรัสเซีย ได้แก่ Alexey Viktorovich Chertkov (37 ปี), Kirill Vladimirovich Morozov (41 ปี), และ Aleksandr Aleksandrovich Shishkin (36 ปี) ส่วนผู้ต้องสงสัยรายที่สี่คือ Dmitriy Rubtsov ชาวคาซัคสถานวัย 38 ปี
ผู้ต้องสงสัยทั้งหมดยังคงหลบหนี และยังไม่แน่ชัดว่าจะสามารถนำตัวมาดำเนินคดีในสหรัฐอเมริกาได้หรือไม่
พวกเขาถูกกล่าวหาว่าใช้ช่องโหว่ที่เป็นที่รู้จัก เพื่อควบคุมเราเตอร์รุ่นเก่าในบ้าน และอุปกรณ์ IoT หลายพันเครื่อง โดยผู้ต้องสงสัยได้ติดตั้งมัลแวร์เพื่อใช้ประโยชน์จากอุปกรณ์เหล่านี้เป็นบริการพร็อกซีที่สามารถใช้ทำปฏิบัติการที่เป็นอันตรายโดยไม่สามารถระบุตัวตนได้
บริการพร็อกซีสำหรับที่พักอาศัยเช่นนี้ สามารถถูกนำไปใช้ในการ ad fraud, การโจมตีแบบ brute-force, การโจมตีแบบ DDoS และการใช้ประโยชน์จากข้อมูลผู้ใช้ที่ถูกเจาะระบบ
Black Lotus Labs ระบุว่า“เมื่อพิจารณาจากแหล่งที่มา มีเพียงประมาณ 10% เท่านั้นที่ถูกตรวจพบว่าเป็นอันตรายโดยเครื่องมือตรวจจับยอดนิยมอย่าง VirusTotal ซึ่งหมายความว่าพวกเขาสามารถหลีกเลี่ยงการตรวจจับของเครื่องมือตรวจสอบเครือข่ายได้อย่างมีประสิทธิภาพสูง”
เว็บไซต์ 5socks ดำเนินการมานานกว่า 20 ปี แต่เพิ่งได้รับความสนใจจากหน่วยงาน และวงการความปลอดภัยไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา โดยได้โฆษณาพร็อกซีกว่า 7,000 รายการทั่วโลก โดยมีราคาตั้งแต่ $10 ถึง $110 ต่อเดือน (ชำระด้วยคริปโตฯ) เชื่อกันว่าผู้ต้องสงสัยชาวรัสเซีย และคาซัคสถานทำเงินได้มากกว่า 46 ล้านดอลลาร์จากการให้เช่าอุปกรณ์ที่ถูกแฮ็กเหล่านี้
ขณะที่เว็บไซต์ 5socks โฆษณาพร็อกซีจำนวน 7,000 รายการ Black Lotus Labs พบว่า มีพร็อกซีที่ใช้งานจริงประมาณ 1,000 รายการต่อสัปดาห์ในกว่า 80 ประเทศ อย่างไรก็ตาม มากกว่าครึ่งหนึ่งของเหยื่อถูกพบในสหรัฐอเมริกา
โดยการโจมตีอุปกรณ์ที่ถึงช่วงสิ้นสุดอายุการใช้งาน (EOL) อาชญากรไซเบอร์สามารถใช้ Bot ได้โดยไม่จำเป็นต้องใช้ช่องโหว่ zero-day
เมื่อสัปดาห์ที่แล้ว FBI ได้ออกคำเตือนเพื่อเตือนผู้ใช้เกี่ยวกับความเสี่ยงที่เราเตอร์ EOL จะถูกแฮ็ก และนำไปใช้เป็นเซิร์ฟเวอร์พร็อกซี หน่วยงานได้แชร์ TheMoon เป็นตัวอย่างของมัลแวร์ที่ใช้ในการโจมตีดังกล่าว
คำเตือนของ FBI อาจจะจะเกี่ยวข้องกับบริการ Anyproxy และ 5socks เนื่องจากการปฏิบัติการบังคับใช้กฎหมายที่มุ่งเป้าไปที่บริการเหล่านี้มีชื่อว่า Operation Moonlander
ตามที่กระทรวงยุติธรรม และ Black Lotus Labs ระบุไว้ โดเมน Anyproxy.net และ 5socks.net ถูกจัดการโดยบริษัทที่ตั้งอยู่ในรัฐเวอร์จิเนีย และเว็บไซต์เหล่านี้ถูกโฮสต์บนเซิร์ฟเวอร์ทั่วโลก โครงสร้างพื้นฐานการควบคุม และคำสั่งตั้งอยู่ในตุรกี
FBI ได้ยึดโดเมน และพันธมิตรด้านการบังคับใช้กฎหมายต่างประเทศได้มุ่งเป้าไปที่ components ที่อยู่ต่างประเทศของบอตเน็ต
Black Lotus Labs ได้แชร์ IoCs ที่เกี่ยวข้องกับภัยคุกคามนี้ พร้อมทั้งคำแนะนำสำหรับผู้บริโภค และผู้ดูแลเครือข่ายองค์กร โดยยังไม่ได้แชร์ข้อมูลเกี่ยวกับมัลแวร์เอง เนื่องจากอุปกรณ์ที่ถูกโจมตีเหล่านี้สามารถถูกแฮ็กได้ง่าย และอาจถูกโจมตีซ้ำโดยผู้อื่นได้
ที่มา : securityweek
You must be logged in to post a comment.