งานเข้ากว่าเดิม !? นักวิจัยพบมัลแวร์ Mirai ได้แตกสายพันธุ์ย่อยไปกว่า 100 สายพันธุ์แล้ว

มัลแวร์ประเภทแปลงเครื่องเข้าเป็นเครือข่ายของแฮกเกอร์ หรือ Botnet นั้น มักถูกใช้เพื่อการนำเอาเครือข่ายเครื่องที่ติดเชื้อไปใช้ในการโจมตีแบบระดมยิงให้ระบบล่ม หรือ DDoS (Distributed Denial-of-Service) ซึ่งมัลแวร์แบบนี้ก็มีอยู่มากมายหลายตัว โดยตัวที่ดังสุดคงจะไม่พ้น Mirai ที่ตอนนี้กำลังมีพัฒนาการอย่างต่อเนื่อง

จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการขยายแตกสายพันธุ์ของมัลแวร์ Botnet ชื่อ Mirai ที่ได้มีการพัฒนาแตกขยายสายพันธุ์ไปมากกว่า 116 สายพันธุ์ จากการตรวจสอบไฟล์ที่ปนเปื้อนมัลแวร์ถึง 21,000 ตัวอย่าง ซึ่งมัลแวร์มัลแวร์ Mirai นั้นถูกตรวจพบครั้งแรกในปี ค.ศ. 2016 (พ.ศ. 2559) โดยตัวมัลแวร์จะมุ่งเน้นอุปกรณ์สำหรับการจัดการเครือข่าย (Network) และอุปกรณ์ IoT (Internet-of-Things) ต่าง ๆ เพื่อใช้ในการโจมตีระบบแบบ DDoS ซึ่งในเวลาต่อมาตัวโค้ดต้นฉบับ (Source Code) ของมัลแวร์ตัวนี้ได้รั่วไหลไปสู่มือแฮกเกอร์กลุ่มอื่น ๆ นำมาสู่การแตกขยายสายพันธุ์ในครั้งนี้

ซึ่งในหมู่สายพันธุ์แยกย่อยจำนวนมาก มีสายพันธุ์หนึ่งที่มีความน่าสนใจนั่นคือ Satori ที่สามารถแพร่กระจายจนไปฝังตัวในเราเตอร์ (Router) จำนวนมากถึง 260,000 ตัว ด้วยการอาศัยช่องโหว่ความปลอดภัยบนเราเตอร์รุ่น D-Link DSL-2750B ขณะที่มัลแวร์อีกสายพันธุ์อย่าง KimWolf นั้นจะมุ่งเน้นการโจมตีอุปกรณ์ที่ทำงานบนระบบปฏิบัติการ Android หลากชนิด ไม่ว่าจะเป็นโทรศัพท์มือถือ ไปจนถึงโทรทัศน์แบบ Smart TV ต่าง ๆ ซึ่งมัลแวร์เหล่านี้นั้นถูกจัดจำหน่ายให้แฮกเกอร์ต่าง ๆ ใช้ในรูปแบบมัลแวร์สำหรับการเช่าใช้ หรือ MaaS (Malware-as-a-Service) ผ่านช่องทางซื้อขายบนแอปแชทดัง เช่น Discord หรือ Telegram โดยในช่องทางเหล่านี้ไม่ได้มีการขายแค่มัลแวร์ทั้ง 2 ตัวที่กล่าวไปข้างต้นเท่านั้น แต่ยังมีสายพันธุ์แยกย่อยของ Mirai ตัวอื่น ๆ อีกมากมาย ไม่ว่าจะเป็น Aisuru, Tiny Mantis, Murdoc_Botnet, Lzrd และ Resgod เป็นต้น

ในด้านการใช้งานเพื่อโจมตีระบบนั้น ทางทีมวิจัยได้ยกตัวอย่างของการใช้งานมัลแวร์ Aisuru และ Kimwolf โดยกลุ่ม Aisuru-Kimwolf ด้วยการใช้งานมัลแวร์ดังกล่าวระดมเครื่องที่ติดมายิงระบบเป้าหมายด้วยความเร็วแรงอันน่าเหลือเชื่อ ด้วยความเร็วในการยิงที่มากกว่า 31.4 เทราบิต (Terabit) ต่อวินาที ด้วยการส่งแพ็คเกจมากกว่า 14.1 พันล้านแพ็คเกจ ซึ่งจุดเด่นการโจมตีครั้งนี้นั้น นอกจากจะเป็นการโจมตีครั้งที่ใหญ่ที่สุดเป็นประวัติการณ์แล้ว ตัวแพ็คเกจนั้นยังมีลักษณะแบบสุ่ม ทำให้สามารถถูกตรวจจับ และป้องกันได้ยากจากการที่เครื่องมือรักษาความปลอดภัยของระบบหลายตัวนั้นมองไม่เห็นแพ็คเกจดังกล่าว ไม่เพียงเท่านั้น ทีมวิจัยยังได้เปิดเผยว่า ทางแฮกเกอร์กลุ่มนี้ได้มีการใช้งาน Proxy เซิร์ฟเวอร์ที่ใช้หมายเลขไอพี (IP Address) จริง หรือ Residential Proxies อย่าง IPIDEA เพื่อใช้ซ่อนตัวเองด้วยการแอบอ้างหมายเลขไอพีของเหยื่อที่ไม่รู้เรื่อง และไม่เกี่ยวข้องกับการโจมตีดังกล่าวอีกด้วย ซึ่งถึงแม้โครงสร้างพื้นฐานของแฮกเกอร์กลุ่มดังกล่าวจะถูกหน่วยงานผู้รักษากฎหมายทำลายทิ้งไปแล้ว แต่ตัวกลุ่มเองก็ยังไม่ได้ถูกปราบลงอย่างสมบูรณ์ ทั้งยังได้ย้ายตัวเองไปอยู่บนบริการเครือข่ายล่องหน (Hidden Network) ของทาง The Invisible Project (I2P) ทำให้ตรวจจับได้ยากยิ่งขึ้นอีกด้วย