Necro Python Botnet ตัวฉกาจ เปลี่ยนเครื่องมือดูกล้องวงจรปิดให้กลายเป็นเหมืองขุดเหรียญดิจิทัล

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้เปิดเผยรายงานความเคลื่อนไหวของกลุ่มอาชญากรไซเบอร์ FreakOut ที่เป็นที่รู้จักกันดีในฐานะผู้อยู่เบื้องหลังของมัลแวร์ Necro Python Botnet (หรืออีกชื่อว่า N3Cr0m0rPh) และ Python.IRCBot โดยทางทีมนักวิจัยด้านความปลอดภัยได้ค้นพบว่า Necro Python Botne ได้พุ่งเป้าโจมตีไปที่ DVR VX16 4.2.28.0 จากบริษัท Visual Tools ซึ่งเป็นเครื่องมือสำหรับใช้ควบคุมกล้องวงจรปิด เพื่อเปลี่ยนให้มันกลายเป็นเหมืองขุดเหรียญคริปโตแทน

FreakOut เริ่มเป็นที่รู้จักหลังจากที่ถูกพบว่าเป็นผู้อยู่เบื้องหลังการโจมตีแบบ Distributed denial-of-service (DDoS) และ Cryptomining attacks เป็นเวลาหลายครั้ง ด้วย Necro Python Botnet ซึ่งครั้งแรกที่ถูกค้นพบอย่างน้อยก็ในช่วงเดือนมกราคม ปี ค.ศ. 2021 (พ.ศ. 2564) 

ทาง Juniper Threat Labs เผยว่าสคริปต์การทำงานของ Necro Python Botnet สามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ Linux โดยมันสามารถเปลี่ยนแปลงเอนจินการทำงานของมันในทุกครั้งที่ลงมือโจมตี ทำให้มันสามารถเล็ดรอดไปจากการตรวจจับการโจมตีที่ใช้เทคนิคป้องกันแบบ Signature-based ซึ่งเป็นวิธียอดนิยมในการป้องกันโจมตีไปได้อย่างง่ายดาย

ในขณะนี้ (ณ วันที่ 13 ตุลาคม พ.ศ. 2564) ช่องโหว่ที่ทาง Necro Python Botnet ใช้โจมตีระบบกล้องวงจรปิดยังไม่ได้รับการประเมินจากทาง Common Vulnerabilities and Exposures (CVE) อย่างไรก็ตาม แนวคิดที่ใช้โจมตีได้ผ่านการพิสูจน์เป็นที่เรียบร้อยแล้ว

โดย Necro Python Botnet จะเริ่มจากการสแกนพอร์ต "22, 80, 443, 8081, 8081, 7001" ของเป้าหมาย หากพบว่าพอร์ตดังกล่าวเปิดช่องเอาไว้อยู่ มันก็จะเริ่มติดตั้ง XMRig เครื่องมือขุดเหรียญ Monero ยอดนิยมลงบนระบบทันที โดยลิงก์รายได้ไปยังกระเป๋าเลขที่อยู่ "45iHeQwQaunWXryL9YZ2egJxKvWBtWQUE4PKitu1VwYNUqkhHt6nyCTQb2dbvDRqDPXveNq94DG9uTndKcWLYNoG2uonhgH"

นอกจากนี้ ทาง Juniper Threat Labs ยังพบว่า ตัว Necro Python Botnet ยังพยายาที่จะโจมตีผ่านช่องโหว่ที่ได้รับการตรวจพบแล้ว ดังต่อไปนี้อีกด้วย

• CVE-2020-15568 – TerraMaster TOS before 4.1.29
• CVE-2021-29003 – Genexis PLATINUM 4410 2.1 P4410-V2-1.28
• CVE-2020-25494 – Xinuos (formerly SCO) Openserver v5 and v6
• CVE-2020-28188 – TerraMaster TOS <= 4.2.06
• CVE-2019-12725 – Zeroshell 3.9.0

ส่วนหนึ่งต้องยอมรับว่า กลุ่มแฮกเกอร์ FreakOut เลือกเป้าหมายในการโจมตีได้เฉียบคมมากทีเดียว เพราะระบบตรวจดูกล้องวงจรปิดเป็นเครื่องมือที่สามารถกล่าวได้ว่ามักจะเปิดให้ทำงานเอาไว้ตลอดเวลาแบบ 24/7 ซึ่งเหมาะสมกับการใช้เป็นเครื่องมือในการขุดเหรียญดิจิทัลที่ต้องเปิดทั้งวันทั้งคืนอยู่แล้ว