មេរោគ KadNap

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគថ្មីមួយប្រភេទដែលទើបនឹងលេចចេញថ្មី ដែលគេស្គាល់ថា KadNap ដែលផ្តោតជាចម្បងលើរ៉ោតទ័រ Asus ហើយជ្រើសរើសពួកគេចូលទៅក្នុងបណ្តាញ botnet ដែលត្រូវបានរចនាឡើងដើម្បីបញ្ជូនចរាចរណ៍អ៊ីនធឺណិតដែលមានគំនិតអាក្រក់។ មេរោគនេះត្រូវបានគេសង្កេតឃើញជាលើកដំបូងនៅក្នុងព្រៃក្នុងខែសីហា ឆ្នាំ 2025 ហើយបានឆ្លងដល់ឧបករណ៍ជាង 14,000 គ្រឿងនៅទូទាំងពិភពលោក។ ការវិភាគបង្ហាញថា ប្រព័ន្ធដែលរងការសម្របសម្រួលជាង 60% មានទីតាំងនៅសហរដ្ឋអាមេរិក ខណៈដែលចង្កោមតូចៗនៃការឆ្លងមេរោគត្រូវបានរកឃើញនៅតៃវ៉ាន់ ហុងកុង រុស្ស៊ី ចក្រភពអង់គ្លេស អូស្ត្រាលី ប្រេស៊ីល បារាំង អ៊ីតាលី និងអេស្ប៉ាញ។

ទោះបីជារ៉ោតទ័រ Asus ហាក់ដូចជាគោលដៅចម្បងក៏ដោយ ការស៊ើបអង្កេតបង្ហាញថា ប្រតិបត្តិករនៅពីក្រោយ KadNap បានពង្រីកកិច្ចខិតខំប្រឹងប្រែងរបស់ពួកគេដើម្បីរួមបញ្ចូលឧបករណ៍បណ្តាញគែមជាច្រើនប្រភេទ។ ការពង្រីកនេះបង្ហាញពីការប៉ុនប៉ងដោយចេតនាដើម្បីបង្កើនទំហំ និងភាពធន់នៃហេដ្ឋារចនាសម្ព័ន្ធ botnet ឱ្យបានអតិបរមា។

ការលាក់បាំងពីមិត្តភក្ដិទៅមិត្តភក្ដិតាមរយៈបច្ចេកវិទ្យា Kademlia

លក្ខណៈពិសេសមួយនៃប្រតិបត្តិការ KadNap គឺការពឹងផ្អែកលើការអនុវត្តដែលបានកែប្រែនៃពិធីការ Kademlia Distributed Hash Table (DHT)។ ពិធីការនេះត្រូវបានរួមបញ្ចូលទៅក្នុងស្ថាបត្យកម្ម peer-to-peer ដែលលាក់ទីតាំងនៃហេដ្ឋារចនាសម្ព័ន្ធរបស់ botnet ដោយលាក់ប្រព័ន្ធបញ្ជានៅក្នុង node ចែកចាយ។

ឧបករណ៍​ដែល​រង​ការ​គំរាមកំហែង​ទាក់ទង​គ្នា​តាម​រយៈ​បណ្តាញ DHT ដើម្បី​ស្វែងរក និង​ភ្ជាប់​ទៅ​ម៉ាស៊ីន​បម្រើ Command-and-Control (C2)។ ដោយ​ការ​បំបែក​ការ​ទំនាក់ទំនង​ទូទាំង​បរិយាកាស​វិមជ្ឈការ មេរោគ​នេះ​ជៀសវាង​ការ​ពឹងផ្អែក​លើ​ចំណុច​ហេដ្ឋារចនាសម្ព័ន្ធ​តែមួយ ដែល​ធ្វើ​ឱ្យ​ស្មុគស្មាញ​យ៉ាង​ខ្លាំង​ដល់​កិច្ច​ខិតខំ​ប្រឹងប្រែង​ក្នុង​ការ​រក​ឃើញ និង​ការ​លុប​ចោល​តាម​បែប​ប្រពៃណី។ វិធីសាស្ត្រ​នេះ​លាយ​បញ្ចូល​ចរាចរណ៍​ព្យាបាទ​ទៅ​ក្នុង​សកម្មភាព​បណ្តាញ​មិត្តភក្ដិ​ស្របច្បាប់ ដែល​ធ្វើ​ឱ្យ​ការ​ត្រួតពិនិត្យ និង​ការ​រំខាន​កាន់តែ​មាន​ការ​លំបាក​សម្រាប់​អ្នក​ការពារ។

យន្តការឆ្លង និងយុទ្ធសាស្ត្របន្តកើតមាន

ខ្សែសង្វាក់នៃការឆ្លងមេរោគចាប់ផ្តើមជាមួយស្គ្រីបសែលមួយដែលមានឈ្មោះថា aic.sh ដែលត្រូវបានទាញយកពីម៉ាស៊ីនមេពាក្យបញ្ជាដែលបង្ហោះនៅអាសយដ្ឋាន IP 212.104.141.140។ ស្គ្រីបនេះចាប់ផ្តើមដំណើរការនៃការរួមបញ្ចូលឧបករណ៍ដែលរងការសម្របសម្រួលទៅក្នុងប្រព័ន្ធអេកូឡូស៊ី peer-to-peer របស់ botnet។

ស្គ្រីបនេះបង្កើតភាពស្ថិតស្ថេរដោយបង្កើតការងារ cron ដែលបានកំណត់ពេល ដែលទាញយកស្គ្រីបដូចគ្នានៅចំណុច 55 នាទីនៃម៉ោងនីមួយៗ។ រាល់ពេលដែលវាត្រូវបានទាញយក ស្គ្រីបត្រូវបានប្តូរឈ្មោះទៅជា '.asusrouter' ហើយត្រូវបានប្រតិបត្តិ។ នៅពេលដែលភាពស្ថិតស្ថេរត្រូវបានធានា ស្គ្រីបទាញយកប្រព័ន្ធគោលពីរ ELF ព្យាបាទ ប្តូរឈ្មោះវា kad ហើយដំណើរការវា ដោយដាក់ពង្រាយបន្ទុកមេរោគ KadNap យ៉ាងមានប្រសិទ្ធភាព។ មេរោគនេះត្រូវបានរចនាឡើងដើម្បីដំណើរការលើឧបករណ៍ដែលប្រើទាំងប្រព័ន្ធដំណើរការ ARM និង MIPS ដែលអាចឱ្យវាសម្របសម្រួលស្ថាបត្យកម្មរ៉ោតទ័រជាច្រើន។

ការរកឃើញមិត្តភក្ដិ និងការសម្របសម្រួលបណ្តាញដោយផ្អែកលើពេលវេលា

KadNap បញ្ចូលយន្តការមួយសម្រាប់ធ្វើសមកាលកម្មសកម្មភាពនៅទូទាំងបណ្តាញវិមជ្ឈការរបស់វា។ មេរោគនេះភ្ជាប់ទៅម៉ាស៊ីនមេ Network Time Protocol (NTP) ដើម្បីទាញយកពេលវេលាប្រព័ន្ធបច្ចុប្បន្ន ហើយផ្សំវាជាមួយព័ត៌មានពេលវេលាដំណើរការរបស់ឧបករណ៍ដែលឆ្លងមេរោគ។ តម្លៃទាំងនេះត្រូវបានប្រើដើម្បីបង្កើតហាសដែលជួយឧបករណ៍ដែលឆ្លងមេរោគកំណត់ទីតាំងមិត្តភក្ដិនៅក្នុងបណ្តាញចែកចាយ។

ដំណើរការនេះអនុញ្ញាតឱ្យប្រព័ន្ធដែលរងការសម្របសម្រួលរកឃើញណូតផ្សេងទៀត ទទួលបានការណែនាំ និងទាញយកឯកសារព្យាបាទបន្ថែមដោយមិនចាំបាច់ពឹងផ្អែកលើរចនាសម្ព័ន្ធពាក្យបញ្ជាកណ្តាល។ ស្គ្រីបដែលគាំទ្រដូចជា fwr.sh និង /tmp/.sose ក៏អនុវត្តភារកិច្ចបន្ថែមផងដែរ រួមទាំងការបិទច្រក 22 ច្រក TCP ស្តង់ដារដែលប្រើដោយ Secure Shell (SSH) និងការស្រង់ចេញបញ្ជីអាសយដ្ឋានម៉ាស៊ីនមេ C2 និងបន្សំច្រកដែលប្រើសម្រាប់ការទំនាក់ទំនងបន្ថែម។

ការធ្វើពាណិជ្ជកម្មនៃ Botnet តាមរយៈសេវាកម្មប្រូកស៊ី

នៅពេលដែលរ៉ោតទ័រត្រូវបានលួចចូល ពួកវានឹងត្រូវបានបញ្ចូលទៅក្នុងបណ្តាញប្រូកស៊ីពាណិជ្ជកម្មមួយដែលត្រូវបានផ្សព្វផ្សាយក្រោមឈ្មោះ Doppelgänger តាមរយៈគេហទំព័រ doppelganger.shop។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខវាយតម្លៃថាសេវាកម្មនេះជាកំណែប្តូរឈ្មោះរបស់ Faceless ដែលជាវេទិកាប្រូកស៊ីដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយមេរោគ TheMoon។

យោងតាមសម្ភារៈផ្សព្វផ្សាយដែលបានបោះពុម្ពផ្សាយដោយសេវាកម្មនេះ បណ្តាញនេះផ្តល់សិទ្ធិចូលប្រើប្រូកស៊ីលំនៅដ្ឋាននៅទូទាំងប្រទេសជាង 50 និងផ្សព្វផ្សាយ 'ភាពអនាមិក 100%' សម្រាប់អ្នកប្រើប្រាស់។ ភស្តុតាងបង្ហាញថាវេទិកានេះត្រូវបានដាក់ឱ្យដំណើរការនៅខែឧសភា ឬខែមិថុនា ឆ្នាំ 2025។ ហេដ្ឋារចនាសម្ព័ន្ធបានបែងចែកឧបករណ៍ដែលឆ្លងមេរោគតាមប្រភេទ និងម៉ូដែល ព្រោះមិនមែនឧបករណ៍ដែលរងការសម្របសម្រួលទាំងអស់អាចទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជានីមួយៗនោះទេ។ ការបែងចែកនេះបង្ហាញពីយុទ្ធសាស្ត្រគ្រប់គ្រង botnet ដែលមានរចនាសម្ព័ន្ធ និងអាចធ្វើមាត្រដ្ឋានបាន។

បណ្តាញប្រូកស៊ីត្រូវបានគេសង្កេតឃើញរួចហើយថាកំពុងត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែងជាច្រើន។ ទោះជាយ៉ាងណាក៏ដោយ ការកំណត់អត្តសញ្ញាណនៅតែពិបាក ពីព្រោះរ៉ោតទ័រដែលពាក់ព័ន្ធនឹងបណ្តាញជួនកាលឆ្លងមេរោគមេរោគបន្ថែមក្នុងពេលដំណាលគ្នា ដែលធ្វើឱ្យមើលមិនឃើញថាតើអ្នកបង្កហេតុណាដែលទទួលខុសត្រូវចំពោះសកម្មភាពព្យាបាទជាក់លាក់។

វិធានការការពារសម្រាប់ម្ចាស់រ៉ោតទ័រ

ការកើនឡើងនៃ KadNap បានបង្ហាញពីហានិភ័យកាន់តែខ្លាំងឡើងដែលបង្កឡើងដោយឧបករណ៍គែមដែលមានសុវត្ថិភាពមិនល្អទាំងនៅក្នុងបរិយាកាសផ្ទះ និងការិយាល័យតូចៗ។ អ្នកការពារបណ្តាញ និងអ្នកប្រើប្រាស់ម្នាក់ៗអាចកាត់បន្ថយការប៉ះពាល់យ៉ាងច្រើនដោយការអនុវត្តសុវត្ថិភាពជាច្រើន៖

• ថែរក្សារ៉ោតទ័រ និងឧបករណ៍បណ្តាញជាមួយនឹងកម្មវិធីបង្កប់ និងបច្ចុប្បន្នភាពសុវត្ថិភាពចុងក្រោយបំផុត។
• ចាប់ផ្ដើមឧបករណ៍ឡើងវិញជាប្រចាំ ដើម្បីសម្អាតដំណើរការព្យាបាទបណ្ដោះអាសន្ន នៅពេលដែលអាចអនុវត្តបាន។
• ជំនួស​ព័ត៌មាន​សម្ងាត់​លំនាំដើម​ដោយ​ពាក្យសម្ងាត់​ដែល​រឹងមាំ និង​ប្លែក​ពី​គេ។
• ដាក់កម្រិត និងធានាសុវត្ថិភាពចំណុចប្រទាក់គ្រប់គ្រងរដ្ឋបាល។
• បញ្ឈប់ការប្រើប្រាស់ និងជំនួសរ៉ោតទ័រដែលបានឈានដល់ចុងបញ្ចប់នៃអាយុកាលប្រើប្រាស់ ហើយលែងទទួលបានការអាប់ដេតសុវត្ថិភាពពីអ្នកលក់។

Botnet វិមជ្ឈការដែលត្រូវបានរចនាឡើងសម្រាប់ការលួចលាក់

KadNap សម្គាល់ខ្លួនវាពី botnet ប្រពៃណីជាច្រើនដែលគាំទ្រសេវាកម្មប្រូកស៊ីអនាមិកតាមរយៈការប្រើប្រាស់ស្ថាបត្យកម្ម peer-to-peer វិមជ្ឈការ។ តាមរយៈការទាញយកអត្ថប្រយោជន៍ពីពិធីការ Kademlia DHT botnet ចែកចាយការគ្រប់គ្រងលើឧបករណ៍ដែលឆ្លងមេរោគជាជាងពឹងផ្អែកលើម៉ាស៊ីនមេកណ្តាលដែលងាយស្រួលកំណត់អត្តសញ្ញាណ។

ស្ថាបត្យកម្មនេះផ្តល់ឱ្យប្រតិបត្តិករនូវបណ្តាញទំនាក់ទំនងដ៏ធន់ ដែលពិបាករកឃើញ រារាំង ឬរុះរើជាង។ គោលដៅយុទ្ធសាស្ត្រគឺច្បាស់លាស់៖ រក្សានិរន្តរភាពប្រតិបត្តិការ គេចវេះការត្រួតពិនិត្យសន្តិសុខ និងធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងឆ្លើយតបការពារសម្រាប់ក្រុមសន្តិសុខតាមអ៊ីនធឺណិត។