บอตเน็ต AIRASHI

ช่องโหว่แบบ zero-day ในเราเตอร์ cnPilot ของ Cambium Networks กลายเป็นเครื่องมือล่าสุดสำหรับอาชญากรไซเบอร์ที่ใช้งานบอตเน็ต AISURU ที่เรียกว่า AIRASHI แคมเปญนี้ซึ่งเริ่มดำเนินการตั้งแต่เดือนมิถุนายน 2024 ใช้ประโยชน์จากข้อบกพร่องนี้เพื่อวางแผนการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ทรงพลัง นักวิจัยด้านความปลอดภัยยังคงปกปิดรายละเอียดเกี่ยวกับช่องโหว่นี้เพื่อจำกัดการใช้งานในทางที่ผิดในขณะที่การสืบสวนยังดำเนินอยู่

ประวัติของช่องโหว่ที่ถูกใช้ประโยชน์

บอตเน็ต AIRASHI ไม่จำกัดอยู่แค่การโจมตีแบบจุดเดียวเท่านั้น แต่ยังโจมตีด้วยช่องโหว่ต่างๆ มากมาย เช่น CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 และจุดบกพร่องอื่นๆ ที่พบในกล้อง IP ของ AVTECH, DVR ของ LILIN และอุปกรณ์ Shenzhen TVT ด้วยการใช้ประโยชน์จากจุดอ่อนที่หลากหลายเหล่านี้ AIRASHI จึงสามารถขยายขอบเขตและความซับซ้อนได้อย่างต่อเนื่อง

ความสามารถในการโจมตี DDoS: รายละเอียดเพิ่มเติม

ผู้ดำเนินการที่อยู่เบื้องหลัง AIRASHI ไม่ลังเลที่จะดำเนินกิจกรรมใดๆ โดยโพสต์ผลการทดสอบความสามารถ DDoS ของบอตเน็ตของตนบน Telegram ข้อมูลในอดีตเผยให้เห็นว่าความสามารถในการโจมตีของบอตเน็ตนั้นคงที่อยู่ที่ประมาณ 1-3 Tbps โดยตามภูมิศาสตร์แล้ว อุปกรณ์ที่ถูกโจมตีส่วนใหญ่อยู่ในบราซิล รัสเซีย เวียดนาม และอินโดนีเซีย อย่างไรก็ตาม เป้าหมายจะกระจุกตัวอยู่ในภูมิภาคต่างๆ เช่น จีน สหรัฐอเมริกา โปแลนด์ และรัสเซีย ซึ่งการดำเนินการที่เป็นอันตรายของบอตเน็ตได้ก่อให้เกิดการหยุดชะงักมากที่สุด

วิวัฒนาการของ AISURU สู่ AIRASHI

AIRASHI เกิดจากบอตเน็ต AISURU ซึ่งถูกระบุตัวตนไว้ก่อนหน้านี้ในเดือนสิงหาคม 2024 ระหว่างการโจมตี DDoS ที่มีชื่อเสียงบน Steam ซึ่งเกิดขึ้นในช่วงเวลาเดียวกับการเปิดตัวเกม Black Myth: Wukong หลังจากหยุดดำเนินการชั่วคราวในเดือนกันยายน 2024 บอตเน็ตดังกล่าวก็ปรากฏขึ้นอีกครั้งพร้อมฟีเจอร์ที่อัปเดตแล้วซึ่งมีชื่อรหัสว่า "kitty" และได้รับการปรับปรุงใหม่เป็น AIRASHI ในเดือนพฤศจิกายน

บอตเน็ตสองวัตถุประสงค์: AIRASHI-DDoS และ AIRASHI-Proxy

AIRASHI ดำเนินงานในสองรูปแบบที่แตกต่างกัน:

• AIRASHI-DDoS : ตรวจพบในช่วงปลายเดือนตุลาคม 2567 ไวรัสสายพันธุ์นี้มุ่งเน้นไปที่การโจมตี DDoS แต่ขยายขีดความสามารถให้รวมถึงการดำเนินการคำสั่งโดยพลการและการเข้าถึงเชลล์ย้อนกลับ
• AIRASHI-Proxy : เปิดตัวในเดือนธันวาคม 2024 การเปลี่ยนแปลงนี้เพิ่มฟังก์ชันพร็อกซี ซึ่งเป็นสัญญาณถึงการกระจายบริการนอกเหนือจากการดำเนินการ DDoS

การพัฒนาการสื่อสารและการเข้ารหัส

เพื่อให้แน่ใจว่าการทำงานมีความปลอดภัยและมีประสิทธิภาพ AIRASHI ใช้โปรโตคอลเครือข่ายใหม่ที่ใช้อัลกอริทึมการเข้ารหัส HMAC-SHA256 และ CHACHA20 ในขณะที่ AIRASHI-DDoS รองรับประเภทข้อความที่แตกต่างกัน 13 ประเภท AIRASHI-Proxy ใช้แนวทางที่คล่องตัวกว่าด้วย 5 ประเภท นอกจากนี้ บอตเน็ตยังปรับวิธีการแบบไดนามิกเพื่อดึงรายละเอียดเซิร์ฟเวอร์ Command-and-Control (C2) ผ่านการสอบถาม DNS

บอตเน็ตและอุปกรณ์ IoT: ภัยคุกคามทางไซเบอร์ที่คงอยู่ตลอดไป

ผลการวิจัยเน้นย้ำถึงการที่ผู้ก่ออาชญากรรมไซเบอร์ใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ IoT อย่างต่อเนื่อง อุปกรณ์ IoT ทำหน้าที่เป็นทั้งจุดเข้าใช้งานสำหรับผู้ไม่หวังดีและเป็นรากฐานสำหรับการสร้างบอตเน็ตที่แข็งแกร่ง การใช้ประโยชน์จากอุปกรณ์ที่ถูกบุกรุกเหล่านี้ทำให้ผู้ก่อภัยคุกคามสามารถขยายอำนาจของการโจมตี DDoS ได้ ซึ่งแสดงให้เห็นถึงความจำเป็นอย่างยิ่งในการเพิ่มความปลอดภัยของอุปกรณ์ในระบบนิเวศ IoT