Bigpanzi Botnet
អង្គការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលមិនស្គាល់អត្តសញ្ញាណពីមុនដែលមានឈ្មោះថា 'Bigpanzi' បាននិងកំពុងបង្កើតប្រាក់ចំណេញយ៉ាងច្រើនដោយការសម្របសម្រួល Android TV និង eCos set-top boxes នៅទូទាំងពិភពលោកចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2015។ យោងតាមអ្នកស្រាវជ្រាវ ក្រុមគំរាមកំហែងនេះគ្រប់គ្រង botnet យ៉ាងទូលំទូលាយដែលមានប្រហែល 170,000 bots សកម្មប្រចាំថ្ងៃ។ គួរកត់សម្គាល់ថាចាប់តាំងពីខែសីហាមក អ្នកស្រាវជ្រាវបានរកឃើញអាសយដ្ឋាន IP តែមួយគត់ចំនួន 1.3 លានដែលត្រូវបានភ្ជាប់ទៅ botnet ដែលភាគច្រើនមានទីតាំងនៅប្រទេសប្រេស៊ីល។ Bigpanzi ប្រើវិធីសាស្រ្តដូចជាការឆ្លងឧបករណ៍តាមរយៈការអាប់ដេតកម្មវិធីបង្កប់ ឬរៀបចំអ្នកប្រើប្រាស់ឱ្យដំឡើងកម្មវិធីដែលត្រូវបានសម្របសម្រួលដោយមិនដឹងខ្លួន។
ការឆ្លងទាំងនេះបម្រើជាប្រភពចំណូលសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលបំប្លែងឧបករណ៍ដែលត្រូវបានសម្របសម្រួលទៅជាថ្នាំងសម្រាប់សកម្មភាពខុសច្បាប់ផ្សេងៗ រួមទាំងវេទិកាស្ទ្រីមប្រព័ន្ធផ្សព្វផ្សាយខុសច្បាប់ បណ្តាញប្រូកស៊ីចរាចរ ការចែកចាយការបដិសេធនៃសេវាកម្ម (DDoS) swarms និងការផ្តល់ខ្លឹមសារលើស (OTT) .
តារាងមាតិកា
ប្រតិបត្តិការ Bigpanzi Botnet ដាក់ពង្រាយការគំរាមកំហែងមេរោគបន្ថែម
ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលធ្វើឡើងដោយ Bigpanzi ប្រើប្រាស់ឧបករណ៍មេរោគផ្ទាល់ខ្លួនចំនួនពីរដែលត្រូវបានគេស្គាល់ថា 'pandoraspear' និង 'pcdn' ។
Pandoraspear មានមុខងារជា Trojan ខាងក្រោយ ចាប់យកការគ្រប់គ្រងការកំណត់ DNS បង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command and Control (C2) និងប្រតិបត្តិពាក្យបញ្ជាដែលទទួលបានពីម៉ាស៊ីនមេ C2 ។ មេរោគនេះគាំទ្រជួរនៃពាក្យបញ្ជា ធ្វើឱ្យវាអាចរៀបចំការកំណត់ DNS ផ្តួចផ្តើមការវាយប្រហារ DDoS ការធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង បង្កើតសែលបញ្ច្រាស គ្រប់គ្រងទំនាក់ទំនងជាមួយ C2 និងប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធប្រតិបត្តិការតាមអំពើចិត្ត។ ដើម្បីគេចពីការរកឃើញ Pandoraspear ប្រើបច្ចេកទេសទំនើប ដូចជាសែល UPX ដែលបានកែប្រែ ការភ្ជាប់ថាមវន្ត ការចងក្រង OLLVM និងយន្តការប្រឆាំងនឹងការបំបាត់កំហុស។
ម៉្យាងវិញទៀត Pcdn ត្រូវបានប្រើប្រាស់ដើម្បីបង្កើតបណ្តាញចែកចាយមាតិកា Peer-to-Peer (P2P) នៅលើឧបករណ៍ដែលមានមេរោគ និងមានសមត្ថភាព DDoS ដើម្បីបំពាក់ឧបករណ៍ទាំងនេះបន្ថែមទៀត។
Bigpanzi Botnet មានការឈានដល់ជាសកល
ក្នុងអំឡុងពេលកំពូល botnet Bigpanzi មាន 170,000 bots ប្រចាំថ្ងៃ ហើយចាប់តាំងពីខែសីហា ឆ្នាំ 2023 អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណ IP ផ្សេងគ្នាជាង 1.3 លានដែលទាក់ទងនឹង botnet ។ ទោះជាយ៉ាងណាក៏ដោយ ដោយសារតែសកម្មភាពមិនទៀងទាត់នៃប្រអប់ទូរទស្សន៍ដែលត្រូវបានសម្របសម្រួល និងដែនកំណត់ក្នុងការមើលឃើញរបស់អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិត វាមានលទ្ធភាពខ្ពស់ដែលថាទំហំពិតប្រាកដនៃ botnet លើសពីចំនួនទាំងនេះ។ ក្នុងរយៈពេលប្រាំបីឆ្នាំកន្លងមកនេះ Bigpanzi ហាក់ដូចជាបានដំណើរការដោយសម្ងាត់ ដោយប្រមូលទ្រព្យសម្បត្តិដោយមិនដឹងខ្លួន។ នៅពេលដែលប្រតិបត្តិការរបស់ពួកគេរីកចម្រើន មានការរីកសាយគួរឱ្យកត់សម្គាល់នៃគំរូ ឈ្មោះដែន និងអាសយដ្ឋាន IP ។
អ្នកស្រាវជ្រាវបានណែនាំថា ដោយសារភាពធំធេង និងភាពស្មុគ្រស្មាញនៃបណ្តាញ ការរកឃើញរបស់ពួកគេគ្រាន់តែឆ្លុះលើផ្ទៃនៃអ្វីដែល Bigpanzi ពិតជាមាន។ រហូតមកដល់ពេលនេះ អ្នកជំនាញផ្នែកសន្តិសុខព័ត៌មានមិនបានបង្ហាញព័ត៌មានលម្អិតណាមួយទាក់ទងនឹងការបញ្ជាក់អំពីប្រតិបត្តិការ botnet នោះទេ។ ទោះបីជាយ៉ាងណាក៏ដោយ ការវិភាគលើការគំរាមកំហែង pcdn បាននាំពួកគេទៅកាន់ប៉ុស្តិ៍ YouTube គួរឱ្យសង្ស័យដែលគេជឿថាស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ក្រុមហ៊ុនជាក់លាក់មួយ។
វ៉ិចទ័រឆ្លងមេរោគត្រូវបានកេងប្រវ័ញ្ចដោយតួអង្គគំរាមកំហែងនៅពីក្រោយ Bigpanzi
ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្តោតលើប្រព័ន្ធប្រតិបត្តិការ Android និង eCos ដោយប្រើវិធីសាស្រ្តផ្សេងគ្នាបីដើម្បីឆ្លងឧបករណ៍អ្នកប្រើប្រាស់៖
- កម្មវិធីភាពយន្ត និងទូរទស្សន៍លួចចម្លង (Android) ៖ Bigpanzi ប្រើប្រាស់កម្មវិធីលួចចម្លងទាក់ទងនឹងភាពយន្ត និងកម្មវិធីទូរទស្សន៍នៅលើឧបករណ៍ Android ។ អ្នកប្រើប្រាស់ទាញយក និងដំឡើងកម្មវិធីគំរាមកំហែងទាំងនេះដោយមិនដឹងខ្លួន ដោយផ្តល់នូវចំណុចចូលសម្រាប់ botnet ដើម្បីសម្របសម្រួលឧបករណ៍។
- Backdoored generic OTA firmware (Android) ៖ វិធីសាស្រ្តមួយផ្សេងទៀតពាក់ព័ន្ធនឹងការរៀបចំការអាប់ដេតកម្មវិធីបង្កប់លើអាកាស (OTA) នៅលើឧបករណ៍ Android ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតណែនាំ backdoors ទៅក្នុងការធ្វើបច្ចុប្បន្នភាពទាំងនេះ ដែលអនុញ្ញាតឱ្យពួកគេទាញយកភាពងាយរងគ្រោះក្នុងអំឡុងពេលដំណើរការដំឡើង និងទទួលបានសិទ្ធិចូលប្រើឧបករណ៍ដោយគ្មានការអនុញ្ញាត។
- កម្មវិធីបង្កប់ Backdoored 'SmartUpTool' (eCos) : សម្រាប់ឧបករណ៍ដែលដំណើរការនៅលើវេទិកា eCos Bigpanzi កំណត់គោលដៅកម្មវិធីបង្កប់ជាក់លាក់មួយដែលមានឈ្មោះថា 'SmartUpTool'។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតសម្របសម្រួលកម្មវិធីបង្កប់នេះដោយការណែនាំ backdoors ដែលអនុញ្ញាតឱ្យពួកគេជ្រៀតចូល និងគ្រប់គ្រងឧបករណ៍ដែលដំណើរការដោយ eCos ។
តាមរយៈការប្រើប្រាស់វិធីសាស្រ្តទាំងបីនេះ Bigpanzi ធានានូវភាពចម្រុះនៃវ៉ិចទ័រវាយប្រហារ ដោយទាញយកអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យដែលចូលរួមជាមួយមាតិកាលួចចម្លង ឬធ្វើបច្ចុប្បន្នភាពឧបករណ៍របស់ពួកគេតាមរយៈកម្មវិធីបង្កប់ដែលត្រូវបានសម្របសម្រួល។
