មេរោគ RapperBot

អ្នកស្រាវជ្រាវ Infosec បានកំណត់អត្តសញ្ញាណមេរោគដ៏គ្រោះថ្នាក់ IoT (Internet of Things) ដែលត្រូវបានតាមដានជា RapperBot ។ ការវិភាគនៃការគំរាមកំហែងបានបង្ហាញថាអ្នកបង្កើតរបស់ខ្លួនបានប្រើប្រាស់កូដប្រភពនៃ Mirai Botnet ដ៏អាក្រក់យ៉ាងខ្លាំង។ ការគំរាមកំហែង Mirai ត្រូវបានប្រើក្នុងការវាយប្រហារទម្រង់ខ្ពស់ជាច្រើន មុនពេលកូដប្រភពរបស់វាត្រូវលេចធ្លាយជាសាធារណៈក្នុងខែតុលា ឆ្នាំ 2016។ ចាប់តាំងពីពេលនោះមក អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណប្រភេទ botnet និង malware ជាង 60 ដោយប្រើ Mirai ជាមូលដ្ឋាន។ ទោះជាយ៉ាងណាក៏ដោយនៅពេលដែលវាមកដល់ RapperBot ការគំរាមកំហែងបង្ហាញការចាកចេញសំខាន់ៗជាច្រើនពីអាកប្បកិរិយា Mirai ធម្មតា។

ព័ត៌មានលម្អិតអំពី RapperBot ត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវសន្តិសុខនាពេលថ្មីៗនេះ។ យោងតាមការរកឃើញរបស់ពួកគេ ការគំរាមកំហែងនេះមានសកម្មភាពតាំងពីខែមិថុនា ឆ្នាំ 2022 ហើយកំពុងមានការអភិវឌ្ឍន៍យ៉ាងឆាប់រហ័ស។ ការគំរាមកំហែង botnet ប្រើយុទ្ធសាស្ត្របង្ខំ brute-force ដើម្បីទទួលបានមូលដ្ឋាននៅលើម៉ាស៊ីនមេ Linux SSH មិនដូចការអនុវត្ត Mirai ធម្មតានៃការកំណត់គោលដៅម៉ាស៊ីនមេ Telnet នោះទេ។

យោងតាមរបាយការណ៍ RapperBot កំពុងរីកលូតលាស់យ៉ាងឆាប់រហ័សនូវម៉ាស៊ីនមេ SSH របស់ខ្លួនដែលមានអាសយដ្ឋាន IP ពិសេសជាង 3,500 ដែលស្កែនអ៊ីនធឺណិត និងបង្ខំឱ្យផ្លូវរបស់ពួកគេចូលទៅក្នុងជនរងគ្រោះថ្មី។ RapperBot ក៏ហាក់ដូចជាបានបន្សល់ទុកនូវបច្ចេកទេសផ្សព្វផ្សាយដោយខ្លួនឯងដែលស្រដៀងនឹង Mira ក្នុងការពេញចិត្តនៃវិធីសាស្ត្រដែលមានមូលដ្ឋានលើការតស៊ូបន្ថែមទៀត។ ជាលទ្ធផល ការគម្រាមកំហែងអាចនៅតែមាននៅលើប្រព័ន្ធដែលឆ្លងមេរោគ ទោះបីជាបន្ទាប់ពីការបិទបើកឡើងវិញ ឬមានការប៉ុនប៉ងដកចេញដោយជនរងគ្រោះក៏ដោយ។

ការចូលទៅកាន់ម៉ាស៊ីនមេដែលបំពានត្រូវបានសម្រេចតាមរយៈការបន្ថែមសោសាធារណៈ SSH របស់ប្រតិបត្តិករ។ គ្រាប់ចុចត្រូវបានបញ្ចូលទៅក្នុងឯកសារជាក់លាក់មួយដែលមានឈ្មោះថា '~/.ssh/authorized_keys ។' បន្ទាប់មក តួអង្គគំរាមកំហែងនឹងអាចភ្ជាប់ដោយសេរីទៅម៉ាស៊ីនមេ និងផ្ទៀងផ្ទាត់ដោយប្រើតែសោឯកជនដែលត្រូវគ្នាដោយមិនចាំបាច់ផ្តល់ពាក្យសម្ងាត់។ បច្ចេកទេសនេះនឹងរក្សាការចូលប្រើទៅកាន់ម៉ាស៊ីនមេ ទោះបីជាព័ត៌មានសម្ងាត់ SSH ត្រូវបានអាប់ដេត ឬការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ SSH ត្រូវបានបិទក៏ដោយ។ លើសពីនេះទៀត ដោយការជំនួសឯកសារស្របច្បាប់ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានលុបសោដែលមានការអនុញ្ញាតបច្ចុប្បន្នទាំងអស់ ដោយការពារអ្នកប្រើប្រាស់ស្របច្បាប់មិនឱ្យចូលប្រើម៉ាស៊ីនមេ SSH ដែលត្រូវបានសម្របសម្រួលដោយជោគជ័យតាមរយៈការផ្ទៀងផ្ទាត់សោសាធារណៈ។

គោលដៅនៃប្រតិបត្តិកររបស់ RapperBot Malware នៅតែមានភាពមិនច្បាស់លាស់។ ឧទាហរណ៍ តួអង្គគំរាមកំហែងដកសមត្ថភាព DDoS (Distributed Denial-of-Service) នៃការគំរាមកំហែងទាំងស្រុង ដើម្បីណែនាំឡើងវិញនូវទម្រង់ចុងក្រោយក្នុងទម្រង់មានកំណត់។