มัลแวร์ KadNap

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุสายพันธุ์มัลแวร์ใหม่ที่กำลังเกิดขึ้นชื่อว่า KadNap ซึ่งมุ่งเป้าไปที่เราเตอร์ Asus เป็นหลัก และดึงเราเตอร์เหล่านั้นเข้าสู่บอทเน็ตที่ออกแบบมาเพื่อส่งต่อทราฟฟิกอินเทอร์เน็ตที่เป็นอันตราย มัลแวร์นี้ถูกพบครั้งแรกในเดือนสิงหาคม 2025 และได้แพร่ระบาดไปยังอุปกรณ์มากกว่า 14,000 เครื่องทั่วโลกแล้ว การวิเคราะห์ชี้ให้เห็นว่ากว่า 60% ของระบบที่ได้รับผลกระทบอยู่ในสหรัฐอเมริกา ในขณะที่พบการติดเชื้อเป็นกลุ่มเล็กๆ ในไต้หวัน ฮ่องกง รัสเซีย สหราชอาณาจักร ออสเตรเลีย บราซิล ฝรั่งเศส อิตาลี และสเปน

แม้ว่าเราเตอร์ Asus ดูเหมือนจะเป็นเป้าหมายหลัก แต่การตรวจสอบแสดงให้เห็นว่าผู้ดำเนินการเบื้องหลัง KadNap ได้ขยายขอบเขตความพยายามไปยังอุปกรณ์เครือข่ายขอบ (edge networking) ที่หลากหลายมากขึ้น การขยายตัวนี้บ่งชี้ถึงความพยายามโดยเจตนาที่จะเพิ่มขนาดและความยืดหยุ่นของโครงสร้างพื้นฐานของบอทเน็ตให้มากที่สุด

การปกปิดข้อมูลแบบ Peer-to-Peer ผ่านเทคโนโลยี Kademlia

คุณลักษณะเด่นของการทำงานของ KadNap คือการพึ่งพาการใช้งานที่ดัดแปลงของโปรโตคอล Kademlia Distributed Hash Table (DHT) โปรโตคอลนี้ถูกรวมเข้ากับสถาปัตยกรรมแบบ Peer-to-Peer ซึ่งปกปิดตำแหน่งที่ตั้งของโครงสร้างพื้นฐานของบอทเน็ตโดยการซ่อนระบบคำสั่งไว้ภายในโหนดแบบกระจาย

อุปกรณ์ที่ถูกโจมตีจะสื่อสารผ่านเครือข่าย DHT เพื่อค้นหาและเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) การกระจายการสื่อสารไปทั่วสภาพแวดล้อมแบบกระจายศูนย์ ทำให้มัลแวร์หลีกเลี่ยงการพึ่งพาจุดโครงสร้างพื้นฐานเพียงจุดเดียว ซึ่งทำให้การตรวจจับและการกำจัดแบบดั้งเดิมทำได้ยากขึ้นอย่างมาก วิธีการนี้ผสมผสานทราฟฟิกที่เป็นอันตรายเข้ากับกิจกรรมเครือข่ายแบบ peer-to-peer ที่ถูกต้อง ทำให้การตรวจสอบและการขัดขวางทำได้ยากขึ้นอย่างมากสำหรับผู้ป้องกัน

กลไกการติดเชื้อและกลยุทธ์การคงอยู่ของเชื้อ

กระบวนการแพร่ระบาดเริ่มต้นด้วยสคริปต์เชลล์ชื่อ aic.sh ซึ่งดาวน์โหลดมาจากเซิร์ฟเวอร์คำสั่งที่โฮสต์อยู่ที่ที่อยู่ IP 212.104.141.140 สคริปต์นี้จะเริ่มกระบวนการรวมอุปกรณ์ที่ถูกบุกรุกเข้ากับระบบนิเวศแบบ peer-to-peer ของบอทเน็ต

สคริปต์นี้สร้างความคงอยู่ถาวรโดยการสร้างงาน Cron ที่กำหนดเวลาไว้ ซึ่งจะดึงสคริปต์เดียวกันทุกๆ 55 นาทีของทุกชั่วโมง ทุกครั้งที่ดาวน์โหลด สคริปต์จะถูกเปลี่ยนชื่อเป็น '.asusrouter' และเรียกใช้งาน เมื่อความคงอยู่ถาวรได้รับการยืนยันแล้ว สคริปต์จะดาวน์โหลดไฟล์ไบนารี ELF ที่เป็นอันตราย เปลี่ยนชื่อเป็น kad และเรียกใช้งาน ซึ่งเป็นการติดตั้งมัลแวร์ KadNap อย่างมีประสิทธิภาพ มัลแวร์นี้ได้รับการออกแบบมาให้ทำงานบนอุปกรณ์ที่ใช้โปรเซสเซอร์ทั้ง ARM และ MIPS ทำให้สามารถโจมตีสถาปัตยกรรมเราเตอร์ได้หลากหลาย

การค้นหาเพื่อนร่วมงานและการประสานงานเครือข่ายตามเวลาที่กำหนด

KadNap มีกลไกในการซิงโครไนซ์กิจกรรมต่างๆ ทั่วเครือข่ายแบบกระจายศูนย์ มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ Network Time Protocol (NTP) เพื่อดึงเวลาปัจจุบันของระบบและนำมารวมกับข้อมูลเวลาการทำงานของอุปกรณ์ที่ติดมัลแวร์ ค่าเหล่านี้จะถูกนำมาใช้สร้างแฮช ซึ่งช่วยให้อุปกรณ์ที่ติดมัลแวร์ค้นหาอุปกรณ์อื่นๆ ในเครือข่ายแบบกระจายศูนย์ได้

กระบวนการนี้ทำให้ระบบที่ถูกบุกรุกสามารถค้นหาโหนดอื่นๆ รับคำสั่ง และดาวน์โหลดไฟล์ที่เป็นอันตรายเพิ่มเติมได้โดยไม่ต้องพึ่งพาโครงสร้างคำสั่งส่วนกลาง สคริปต์สนับสนุน เช่น fwr.sh และ /tmp/.sose ยังทำหน้าที่เพิ่มเติมอื่นๆ รวมถึงการปิดใช้งานพอร์ต 22 ซึ่งเป็นพอร์ต TCP มาตรฐานที่ใช้โดย Secure Shell (SSH) และการดึงรายการที่อยู่เซิร์ฟเวอร์ C2 และชุดพอร์ตที่ใช้สำหรับการสื่อสารเพิ่มเติม

การนำบอทเน็ตไปใช้ในเชิงพาณิชย์ผ่านบริการพร็อกซี

เมื่อเราเตอร์ถูกเจาะระบบแล้ว มันจะถูกเชื่อมต่อเข้ากับเครือข่ายพร็อกซีเชิงพาณิชย์ที่ทำการตลาดภายใต้ชื่อ Doppelgänger ผ่านทางเว็บไซต์ doppelganger.shop นักวิจัยด้านความปลอดภัยประเมินว่าบริการนี้เป็นเวอร์ชันที่เปลี่ยนชื่อใหม่ของ Faceless ซึ่งเป็นแพลตฟอร์มพร็อกซีที่เคยเกี่ยวข้องกับมัลแวร์ TheMoon มาก่อน

จากข้อมูลประชาสัมพันธ์ที่เผยแพร่โดยบริการดังกล่าว เครือข่ายนี้ให้บริการการเข้าถึงพร็อกซีที่อยู่อาศัยในกว่า 50 ประเทศ และโฆษณาว่าผู้ใช้จะได้รับ "ความเป็นส่วนตัว 100%" หลักฐานชี้ให้เห็นว่าแพลตฟอร์มนี้เปิดตัวประมาณเดือนพฤษภาคมหรือมิถุนายน 2025 โครงสร้างพื้นฐานแบ่งอุปกรณ์ที่ติดเชื้อตามประเภทและรุ่น เนื่องจากอุปกรณ์ที่ติดเชื้อทุกเครื่องไม่ได้สื่อสารกับเซิร์ฟเวอร์คำสั่งทุกเครื่อง การแบ่งส่วนนี้บ่งชี้ถึงกลยุทธ์การจัดการบอทเน็ตที่มีโครงสร้างและปรับขนาดได้

มีการสังเกตพบว่าเครือข่ายพร็อกซีถูกผู้โจมตีหลายรายใช้ประโยชน์แล้ว อย่างไรก็ตาม การระบุตัวผู้กระทำผิดยังคงเป็นเรื่องยาก เนื่องจากเราเตอร์ที่เกี่ยวข้องในเครือข่ายบางครั้งอาจติดมัลแวร์ตระกูลอื่น ๆ พร้อมกัน ทำให้ไม่สามารถระบุได้ว่าผู้กระทำผิดรายใดเป็นผู้รับผิดชอบต่อกิจกรรมที่เป็นอันตรายนั้น ๆ

มาตรการป้องกันสำหรับเจ้าของเราเตอร์

การเกิดขึ้นของ KadNap เน้นให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นจากอุปกรณ์ปลายทางที่มีการรักษาความปลอดภัยไม่ดีพอ ทั้งในบ้านและสำนักงานขนาดเล็ก ผู้ดูแลระบบเครือข่ายและผู้ใช้แต่ละรายสามารถลดความเสี่ยงลงได้อย่างมากโดยการนำแนวทางปฏิบัติด้านความปลอดภัยหลายประการมาใช้:

• หมั่นอัปเดตเฟิร์มแวร์และโปรแกรมรักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุดอยู่เสมอ ไม่ว่าจะเป็นเราเตอร์หรืออุปกรณ์เครือข่าย
• ควรทำการรีบูตอุปกรณ์เป็นระยะเพื่อล้างกระบวนการที่เป็นอันตรายชั่วคราว หากทำได้
• เปลี่ยนข้อมูลประจำตัวเริ่มต้นด้วยรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน
• จำกัดและรักษาความปลอดภัยของอินเทอร์เฟซการจัดการด้านการบริหาร
• ปลดระวางและเปลี่ยนเราเตอร์ที่หมดอายุการใช้งานและไม่ได้รับการอัปเดตความปลอดภัยจากผู้ผลิตอีกต่อไป

บอทเน็ตแบบกระจายศูนย์ที่ออกแบบมาเพื่อการซ่อนตัว

KadNap แตกต่างจากบอทเน็ตแบบดั้งเดิมจำนวนมากที่รองรับบริการพร็อกซีแบบไม่ระบุตัวตนตรงที่ใช้สถาปัตยกรรมแบบกระจายศูนย์แบบ Peer-to-Peer โดยการใช้โปรโตคอล Kademlia DHT บอทเน็ตจะกระจายการควบคุมไปยังอุปกรณ์ที่ติดไวรัสแทนที่จะพึ่งพาเซิร์ฟเวอร์ส่วนกลางที่ระบุตัวตนได้ง่าย

สถาปัตยกรรมนี้มอบช่องทางการสื่อสารที่ยืดหยุ่นแก่ผู้ปฏิบัติงาน ซึ่งตรวจจับ ปิดกั้น หรือทำลายได้ยากขึ้นอย่างมาก เป้าหมายเชิงกลยุทธ์นั้นชัดเจน: รักษาความต่อเนื่องในการดำเนินงาน หลีกเลี่ยงการตรวจสอบด้านความปลอดภัย และทำให้ความพยายามในการตอบโต้เชิงป้องกันของทีมรักษาความปลอดภัยทางไซเบอร์มีความซับซ้อนมากขึ้น