บริษัทวิจัยความปลอดภัย WordFence รายงานพบการโจมตีเว็บไซต์ที่ใช้ WordPress แบบ brute-force ด้วยการสุ่มยูสเซอร์เนมและพาสเวิร์ดเพื่อฝังบอทเน็ต โดยตอนนี้มีเว็บไซต์ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บซึ่งถูกใช้เป็นฐานแพร่บอทเน็ตไปเว็บอื่นๆ ต่อไปด้วย

แฮกเกอร์จะอาศัยการ brute-force ผ่านฟีเจอร์ XML-RPC ที่เปิดให้เว็บอื่นเรียกใช้งาน WordPress โดย WordFence ระบุว่าวิธีนี้มีโอกาสสำเร็จมากขึ้นเมื่อเป็นการโจมตีแบบเหวี่ยงแหทีละหลายๆ เว็บไซต์ เมื่อแฮกเกอร์สามารถเข้าถึงบัญชี WordPress ได้แล้วจะฝังบอทเน็ตที่สั่งงานจากเซิร์ฟเวอร์ C2 4 ตัวผ่านพร็อกซี่เอาไว้

Janit0r ผู้สร้างบอต BickerBot "เคมีบำบัดแห่งอินเทอร์เน็ต" ประกาศหยุดกิจกรรมพร้อมกับปล่อยซอร์สโค้ดบางส่วน พร้อมกับเรียกร้องว่า ISP และผู้ผลิตอุปกรณ์ IoT ทั้งหลายต้องรับผิดชอบต่อความปลอดภัยอินเทอร์เน็ต

BickerBot เริ่มปรากฎตัวครั้งแรกเมื่อเดือนมีนาคมที่ผ่านมา หลังมัลแวร์ Mirai ควบคุมระบบกล้องวงจรปิดจำนวนมาก และยิงข้อมูลไปยังบริการสำคัญๆ อย่าง Dyn จนล่มได้สำเร็จ Janit0r อ้างว่าหลายเดือนที่ผ่านมา BickerBot ทำลายอุปกรณ์ (จนต้องแฟลชเฟิร์มแวร์ใหม่) ไปแล้วกว่า 10 ล้านชุด

The New York Times รายงานว่าในช่วง 2 เดือนที่ผ่านมา Instagram ได้ปิดการเข้าถึงของบรรดาโปรแกรมบอตที่ได้รับความนิยม อาทิ Instagress, PeerBoost, InstaPlus, Mass Planner และ Fan Harvest ทั้งนี้บอตถือเป็นการละเมิดข้อตกลงการใช้งาน Instagram เพียงแต่ที่ผ่านมา Instagram ไม่ได้จริงจังมาก

การทำงานของโปรแกรมบอตเหล่านี้ จะสแกนหาโพสต์ที่ตรงตามเงื่อนไข เช่นการใช้แฮชแท็ก จากนั้นจะแสดงความเห็นด้วยข้อความที่ตั้งไว้, ถูกใจ, ติดตาม เพื่อหวังให้บัญชีเหล่านั้นติดตามกลับ เป็นการเพิ่มตัวเลขวิธีหนึ่ง แต่เมื่อ Instagram เริ่มปิดโปรแกรมบอตเหล่านี้ ก็น่าจะทำให้ตัวเลขผู้ติดตาม, ถูกใจ เป็นตัวเลขที่น่าเชื่อถือขึ้นเพราะเกิดจากผู้ใช้งานที่เป็นคนจริงๆ

ปัญหาอุปกรณ์ IoT ที่ความปลอดภัยต่ำ มักใช้ซอฟต์แวร์เก่าหลายปี กำลังสร้างความเสียหายให้กับอินเทอร์เน็ตอย่างต่อเนื่องในช่วงปีที่ผ่านมาจากการที่กลุ่มแฮกเกอร์ใช้อุปกรณ์เหล่านี้เป็น botnet เพื่อยิงทราฟิกไปยังบริการอื่นๆ จนล่มครั้งใหญ่ๆ หลายครั้ง เช่นการโจมตี Dyn ตอนนี้ก็มีมัลแวร์ BickerBot เริ่มอาละวาดในอินเทอร์เน็ต โดยความพิเศษของมันคือเมื่อติดอุปกรณ์ตัวไหนแล้ว มันจะ "ทำลาย" อุปกรณ์ตัวนั้นเสียด้วยการเขียนข้อมูลสุ่มลงระบบไฟล์ทำให้อุปกรณ์บูตไม่ขึ้นอีก

Radware รายงานว่าเดือนที่ผ่านมา BickerBot ปรากฎตัวออกมาแล้วถึงสี่รุ่น แต่ละรุ่นปรับกระบวนการทำงานไปเล็กน้อย แต่แนวคิดคงเดิมคือเขียนข้อมูลให้ระบบไฟล์พังแล้วตัดการเชื่อมต่ออินเทอร์เน็ต

การเชื่อมต่อพรินเตอร์กับเน็ตเวิร์คส่วนมากมักใช้งานในเครือข่ายออฟฟิศเป็นหลัก แต่พรินเตอร์จำนวนมากก็เปิดพอร์ตสั่งพิมพ์ เช่น 9100, 631, และ 515 ออกสู่อินเทอร์เน็ตเอาไว้ ตอนนี้แฮกเกอร์ที่ใช้ชื่อว่า stackoverflowin ก็เขียนบอตสั่งพรินเตอร์ทั่วโลกพิมพ์ภาพ ASCII ออกมา

มีรายงานภาพที่ถูกสั่งพิมพ์ผ่านอินเทอร์เน็ตตั้งแต่ 3 วันที่ผ่านมา

ช่วงนี้มัลแวร์ Mirai ที่เกิดจากการใช้กล้องวงจรปิดและอุปกรณ์ IoT มีช่องโหว่จำนวนมาก กลับมาเป็นข่าวอีกครั้งเพราะมีรายงานการใช้มัลแวร์ Mirai เจาะระบบเราเตอร์จำนวนมาก (เคสล่าสุดก่อนหน้านี้คือยิงถล่ม Dyn DNS)

เมื่อปลายเดือนพฤศจิกายน มีคนสร้าง Mirai เวอร์ชันใหม่ มุ่งเป้าโจมตีเราเตอร์ DSL สองยี่ห้อคือ Arcadyan Technology และ Zyxel ซึ่งเป็นเราเตอร์ที่บริษัท Deutsche Telekom ของเยอรมนีจัดหาให้ลูกค้าอินเทอร์เน็ต DSL จำนวน 900,000 ราย

ต่อจากข่าว เว็บไซต์ KrebsOnSecurity ถูกถล่มด้วย DDoS ขนาดใหญ่ที่สุดในประวัติศาสตร์ สถิติก็ถูกทำลายอย่างรวดเร็ว เมื่อ OVH เว็บโฮสติ้งรายใหญ่จากฝรั่งเศส รายงานว่าถูกโจมตีด้วย DDoS ทราฟฟิกมหึมาถึง 1Tbps เลยทีเดียว (ของ Krebs คือ 665Gbps) โดยทราฟฟิกก้อนใหญ่ที่สุดที่ถูกยิงเข้ามามีขนาด 799Gbps

Octave Klaba ผู้ก่อตั้ง OVH เผยข้อมูลเรื่องนี้บน Twitter ของเขาเอง โดยระบุว่าตัว botnet ที่ใช้ยิง DDoS เป็นเครือข่ายกล้องวงจรปิดหรือเครื่องบันทึกวิดีโอ (DVR) ที่ติดมัลแวร์จำนวน 1.45 แสนเครื่อง ศักยภาพของมันสามารถยิงทราฟฟิกขนาดมากกว่า 1.5Tbps

Securi รายงานถึงปัญหาของเว็บลูกค้าที่เป็นร้านอัญมณีรายหนึ่งที่ถูกโจมตีแบบ DDoS อย่างต่อเนื่องนานหลายวัน บริษัทพบว่าการโจมตีที่ต่อเนื่องแบบนี้ไม่เจอบ่อยนัก ทีมงานจึงสำรวจดูว่าผู้โจมตีใช้อะไรเป็นเครื่องมือ และพบว่า botnet ที่ใช้โจมตีครั้งนี้มีแต่กล้องวงจรปิดที่เชื่อมต่อกับอินเทอร์เน็ตอย่างเดียว

กล้องวงจรปิดจากหมายเลขไอพีทั้งหมดกว่า 25,000 หมายเลข อยู่ในไต้หวัน 24%, สหรัฐฯ 12%, อินโดนีเซีย 9%, เม็กซิโก 8%, และมาเลเซีย 6% ที่น่าสนใจคือ 5% ของการโจมตียิงมาผ่าน IPv6

ในเวที “ความร่วมมือด้านอาชญากรรมคอมพิวเตอร์สำหรับประเทศกำลังพัฒนา: กรอบระหว่างประเทศ” ในการประชุมการอภิบาลอินเทอร์เน็ตครั้งที่ 9 ตัวแทนสภายุโรปชวนคิดดีๆ อะไรคือสาเหตุที่เราปราบปรามอาชญากรรมไซเบอร์และมาตรการที่เราใช้กันอยู่ขัดแย้งกับจุดประสงค์นั้นไหม ด้านตัวแทนคณะกรรมการการค้าของสหรัฐ เสนอว่ามีมาตรการทางแพ่งเช่นกันที่สามารถใช้คุ้มครองผู้ใช้เน็ตได้

ไมโครซอฟท์มีทีม Digital Crimes Unit ที่มีผลงานทลายกลุ่มเซิร์ฟเวอร์ติดโทรจัน (botnet) มาแล้วหลายครั้ง (ข่าวเก่า 1, ข่าวเก่า 2)

ทีมนี้ของไมโครซอฟท์ทำงานร่วมกับ ISP และหน่วยงานด้านความปลอดภัยไซเบอร์ (Computer Emergency Response Teams - CERT) ทั่วโลก มีการแชร์ข้อมูล botnet ระหว่างกันอยู่เสมอ แต่กระบวนการแชร์ข้อมูลยังล้าสมัย (ผ่านอีเมล) แถมการตรวจสอบเซิร์ฟเวอร์จำนวนมหาศาลทั่วโลก (วันละหลายร้อยล้านครั้ง) ก็ไม่ใช่เรื่องง่าย

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้วแต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

ผมได้เคยเขียนข่าวในรูปแบบนี้ไปครั้งหนึ่งแล้วจากกรณีนักวิจัยด้านความปลอดภัยวัย 17 ปีพบบอทเน็ตบนเครือข่าย Tor ซึ่งในตอนนั้นก็ยังไม่มีข้อมูลมากเท่าไรนัก แต่สำหรับข่าวนี้เป็นการยืนยันในสถานการณ์จริงที่มีการใช้ความสามารถของ Tor ในการสั่งการทำงานของบอทเน็ต

จากงาน DefCon Bangalore นักวิจัยด้านความปลอดภัยชาวอินเดียชื่อ Suriya Prakash วัย 17 ปีได้นำเสนอการค้นพบและวิจัยของเขาในกรณีที่มีการเจอบอทเน็ตเป็นจำนวนมากอยู่บนเครือข่าย Tor

ไมโครซอฟท์มีหน่วยปราบปรามบ็อตเน็ตเป็นของตัวเอง และที่ผ่านมาก็มีปฏิบัติการร่วมกับเจ้าหน้าที่รัฐ ช่วยกันบุกปิดเซิร์ฟเวอร์ของบ็อตเน็ตเหล่านี้อยู่เรื่อยๆ (อ่านข่าว ไมโครซอฟท์จับมือเจ้าหน้าที่รัฐบาล บุกปิดเซิร์ฟเวอร์สำหรับรันโทรจัน Zeus)

ล่าสุด Microsoft Digital Crimes Unit ได้รับคำสั่งศาลสหรัฐให้บล็อคโดเมนจีน 3322.org ซึ่งใช้เป็นเซิร์ฟเวอร์ของมัลแวร์ชื่อ Nitol เพื่อส่งข้อมูลของเครื่องที่ติดมัลแวร์ตัวนี้กลับมายังผู้สร้าง ตามข้อมูลของไมโครซอฟท์บอกว่า 3322.org มีซับโดเมนกว่า 70,000 ชื่อ ใช้สำหรับมัลแวร์กว่า 500 ชนิด

ก่อนเข้าข่าวต้องปูพื้นเล็กน้อยว่า โทรจันสายตระกูล Zeus (เช่น Zeus, SpyEye, Ice-IX) เป็นโทรจันที่แอบฝังตัวในเครื่องของเราเพื่อดักข้อมูลส่วนตัวอย่างรหัสบัตรเครดิตหรือธนาคารออนไลน์ ในขณะที่เรากำลังป้อนข้อมูลเหล่านี้ลงฟอร์มบนหน้าเว็บ