มัลแวร์ AryStinger แทรกซึมเราเตอร์เก่า 4,300 เครื่องเพื่อสร้างเครือข่ายพร็อกซีสำรวจข้อมูล

Lead – ทีมวิจัยความปลอดภัยไซเบอร์ของ XLab (QiAnXin) รายงานว่า มัลแวร์ครอบครัวใหม่ “AryStinger” ได้ทำการติดตั้งบน เราเตอร์บ้านรุ่นเก่ากว่า 4,300 เครื่อง** เพื่อสร้างเครือข่ายพร็อกซีสำรวจข้อมูล (reconnaissance proxy) แทนการทำหน้าที่เป็นบอทเน็ต DDoS แบบดั้งเดิม ความหมายของการเปลี่ยนแปลงนี้ทำให้ขั้นตอนก่อนการบุกรุกของผู้โจมตีมีความลับและซับซ้อนมากยิ่งขึ้น

Overview

การค้นพบ AryStinger แสดงให้เห็นว่าผู้โจมตีกำลังหันไปใช้เราเตอร์ที่มีซอฟต์แวร์เก่าและยังคงเปิดช่องทางการเข้าถึงโดยไม่ได้รับการอัปเดตเป็นเครื่องมือตรวจสอบเครือข่ายก่อนการโจมตีขั้นสุดท้าย รายงานของ XLab ระบุว่ามัลแวร์นี้มีการกระจายอย่างต่อเนื่องและจำนวนอุปกรณ์ที่ติดเชื้อยังคงเพิ่มขึ้นอยู่ การเปลี่ยนแปลงจากการทำบอทเน็ตเพื่อทำ DDoS ไปสู่การสร้างเครือข่ายพร็อกซีทำให้การสังเกตพฤติกรรมของผู้โจมตียากขึ้นและอาจเป็นจุดเริ่มต้นของการทำความลับข้อมูลสำคัญในระบบขององค์กร

How It Works

AryStinger ใช้การสแกนหาอุปกรณ์ที่ยังใช้รหัสผ่านเริ่มต้นหรือมีช่องโหว่ในเฟิร์มแวร์รุ่นเก่าเพื่อทำการเข้าถึงโดยอัตโนมัติ หลังจากการเจาะเข้าไปได้สำเร็จ มัลแวร์จะทำการติดตั้งโมดูลพร็อกซีที่ช่วยให้ผู้โจมตีสามารถส่งข้อมูลผ่านเราเตอร์เหล่านั้นโดยไม่ต้องเปิดเผย IP แหล่งที่มาจริง ๆ โมดูลนี้ยังสามารถทำการสำรวจ (reconnaissance) ระบบภายในเครือข่ายเป้าหมาย เช่น การสแกนพอร์ต การตรวจสอบบริการที่ทำงานอยู่ และการรวบรวมข้อมูลการกำหนดค่าเพื่อเตรียมการโจมตีในขั้นต่อไป

Scale & Detection

ตามข้อมูลของ XLab จำนวน เราเตอร์ที่ติดเชื้อ มีจำนวน 4,300 เครื่อง อย่างน้อยและยังคาดว่าตัวเลขนี้จะเพิ่มขึ้นเรื่อย ๆ เนื่องจากอุปกรณ์เก่ามีการอัปเดตซอฟต์แวร์อย่างจำกัด การตรวจจับ AryStinger จึงต้องอาศัยการเฝ้าระวังพฤติกรรมการรับส่งข้อมูลที่ผิดปกติ เช่น การรับส่งแพ็กเกจที่มีขนาดเล็กแต่บ่อยครั้งในช่วงเวลาที่ไม่คาดคิด การใช้เครื่องมือวิเคราะห์ทราฟฟิกบนเครือข่าย (NetFlow, sFlow) จึงเป็นวิธีหนึ่งที่ช่วยระบุอุปกรณ์ที่อาจถูกแฝงเป็นพร็อกซี

Comparison with Other IoT Malware

แม้ว่า Mirai และรุ่นต่อๆ ไปของมันจะเป็นที่รู้จักกันดีในฐานะบอทเน็ต DDoS แต่ AryStinger มีจุดมุ่งหมายที่แตกต่างอย่างชัดเจน:

• Mirai: มุ่งเน้นการทำให้ระบบล่มด้วยการส่งทราฟฟิกจำนวนมหาศาล
• AryStinger: สร้างเครือข่ายพร็อกซีเพื่อสำรวจและเตรียมการโจมตีขั้นต่อไป

การเปลี่ยนแปลงนี้ทำให้ผู้ป้องกันต้องปรับวิธีการตรวจจับจากการมองหาการจราจรที่สูงไปสู่การตรวจสอบการเชื่อมต่อที่ซ่อนเร้นและการสื่อสารแบบต่อเนื่องระหว่างอุปกรณ์

Security Implications

การที่อุปกรณ์ เราเตอร์บ้าน ถูกแฝงเป็นพร็อกซีสำรวจข้อมูลหมายความว่าข้อมูลส่วนบุคคลและข้อมูลภายในองค์กรอาจถูกส่งผ่านช่องทางที่ผู้ใช้ไม่ทราบ การรั่วไหลของข้อมูลอาจเกิดขึ้นโดยไม่มีสัญญาณเตือนที่ชัดเจน นอกจากนี้ การมีเครือข่ายพร็อกซีกระจายอยู่ในหลายประเทศทำให้การดำเนินคดีตามกฎหมายระหว่างประเทศมีความซับซ้อนมากขึ้น การโจมตีที่เริ่มจากขั้นตอน Reconnaissance นี้ยังทำให้ผู้โจมตีสามารถปรับเปลี่ยนกลยุทธ์ตามสภาพแวดล้อมของเป้าหมายได้อย่างรวดเร็ว

Mitigation Recommendations

เพื่อป้องกันการติดเชื้อของ AryStinger ผู้ดูแลระบบและผู้ใช้ควรดำเนินการตามขั้นตอนต่อไปนี้:

• ปรับรหัสผ่านเริ่มต้นของเราเตอร์ทุกเครื่องให้เป็นรหัสที่คาดเดายาก
• ตรวจสอบและอัปเดตเฟิร์มแวร์ของอุปกรณ์เป็นเวอร์ชันล่าสุดโดยสม่ำเสมอ
• ปิดการเข้าถึงการจัดการอุปกรณ์จากอินเทอร์เน็ตหากไม่จำเป็น
• ใช้ระบบตรวจจับการบุกรุก (IDS/IPS) ที่สามารถระบุพฤติกรรมการสื่อสารของพร็อกซีที่ผิดปกติ

การปฏิบัติตามแนวทางเหล่านี้จะช่วยลดความเสี่ยงของอุปกรณ์ที่กลายเป็นส่วนหนึ่งของเครือข่ายพร็อกซีสำรวจข้อมูล

Summary

AryStinger แสดงให้เห็นว่ามัลแวร์บนอุปกรณ์ IoT กำลังพัฒนาไปสู่การทำหน้าที่เป็นเครื่องมือสำรวจข้อมูลก่อนการโจมตีจริง การติดตามและอัปเดตอุปกรณ์เก่าเป็นสิ่งจำเป็นเพื่อป้องกันการใช้เป็นพร็อกซีในเครือข่ายของผู้โจมตี.