กลายเป็นเรื่องขึ้นมา เมื่อมีคนไปค้นพบว่า Capcom แอบไปฝัง rootkit ไว้ในเกม Street Fighter V เวอร์ชันล่าสุดบนพีซี โดยบริษัทอ้างว่าฝังไว้เพื่อป้องกันไม่ให้ผู้เล่นโกงเกม แต่ผลกลับเป็นว่าตัวซอฟต์แวร์เขียนมาไม่ดีพอ และกลายเป็น backdoor ให้กับคอมพิวเตอร์ของผู้เล่นได้

ตามปกติแล้ว ซีพียูยุคปัจจุบันมีชุดคำสั่งชื่อ SMEP (Supervisor Mode Execution Protection) เอาไว้ "ป้องกัน" การรันโค้ดในหน่วยความจำโดยตรง เพื่อปิดโอกาสไม่ให้แฮ็กเกอร์หลอกระบบปฏิบัติการ แล้วนำโค้ดไปรันได้ง่าย

Trend Micro รายงานถึงบริการหนึ่งของ Hacking Team จากเอกสารที่หลุดออกมาเป็น rootkit สำหรับ Insyde BIOS ที่ได้รับความนิยมสูงในหมู่ผู้ผลิตโน้ตบุ๊ก พร้อมกับบริการสร้าง rootkit สำหรับไบออสรุ่นอื่นๆ หากลูกค้าต้องการ

บริการนี้จำเป็นต้องติดตั้งที่ตัวเครื่องโดยตรง เช่นการดักแก้ไขเครื่องก่อนส่งถึงมือลูกค้า แต่ Trend Micro เตือนว่ายังมีความเป็นไปได้ที่ rootkit นี้จะถูกติดตั้งจากระยะไกล

เมื่อวันที่ 29 พฤษภาคม 2015 นักวิจัยด้านความปลอดภัย Pedro Vilaca ได้โพสต์เปิดเผยช่องโหว่ของ Mac OS X ที่ปล่อยให้ผู้ไม่ประสงค์ดีสามารถเข้ามาแฟลช BIOS และฝัง rootkit ได้ผ่านการโจมตีระยะไกล

มีรายงานจากผู้ดูแลระบบที่ใช้ Debian Squeeze และ niginx 1.2.3 พบผู้ใช้เว็บของตัวเองรายงานว่าเว็บมีการ redirect ไปยังเว็บมัลแวร์ในบางครั้ง โดยเมื่อตรวจสอบซ้ำก็พบว่ามีการแทรก iframe ของเว็บมัลแวร์เข้าไปใน HTTP Reply จริง

เมื่อผู้ดูแลระบบคนนี้เข้าตรวจสอบ nginx ของตัวเองด้วยคำสั่ง strace กลับไม่พบว่า nginx พยายามส่งข้อมูลออกไปยังเน็ตเวิร์คที่พยายามเขียน iframe ดังกล่าวแต่อย่างใด จึงเข้าตรวจสอบ kernel แล้วจึงพบว่ามี rootkit ในเคอร์เนลเรียกฟังก์ชั่น write_startup_c และ get_http_inj_fr ที่ถูกฝังเข้ามา จากการวิเคราะห์พบว่า rootkit นี้ยังอยู่ระหว่างการพัฒนา มันมีขนาดถึง 500KB แต่ส่วนใหญ่เป็นข้อมูลดีบัก

มหากาพย์เรื่องนี้เริ่มมาได้ 2-3 สัปดาห์แล้ว แต่เพิ่งมาปะทุเป็นข่าวใหญ่เมื่อวานนี้เอง

ศูนย์กลางของข่าวนี้อยู่ที่บริษัท Carrier IQ ซึ่งทำซอฟต์แวร์ชื่อ Mobile Intelligence เพื่อให้ผู้ผลิตฮาร์ดแวร์และโอเปอเรเตอร์รู้ข้อมูลของมือถือที่อยู่ในเครือข่าย ทาง Carrier IQ ระบุว่าซอฟต์แวร์นี้จะช่วยให้ผู้ผลิตฮาร์ดแวร์และโอเปอเรเตอร์เข้าใจกระบวนการทำงานของมือถือมากขึ้น และนำข้อมูลส่วนนี้ไปปรับปรุงผลิตภัณฑ์-เครือข่ายได้

บริษัทด้านความปลอดภัยในประเทศจีน ค้นพบมัลแวร์ชนิดใหม่ชื่อ Mebromi ซึ่งกำลังระบาดในประเทศจีน ที่น่าสนใจคือมันเล่นงานคอมพิวเตอร์ตั้งแต่ระดับ BIOS ขึ้นมาเลยทีเดียว

กระบวนการทำงานของมันจะซับซ้อนหน่อย เริ่มจากมันจะหาทางติดตั้งไดรเวอร์ปลอมๆ ที่ทำงานในระดับเคอร์เนล (kernel mode driver) เพื่อเข้าถึง physical memory ในเครื่อง เมื่อติดตั้งไดรเวอร์และเข้าถึง physical memory ได้แล้ว มันจะตรวจสอบที่ตำแหน่ง 0xF0000 ว่ามี BIOS อยู่หรือไม่ (ซึ่งส่วนมากมักจะใช่) และเรียกโปรแกรมเขียน BIOS (ซึ่งเป็นของแท้จากบริษัทผลิต BIOS เสียด้วย) มาเขียนโค้ด rootkit ลงไปที่ BIOS

บริษัทความปลอดภัย Avast เก็บสถิติพีซีที่ใช้วินโดวส์กว่า 600,000 เครื่อง และพบว่า 74% ของ rootkit ที่พบอยู่บน Windows XP

สถิติของ Avast บอกว่า XP มีส่วนแบ่ง 58% ของวินโดวส์ทั้งหมด ในขณะที่ Windows 7 ซึ่งมีส่วนแบ่ง 31% นั้นติด rootkit เพียง 12% ของคอมพิวเตอร์ที่สำรวจ

Avast บอกว่าเหตุผลของตัวเลขนี้มาจาก Windows 7 มีระบบความปลอดภัยดีกว่า และผู้ใช้ XP จำนวนมากละเมิดลิขสิทธิ์ ทำให้ไม่กล้าอัพจาก SP2 เป็น SP3 ที่แก้ปัญหาด้านความปลอดภัยไปมาก (ไมโครซอฟท์หยุดออกแพตช์ให้ XP SP2 มาประมาณหนึ่งปีแล้ว)

ผู้เชี่ยวชาญด้านความปลอดภัยในแคนาดาชื่อ Mohamed Hassan ได้ค้นพบ rootkit หรือซอฟต์แวร์ที่แอบฝังอยู่ในโน้ตบุ๊กของซัมซุงบางรุ่น ซึ่งจะคอย "ดัก" ข้อมูลทุกอย่างที่ผู้ใช้ป้อนผ่านคีย์บอร์ด และอาจส่งกลับไปยังเซิร์ฟเวอร์บนอินเทอร์เน็ต

Hassan ใช้โน้ตบุ๊ก Samsung R525 ซื้อเมื่อเดือนกุมภาพันธ์ เขาพบพฤติกรรมแปลกๆ บนเครื่องจึงลองตรวจสอบ เขาพบว่ามีโปรแกรมชื่อ StarLogger แอบอยู่ที่ c:\windows\SL และเริ่มทำงานทุกครั้งที่เปิดเครื่อง

ต่อจากข่าว เฟิร์มแวร์ตัวใหม่ของ PS3 แอบฝัง Rootkit?

ทาง Chris Boyd นักวิจัยด้านความปลอดภัยจากบริษัท GFI Security ซึ่งเชี่ยวชาญด้านความปลอดภัยของระบบเกมออนไลน์ ให้ความเห็นว่าโซนี่เคยระบุไว้ในเงื่อนไขการใช้งานตั้งแต่ปี 2006 ว่า PS3 จะเชื่อมต่อกับเซิร์ฟเวอร์ของโซนี่เพื่อตรวจเช็คอาการต่างๆ ของระบบ และผู้ใช้ PS3 ทุกคนต้องยอมรับเงื่อนไขนี้อยู่แล้ว (เพียงแต่ไม่มีใครอ่านเท่านั้น)

เขายังบอกว่าเฟิร์มแวร์ตัวนี้ไม่ก่อให้เกิดอันตรายใดๆ เว้นเสียแต่จะบล็อคการปรับแต่งเฟิร์มแวร์เท่านั้น และเทียบไม่ได้เลยกับกรณี CD Rootkit ของโซนี่ในอดีต

ที่มา - The Register

มีรายงานอย่างไม่เป็นทางการมาจากชุมชนนักแฮ็กชื่อ Jailbreak Scene ว่าเฟิร์มแวร์ 3.56 รุ่นล่าสุดของ PS3 แอบฝังโค้ดที่ใช้ตรวจสอบระบบมาด้วย ทำให้โซนี่สามารถตรวจสอบได้ว่า PS3 เครื่องนี้แอบลงเฟิร์มแวร์รุ่นปรับแต่งเอง หรือลงแอพพลิเคชันที่พัฒนาเอง (homebrew application) หรือไม่

ตามข่าวบอกว่าโซนี่สามารถสั่งรันโค้ดนี้ได้ตลอดเวลาที่ PS3 เชื่อมต่อกับอินเทอร์เน็ต อย่างไรก็ตามยังไม่มีรายงานว่าโซนี่เคยสั่งใช้โค้ดนี้แล้วจริงๆ และไม่มีข้อมูลว่าถ้าโซนี่ตรวจพบอะไรผิดปกติ แล้วจะมีมาตรการอะไรบ้าง (เช่น อาจจะแบน PS3 เครื่องนั้นออกจาก PlayStation Network)

เมื่อหลายปีก่อน โซนี่เคยมีกรณีแอบฝัง rootkit มาในแผ่นซีดีเพลงของตัวเองเพื่อป้องกันก็อปปี้ จนเป็นข่าวใหญ่โตมาแล้ว