យុទ្ធនាការ Botnet Kimwolf

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញបណ្តាញ botnet ដ៏ធំមួយដែលផ្តោតលើប្រព័ន្ធប្រតិបត្តិការ Android ដែលគេស្គាល់ថា Kimwolf ដែលបានធ្វើឱ្យខូចឧបករណ៍ជាងពីរលានគ្រឿងដោយកេងប្រវ័ញ្ចបណ្តាញប្រូកស៊ីលំនៅដ្ឋាន។ មេរោគនេះបំលែងផ្នែករឹងអ្នកប្រើប្រាស់ប្រចាំថ្ងៃទៅជាវេទិកាវាយប្រហារសកល ដោយបញ្ជូនចរាចរណ៍ព្យាបាទដោយស្ងាត់ៗ និងអាចឱ្យប្រតិបត្តិការបដិសេធសេវាកម្មចែកចាយ (DDoS) ទ្រង់ទ្រាយធំ។ ការសង្កេតបង្ហាញថាមានអាសយដ្ឋាន IP តែមួយគត់ប្រហែល 12 លានជារៀងរាល់សប្តាហ៍ ដែលបង្ហាញពីវិសាលភាពដ៏អស្ចារ្យនៃប្រតិបត្តិការនេះ។

ប្រភពដើម ការវិវត្តន៍ និងតំណភ្ជាប់ទៅកាន់ AISURU

Kimwolf ត្រូវបានវិភាគជាសាធារណៈជាលើកដំបូងនៅក្នុង ខែធ្នូ ឆ្នាំ២០២៥ នៅពេលដែលអ្នកស៊ើបអង្កេតបានកំណត់អត្តសញ្ញាណទំនាក់ទំនងបច្ចេកទេស និងហេដ្ឋារចនាសម្ព័ន្ធដ៏រឹងមាំទៅនឹង botnet មួយផ្សេងទៀតដែលមានឈ្មោះថា AISURU។ ភស្តុតាងបង្ហាញថា Kimwolf បានសកម្មចាប់តាំងពីយ៉ាងហោចណាស់ខែសីហា ឆ្នាំ២០២៥ ហើយតំណាងឱ្យការវិវត្តន៍ផ្អែកលើប្រព័ន្ធប្រតិបត្តិការ Android របស់ AISURU។ អ្នកស្រាវជ្រាវកាន់តែជឿជាក់កាន់តែខ្លាំងឡើងថា botnet នេះបានជំរុញយុទ្ធនាការ DDoS ដ៏បំបែកកំណត់ត្រាជាច្រើនដែលត្រូវបានគេសង្កេតឃើញនៅចុងឆ្នាំមុន។

ដាននៃការឆ្លងរាលដាលសកល និងឧបករណ៍គោលដៅ

ទោះបីជា Kimwolf មានវត្តមានទូទាំងពិភពលោកក៏ដោយ ការឆ្លងភាគច្រើនត្រូវបានប្រមូលផ្តុំនៅក្នុងប្រទេសវៀតណាម ប្រេស៊ីល ឥណ្ឌា និងអារ៉ាប៊ីសាអូឌីត។ ផ្នែកសំខាន់មួយនៃប្រព័ន្ធដែលរងការគំរាមកំហែងគឺទូរទស្សន៍ឆ្លាតវៃ Android ក្រៅផ្លូវការ និងប្រអប់ set-top ដែលភាគច្រើនភ្ជាប់មកជាមួយការកំណត់រចនាសម្ព័ន្ធលំនាំដើមដែលមិនមានសុវត្ថិភាព។

យ៉ាងហោចណាស់ 67% នៃឧបករណ៍ដែលបានភ្ជាប់បង្ហាញសេវាកម្ម Android Debug Bridge (ADB) ដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលធ្វើឱ្យពួកវាអាចគ្រប់គ្រងពីចម្ងាយបាន។ អ្នកស៊ើបអង្កេតសង្ស័យថាផលិតផលទាំងនេះជាច្រើនត្រូវបានផ្ទុកជាមុនជាមួយនឹងឧបករណ៍អភិវឌ្ឍន៍កម្មវិធី (SDK) ដែលទាក់ទងនឹងប្រូកស៊ី មុនពេលទៅដល់អ្នកប្រើប្រាស់ ដែលចុះឈ្មោះពួកវាទៅក្នុងប្រព័ន្ធអេកូឡូស៊ីប្រូកស៊ី ដែលក្រោយមកក្លាយជាបណ្តាញចែកចាយសម្រាប់មេរោគ។

របៀបដែល Kimwolf រីករាលដាល និងរក្សាការគ្រប់គ្រង

ប្រតិបត្តិកររបស់ Kimwolf ពឹងផ្អែកលើបណ្តាញប្រូកស៊ីលំនៅដ្ឋានធំៗ ដើម្បីស្កេនអ៊ីនធឺណិតសម្រាប់ឧបករណ៍ Android ដែលដំណើរការសេវាកម្ម ADB ដែលប៉ះពាល់។ នៅពេលដែលកំណត់អត្តសញ្ញាណ មេរោគត្រូវបានដំឡើងពីចម្ងាយ ដោយប្រែក្លាយឧបករណ៍នេះទៅជាឧបករណ៍បញ្ជូនចរាចរណ៍ និងជាណូតវាយប្រហារ។ បន្ទុកទិន្នន័យស្នូលបើកអ្នកស្តាប់នៅលើច្រក 40860 ហើយបង្កើតការទំនាក់ទំនងចេញជាមួយ 85.234.91[.]247:1337 ដែលវាទទួលបានពាក្យបញ្ជាប្រតិបត្តិការ។

ថ្មីៗនេះ គិតត្រឹមខែធ្នូ ឆ្នាំ២០២៥ ការឆ្លងមេរោគត្រូវបានរកឃើញថាមានជាប់ពាក់ព័ន្ធនឹងអាសយដ្ឋាន IP ប្រូកស៊ីដែលជួលពី IPIDEA ដែលមានមូលដ្ឋាននៅប្រទេសចិន ដែលជាអ្នកផ្តល់សេវាដែលផ្សព្វផ្សាយខ្លួនឯងថាជាសេវាកម្មប្រូកស៊ី IP ឈានមុខគេលើពិភពលោក ដែលមាន IP ដែលត្រូវបានធ្វើឱ្យស្រស់ជារៀងរាល់ថ្ងៃជាង ៦,១ លាន និងអាសយដ្ឋានថ្មីចំនួន ៦៩,០០០ ជារៀងរាល់ថ្ងៃ។ នៅថ្ងៃទី២៧ ខែធ្នូ IPIDEA បានដាក់ពង្រាយការអាប់ដេតសុវត្ថិភាពដែលរារាំងការចូលប្រើបណ្តាញក្នុងស្រុក និងច្រករសើប បន្ទាប់ពីភស្តុតាងបានលេចចេញថា អ្នកវាយប្រហារកំពុងលួចចូលតាមរយៈកម្មវិធីប្រូកស៊ីដែលដំឡើងដោយអតិថិជន ដើម្បីទៅដល់ឧបករណ៍ខាងក្នុង។

ការប៉ះពាល់ដែលបង្កើតឡើងដោយបច្ចេកទេសនេះត្រូវបានពិពណ៌នាដោយអ្នកវិភាគថាមិនធ្លាប់មានពីមុនមក ដោយដាក់ប្រព័ន្ធអ្នកប្រើប្រាស់រាប់លានដោយផ្ទាល់នៅក្នុងផ្លូវនៃការកេងប្រវ័ញ្ចដោយស្វ័យប្រវត្តិ។

ការរកប្រាក់៖ ប្រូកស៊ី បន្ទុកចំណាយ និងការវាយប្រហារដែលបានបង់ប្រាក់

តាំងពីដើមដំបូងមក ហេតុផលហិរញ្ញវត្ថុរបស់ Kimwolf គឺច្បាស់លាស់។ ប្រតិបត្តិករបានធ្វើពាណិជ្ជកម្មហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេយ៉ាងសកម្ម ដោយប្រែក្លាយឧបករណ៍ដែលរងការលួចចូលទៅជាទ្រព្យសកម្មបង្កើតប្រាក់ចំណេញតាមរយៈបណ្តាញច្រើន៖

• ការលក់ការចូលប្រើប្រូកស៊ីលំនៅដ្ឋាន ដែលត្រូវបានផ្សព្វផ្សាយក្នុងតម្លៃថោកត្រឹមតែ ០,២០ ដុល្លារក្នុងមួយជីកាបៃ ឬប្រហែល ១៤០០ ដុល្លារក្នុងមួយខែសម្រាប់កម្រិតបញ្ជូនទិន្នន័យគ្មានដែនកំណត់ ដែលទាក់ទាញការទទួលយកដំបូងពីសេវាកម្មប្រូកស៊ីច្រើន។
• ការដាក់ពង្រាយ SDK សម្រាប់ការរកប្រាក់បន្ទាប់បន្សំ ជាពិសេស Plainproxies Byteconnect SDK ដែលបញ្ជូនភារកិច្ចប្រូកស៊ីដែលបានបង់ប្រាក់ពីម៉ាស៊ីនមេពាក្យបញ្ជាទៅកាន់ឧបករណ៍ដែលឆ្លងមេរោគតាមរយៈម៉ាស៊ីនមេបញ្ជូនបន្តចំនួន 119។
• ការរំលោភបំពានលើបណ្តាញ botnet សម្រាប់ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត រួមទាំងសកម្មភាព DDoS ទ្រង់ទ្រាយធំ និងយុទ្ធនាការបំពេញព័ត៌មានសម្ងាត់ប្រឆាំងនឹងសេវាកម្ម IMAP និងវេទិកាអនឡាញពេញនិយម។

វត្តមាននៃប្រអប់ទូរទស្សន៍ដែលឆ្លងមេរោគជាមុន និងការរួមបញ្ចូលគ្នានៃ SDK ចែករំលែកកម្រិតបញ្ជូនពាណិជ្ជកម្ម បង្ហាញយ៉ាងច្បាស់ពីកិច្ចសហការកាន់តែស៊ីជម្រៅរវាងប្រតិបត្តិករ botnet និងផ្នែកនៃសេដ្ឋកិច្ចប្រូកស៊ី។

វិធានការការពារ និងការកាត់បន្ថយហានិភ័យ

ដើម្បីកាត់បន្ថយការគំរាមកំហែងស្រដៀងគ្នានេះ សកម្មភាពសម្របសម្រួលត្រូវបានទាមទារនៅទូទាំងអ្នកផ្តល់សេវាកម្ម និងបរិស្ថានអ្នកប្រើប្រាស់ចុងក្រោយ៖

• បណ្តាញប្រូកស៊ីគួរតែរារាំងចរាចរណ៍ដែលមានគោលដៅសម្រាប់ជួរអាសយដ្ឋាន RFC 1918 ដោយការពារអតិថិជនខាងក្រៅពីការទៅដល់បណ្តាញឯកជនខាងក្នុងដែលឧបករណ៍អ្នកប្រើប្រាស់ស្ថិតនៅ។
• អង្គការ និងបុគ្គលត្រូវតែបិទ ឬដាក់កម្រិតការចូលប្រើ ADB ដែលមិនបានផ្ទៀងផ្ទាត់នៅលើប្រព័ន្ធ Android ជាពិសេសឧបករណ៍ដែលបានបង្កប់ និងឧបករណ៍ដែលមានរចនាប័ទ្ម IoT ដែលជារឿយៗភ្ជាប់មកជាមួយលំនាំដើមដែលមិនមានសុវត្ថិភាព។

បើគ្មានការគ្រប់គ្រងទាំងនេះទេ ប្រព័ន្ធអេកូឡូស៊ីប្រូកស៊ីលំនៅដ្ឋាននឹងបន្តផ្តល់ការគ្របដណ្តប់ដ៏ល្អសម្រាប់ការដាក់ពង្រាយមេរោគទ្រង់ទ្រាយធំ និងការពង្រីកបណ្តាញ botnet។