สุริยุปราคาฟักทอง

 (blog.lumen.com)
1 คะแนน โดย GN⁺ 2024-06-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

สรุปรายงานของ Black Lotus Labs

ภาพรวมเหตุการณ์

  • เหตุการณ์เกิดขึ้น: ระหว่างวันที่ 25 ถึง 27 ตุลาคม 2023 เป็นเวลา 72 ชั่วโมง เราเตอร์สำนักงานขนาดเล็ก/ตามบ้าน (SOHO) มากกว่า 600,000 เครื่องที่อยู่ภายใต้ผู้ให้บริการอินเทอร์เน็ต (ISP) รายเดียวออฟไลน์
  • ผลกระทบ: อุปกรณ์ที่ติดมัลแวร์กลายเป็นใช้งานการไม่ได้ถาวร และต้องเปลี่ยนฮาร์ดแวร์
  • สาเหตุหลัก: ยืนยันแล้วว่าโทรจันเข้าถึงระยะไกล (RAT) ชื่อ "Chalubo" เป็นสาเหตุสำคัญ

โทรจัน Chalubo

  • พบครั้งแรก: ถูกค้นพบครั้งแรกในปี 2018
  • ลักษณะเด่น:
    • ลบไฟล์ทั้งหมดออกจากดิสก์และรันอยู่ในหน่วยความจำ
    • ใช้ชื่อโปรเซสแบบสุ่มที่มีอยู่แล้วในอุปกรณ์
    • เข้ารหัสการสื่อสารทั้งหมดกับเซิร์ฟเวอร์สั่งการและควบคุม (C2)
  • ความสามารถ: ใช้โจมตี DDoS และสามารถรันสคริปต์ Lua ได้

กระบวนการติดเชื้อ

  • การเข้าถึงเริ่มต้น: มีความเป็นไปได้สูงว่าเกิดจากการใช้ประโยชน์จากข้อมูลรับรองที่อ่อนแอหรืออินเทอร์เฟซผู้ดูแลระบบที่เปิดเผยสู่ภายนอก
  • ขั้นตอนการติดเชื้อ:
    • ขั้นแรก: เข้าถึงเซิร์ฟเวอร์เพย์โหลดเริ่มต้นผ่านสคริปต์ bash ชื่อ "get_scrpc"
    • ขั้นที่สอง: ดาวน์โหลดและรันสคริปต์และเพย์โหลดเพิ่มเติม
    • ไฟล์สำคัญ: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs เป็นต้น

สถานการณ์การติดเชื้อทั่วโลก

  • ความเคลื่อนไหว: ตั้งแต่เดือนพฤศจิกายน 2023 จนถึงต้นปี 2024 มัลแวร์ Chalubo มีความเคลื่อนไหวอย่างมาก
  • IP ที่ติดเชื้อ: ณ วันที่ 30 ตุลาคม 2023 มี IP ที่ไม่ซ้ำกันติดเชื้อมากกว่า 330,000 รายการ

บทสรุป

  • จุดสังเกตพิเศษ: การโจมตีครั้งนี้จำกัดอยู่ใน ASN เฉพาะ และส่งผลกระทบต่ออุปกรณ์มากกว่า 600,000 เครื่อง
  • เจตนาของผู้โจมตี: ทำให้อุปกรณ์ใช้งานการไม่ได้ผ่านการอัปเดตเฟิร์มแวร์โดยเจตนา
  • คำแนะนำด้านความปลอดภัย:
    • องค์กรที่ดูแลเราเตอร์ SOHO: ห้ามใช้รหัสผ่านเริ่มต้น และต้องเสริมความปลอดภัยของอินเทอร์เฟซผู้ดูแลระบบ
    • ผู้ใช้ทั่วไป: รีบูตเราเตอร์เป็นประจำและติดตั้งอัปเดตความปลอดภัย

ความเห็นของ GN⁺

  • ประเด็นที่น่าสนใจ: เหตุการณ์นี้เกิดขึ้นกับ ISP รายเดียวเท่านั้น และถือว่าผิดปกติมากที่ต้องเปลี่ยนฮาร์ดแวร์ครั้งใหญ่
  • ความจำเป็นในการเสริมความปลอดภัย: จำเป็นเร่งด่วนที่จะต้องยกระดับความปลอดภัยของเราเตอร์ SOHO และอุปกรณ์ IoT
  • บทเรียนเชิงเทคนิค: มัลแวร์ที่รันอยู่เฉพาะในหน่วยความจำและเข้ารหัสการสื่อสารกำลังพัฒนาเทคนิคหลบเลี่ยงการตรวจจับมากขึ้น
  • โซลูชันทดแทน: ควรพิจารณาโซลูชันหรือโครงการด้านความปลอดภัยอื่นที่ให้ความสามารถคล้ายกัน
  • สิ่งที่ควรพิจารณาเมื่อนำมาใช้: เมื่อนำเทคโนโลยีความปลอดภัยใหม่มาใช้ ควรคำนึงถึงความเข้ากันได้กับระบบเดิมและความสะดวกในการจัดการ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-06-01
ความคิดเห็นจาก Hacker News
  • ปัญหาเฟิร์มแวร์: ฝันอยากแก้ปัญหาที่เกิดจากปัญหาเฟิร์มแวร์ด้วยการตัดสายที่อนุญาตให้เขียนลงชิปแฟลช และตั้งเวลารีบูตทุกวัน
  • ประสบการณ์กับเครื่องรับสัญญาณดาวเทียม: เช่นเดียวกับที่เคยทำกับเครื่องรับสัญญาณดาวเทียมเมื่อ 20 ปีก่อน ควรมองว่าอุปกรณ์ทุกชิ้นที่เชื่อมต่ออินเทอร์เน็ตมีความเสี่ยงต่อมาตรการทางอิเล็กทรอนิกส์
  • การติดตามอัปเดต: จำเป็นต้องมีระบบที่คอยติดตามการอัปเดตอุปกรณ์และแจ้งเตือนเมื่อมีการอัปเดตเกิดขึ้น
  • เนื้อหาบทความไม่เพียงพอ: บทความขาดรายละเอียดที่น่าสนใจ สงสัยว่าเราเตอร์มีพอร์ตและบริการที่เปิดไว้โดยปริยายหรือไม่
  • การเปรียบเทียบเฟิร์มแวร์: สงสัยว่าสามารถเปรียบเทียบเฟิร์มแวร์เวอร์ชันต่าง ๆ ได้หรือไม่
  • การใช้ OpenWrt: ดูเหมือนว่าคนส่วนใหญ่จะใช้ OpenWrt และ vendor SDK
  • สงสัยว่าเป็นอัปเดตที่เป็นอันตราย: สงสัยว่า vendor ส่งอัปเดตที่เป็นอันตรายหรือเสียหายออกมา
  • ไม่มีแถลงการณ์อย่างเป็นทางการจาก ISP: สงสัยว่าทำไมถึงไม่มีแถลงการณ์อย่างเป็นทางการจาก ISP ถ้าเป็นการโจมตีก็ควรต้องมีการสอบสวน
  • วิธีจัดการในสหรัฐฯ: สงสัยว่าในสหรัฐฯ ปัญหาแบบนี้ถูกจัดการอย่างไร
  • ความเป็นไปได้ของการติดบอต: เป็นไปได้ว่าเครื่องติดบอต และ vendor ก็ปล่อยอัปเดตที่ทำให้ทุกอย่างพัง
  • จำเป็นต้องแจ้งเหตุการณ์ด้านความปลอดภัย: ในฐานะลูกค้า อยากรับรู้เกี่ยวกับเหตุการณ์ด้านความปลอดภัย
  • ขอลิงก์อิมเมจเฟิร์มแวร์: ขอลิงก์ไปยังอิมเมจเฟิร์มแวร์ของอุปกรณ์ดังกล่าวหรือรายละเอียดเพิ่มเติม
  • บันทึกทราฟฟิก: สงสัยว่า Black Lotus Labs รู้ได้อย่างไรว่ามีการสื่อสารระหว่าง IP ต่าง ๆ จากบันทึกทราฟฟิก
  • ข้อสงสัยเรื่องความปลอดภัยของ Tor: สงสัยว่าความปลอดภัยของ Tor ปลอดภัยจริงหรือไม่
  • กล่อง x86 และ OpenWrt: ชอบซื้อกล่อง x86 ขนาดเล็กที่มี dual NIC มารัน OpenWrt มากกว่า เพราะเป็นโอเพนซอร์ส มีการรองรับเยอะ ชุมชนดี และรองรับ Wireguard
  • ข้อเสนอเรื่องคะแนนคาร์มาบน HN: เสนอให้เพิ่มคะแนนคาร์มาใน HN ให้กับผู้ส่งที่ช่วยปรับปรุงพาดหัวแบบคลิกเบต
  • คำแนะนำที่เป็นประโยชน์จากรัฐบาลแคนาดา: ลิงก์ไปยังคำแนะนำที่เป็นประโยชน์จากรัฐบาลแคนาดา
  • แบ็กดอร์และบั๊กเฟิร์มแวร์: ปัญหาที่เกิดขึ้นเมื่อมีการติดตั้งแบ็กดอร์ในเราเตอร์ 600,000 เครื่องและใส่บั๊กในเฟิร์มแวร์
  • การปล่อยอัปเดตแบบทยอย: สงสัยว่าทำไมถึงไม่สามารถปล่อยอัปเดตแบบทยอยเป็นลำดับได้
  • ความหมายของพาดหัวข่าว: สงสัยว่าพาดหัวข่าวหมายถึงอะไร
  • พาดหัวที่ชวนสับสน: สำหรับคนที่สับสนกับพาดหัว นี่คือเรื่องการทำลายเราเตอร์แยกกันจำนวน 600,000 เครื่อง
  • บทความที่เกี่ยวข้อง: ลิงก์บทความที่เกี่ยวข้องจาก Ars Technica