นักวิจัยพบว่าจำนวนอุปกรณ์ Cisco IOS XE ที่ถูกโจมตี โดย backdoor ได้ลดลงอย่างลึกลับ โดยพบว่าอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่มากกว่า 50,000 เครื่อง ได้ลดลงเหลือเพียงไม่กี่ร้อยเครื่อง โดยนักวิจัยยังไม่สามารถบอกได้ว่าอะไรเป็นสาเหตุของการลดลงอย่างรวดเร็วนี้
โดยในเดือนตุลาคม 2023 ทาง Cisco ได้แจ้งเตือนการพบ Hacker ได้ใช้ช่องโหว่ Zero-day สองช่องโหว่ได้แก่ CVE-2023-20198 และ CVE-2023-20273 ในการโจมตีอุปกรณ์ Cisco IOS XE มากกว่า 50,000 เครื่องเพื่อสร้าง privileged user accounts และติดตั้ง LUA backdoor ที่เป็นอันตรายบนเครื่องที่ถูกโจมตี ซึ่งการฝัง LUA backdoor ไปในระบบทำให้ Hacker สามารถเรียกใช้คำสั่งจากระยะไกล ด้วยสิทธิ์ privilege level 15 ซึ่งเป็นระดับสิทธิ์สูงสุดบนอุปกรณ์
แต่การฝัง LUA backdoor ไว้ในเครื่อง ไม่สามารถทำให้ LUA อยู่ตลอดไปได้ เนื่องจากการรีบูตจะทำให้ backdoor ถูกลบออกไป แต่อย่างไรก็ตาม privileged user accounts ที่ถูกสร้างขึ้นในการโจมตีจะยังคงอยู่
นับตั้งแต่มีการเปิดเผยช่องโหว่ Zero-day บริษัท และนักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่าอุปกรณ์ Cisco ISO XE ประมาณ 60,000 เครื่องจากทั้งหมด 80,000 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ตถูกโจมตีไปแล้วด้วยช่องโหว่ดังกล่าว
การลดลงอย่างแปลกประหลาดของ Cisco IOS XE ที่ถูกโจมตี
ในวันที่ 21 ตุลาคม 2023 บริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่งรายงานว่าจำนวนอุปกรณ์ Cisco IOS XE ที่มีการฝัง backdoor จากช่องโหว่ ได้ลดลงอย่างอย่างแปลกประหลาดจากที่พบประมาณ 60,000 เครื่อง ลดเหลือเพียง 100-1,200 เครื่อง โดยขึ้นอยู่กับพฤติกรรมการสแกนที่แตกต่างกัน
Patrice Auffret ผู้ก่อตั้ง และ CTO ของ Onyphe ให้ข้อมูลกับ BleepingComputer ว่า เขาเชื่อว่า Hacker ที่อยู่เบื้องหลังการโจมตีกำลังทำการอัปเดตบางอย่าง เพื่อซ่อนการโจมตี ส่งผลให้ไม่เห็นพฤติกรรมของการติดมัลแวร์ในการสแกนอีกต่อไป
"เป็นวันที่สองติดต่อกันแล้ว ที่พบว่าจำนวนเครื่องที่มีการติดมัลแวร์ลดลงอย่างมากในช่วงเวลาสั้น ๆ โดยอาจจะเกิดจากการรีบูต (เนื่องจากพบว่าก่อนหน้านี้การรีบูตจะทำให้ backdoor ถูกลบออกไป) หรือมัลแวร์อาจได้รับการปรับปรุงแล้ว แต่พวกเขาเชื่อว่าเป็นการกระทำจากผู้โจมตีที่พยายามแก้ไขปัญหาที่ไม่ควรเกิดขึ้นตั้งแต่แรก ที่เครื่องที่มีการติดมัลแวร์นั้นตรวจพบได้ง่ายจากการสแกน ซึ่งคาดว่าเป็นความผิดพลาดจากฝั่งของผู้โจมตีเอง ทำให้ปัจจุบันผู้โจมตีอาจมีการอัปเดตเพื่อซ่อนสถานะการติดมัลแวร์มากกว่า”
สอดคล้องกับ Piotr Kijewski CEO ของ The Shadowserver Foundation ที่ให้ข้อมูลกับ BleepingComputer ว่า พบว่าเครื่องที่ถูกโจมตีจากช่องโหว่ได้ลดลงอย่างมากนับตั้งแต่วันที่ 21 ตุลาคม 2023 โดยการสแกนพบอุปกรณ์เพียง 107 เครื่องที่ถูกโจมตีจากช่องโหว่ ซึ่งเป็นไปได้ว่าอุปกรณ์ที่ถูกโจมตีจะถูกลบมัลแวร์ออก หรือได้รับการอัปเดตเช่นเดียวกัน
รวมไปถึงยังมีอีกทฤษฎีหนึ่งก็คือ Grey-Hat Hacker กำลังรีบูตอุปกรณ์ Cisco IOS XE ที่ถูกโจมตีเพื่อลบมัลแวร์ในอุปกรณ์โดยอัตโนมัติ โดยแคมเปญที่คล้ายกันเคยเกิดขึ้นในปี 2018 เมื่อ Hacker ได้อ้างว่าได้ทำการอัปเดต MikroTik routers กว่า 100,000 ตัว เพื่อให้ไม่สามารถถูกนำไปใช้ในการโจมตีแบบ cryptojacking และ DDoS ได้
แต่อย่างไรก็ตาม Orange Cyberdefense CERT ได้ให้ข้อมูลกับ BleepingComputer ว่า พวกเขาไม่เชื่อว่า Grey-Hat Hacker จะเป็นผู้อยู่เบื้องหลังการลดจำนวนของเครื่องที่ถูกโจมตีในครั้งนี้ แต่นี่อาจเป็นการแก้ไข และเริ่มทำการโจมตีครั้งใหม่ หรือซ่อนเป้าหมายจากการโจมตีที่แท้จริง
โดย Orange Cyberdefense CERT ได้แจ้งเตือนให้ผู้ดูและระบบดำเนินการตรวจสอบเพื่อให้แน่ใจว่าไม่มีการเพิ่มชื่อผู้ใช้ที่เป็นอันตราย และไม่ได้ถูกแก้ไข Configuration ถึงแม้ว่าจะทำการปิดการใช้งาน WebUI ของ Cisco IOS XE แล้วก็ตาม
เช่นเดียวกับ Daniel Card นักวิจัยด้านความปลอดภัยที่คาดว่า อุปกรณ์จำนวนมากที่ถูกโจมตีด้วยช่องโหว่นั้นเป็นเพียงตัวล่อเพื่อซ่อนเป้าหมายที่แท้จริงในการโจมตี
ซึ่งขณะนี้ยังไม่มีหลักฐาน หรือข้อมูลเพิ่มเติมจากนักวิจัย และ Cisco ที่จะสามารถตรวจสอบอุปกรณ์ Cisco IOS XE ที่ถูกโจมตีก่อนหน้านี้ เพื่อดูว่าอุปกรณ์ดังกล่าวเพิ่งทำการรีบูต หรือมีการเปลี่ยนแปลงใหม่หรือไม่
อัปเดต 23/10/23
บริษัทรักษาความปลอดภัยทางไซเบอร์ Fox-IT อธิบายว่าสาเหตุของการลดลงอย่างกะทันหันของการติดมัลแวร์ที่ตรวจพบนั้นเกิดจากการที่ผู้โจมตีอัปเดตแบ็คดอร์เวอร์ชันใหม่บนอุปกรณ์ Cisco IOS XE
โดยจากข้อมูลของ Fox-IT มัลแวร์เวอร์ชันใหม่จะตรวจสอบ Authorization HTTP header ก่อนที่จะมีการตอบสนอง อ้างอิงจาก LinkedIn post เนื่องจากวิธีการสแกนก่อนหน้านี้ไม่ได้ใช้ Authorization header จึงไม่มีการตอบสนองจากเครื่องที่ติดมัลแวร์ ทำให้ดูเหมือนว่ามันถูกลบออกไปแล้ว
Cisco Talos ยืนยันการเปลี่ยนแปลงในคำแนะนำที่อัปเดต 1, 2 ซึ่งแชร์คำสั่ง curl ใหม่ที่สามารถตรวจจับการติดมัลแวร์บนอุปกรณ์ Cisco ISO XE โดยคำสั่งนี้เหมือนกับวิธีที่แชร์ก่อนหน้า แต่ตอนนี้มีส่วน 'Authorization' header เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์ตอบสนองต่อ Request
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//DEVICEIP/webui/logoutconfirm.