Routers ប្រហែលជា ១លានគ្រឿងត្រូវបានគាំងមិនដំណើរការ
Mirai Botnet គឺកាន់តែក្លាំងក្លា ហើយកាន់តែរីករាលដាលច្រើនឡើងៗ ដោយសារតែ៖ ឧបករណ៍ Internet-of-Things មិនមានសន្តិសុខ។
កាលពីខែមុន Mirai botnet បានវាយប្រហារធ្វើឲ្យអ៊ិនធឺណិតទាំងមូលត្រូវបានគាំងមិនដំណើរការប្រមាណ ២-៣ ម៉ោង ដែលធ្វើឲ្យប៉ៈពាល់ទៅដល់វេបសាយធំៗជាច្រើន។
ក្នុងពេលនេះ ឧបករណ៍ broadband routers ប្រមាណជា 900,000 គ្រឿងរបស់អ្នកប្រើប្រាស់ Deutsche Telekom នៅក្នុងប្រទេស Germany ត្រូវបានគេវាយប្រហារ (គាំងមិនដំណើរការ) ដែលក្នុងនោះបានប៉ៈពាល់ទៅដល់ telephony, television និង internet service នៅក្នុងប្រទេសនេះ។
The German Internet Service Provider, Deutsche Telekom ដែលបម្រើសេវាកម្មផ្សេងៗទៅកាន់អតិថិជនប្រមាណជា ២០លាននាក់នោះ បានបញ្ជាក់នៅក្នុងបណ្តាញសង្គមហ្វេសប៊ុកថា មានអតិថិជនរបស់ខ្លួនប្រមាណជា ៩០០,០០០នាក់ទទួលរងគ្រោះដោយសារបញ្ហានេះកាលពីថ្ងៃអាទិត្យ និងច័ន្ទកន្លងទៅនេះ។
ឧបករណ៍ Routers រាប់លានគ្រឿងដែលត្រូវបានគេជឿជាក់ថា មានចំនុចខ្សោយដែលអាចឲ្យមានការភ្ជាប់ពីចម្ងាយបាននោះគឺផលិតដោយ Zyxel and Speedport ដែលមាន Port លេខ 7547 បើកចំហរដើម្បីទទួលនូវពាក្យបញ្ជាផ្នែកទៅលើ TR-069 និង TR-064 protocols ដែលវាត្រូវបានប្រើប្រាស់ក្នុងការភ្ជាប់ពីចម្ងាយដោយ ISPs នោះ។
ចំនុចខ្សោយនេះផងដែរ ត្រូវបានប៉ៈពាល់ទៅលើ router Eir D1000 (ក្រោយមកប្តូរម៉ូដែលទៅជា Zyxel Modem) ហើយត្រូវបានប្រើប្រាស់ដោយ ក្រុមហ៊ុនផ្តល់សេវាកម្មអិុនធឺណិតរបស់ Irish ឈ្មោះថា Eircom , while there are no signs that these routers are actively exploited.
ផ្អែកទៅលើការរកព័ត៌មាននៅក្នុង Shodan បានរកឃើញថាមានឧបករណ៍ប្រមាណជា ៤១លានគ្រឿងមានបើក Port លេខ 7547 ដែលក្នុងនោះមាន 5លានគ្រឿងបានបញ្ចេញ Port លេខ TR-064 services ទៅកាន់អ្នកខាងក្រៅ។
ដោយយោងទៅតាមសេចក្តីណែនាំដែលត្រូវបានបោះផ្សាយដោយ SANS Internet Storm Center បានឲ្យដឹងថា honeypot servers ដែលត្រូវបានគេដាក់ដើម្បីបន្លំខ្លួនជា routers ដែលមានបញ្ហានោះ គឺទទួលពាក្យបញ្ជាក្នុងរយៈពេល ៥នាទី ទៅ ១០នាទីម្តងសម្រាប់ IP ណាមួយ។
អ្នកស្រាវជ្រាវមកពី BadCyber ក៏បានធ្វើការវិភាគទៅលើមេរោគនោះបានរកឃើញថា ការវាយប្រហារនោះគឺមានប្រភពចេញមកពី Mirai’s command and control server ។ វាហាក់ដូចជានរណាម្នាក់បានកែប្រែមេរោគ (Mirai) នេះ ហើយបង្កើត Internet Worm ដោយផ្អែកទៅលើកូដ Mirai នោះ។
វាចាប់ផ្តើមកាលពីដើមខែតុលា ឆ្នាំ២០១៦នេះ នៅពេលដែលឧក្រិដ្ឋជនអ៊ិនធឺណិតបានធ្វើការបង្ហាញជាសាធារណៈនូវ source code របស់ Mirai ដែលត្រូវបានប្រើប្រាស់ធ្វើការមេរោគវាយប្រហារ DDoS ដោយប្រើប្រាស់ routers, cameras និង DVRs ។ ហេគឃ័របានធ្វើការបង្កើតនូវ file exploit ចំនួនបីក្នុងទម្រង់ផ្សេងៗគ្នា ដោយពីរដំណើរការនៅលើ MIPS chips និងមួយទៀតដំណើរការនៅលើ ARM silicon ។
វាធ្វើការគ្រប់គ្រងពីចម្ងាយដោយធ្វើការដោយព្យាយាមធ្វើការ log-in ដោយប្រើប្រាស់ default passwords ។ នៅពេលដែលវាជ្រៀតចូលបានជោគជ័យហើយនោះ វានឹងធ្វើការបិទ port លេខ 7547 ដើម្បីការពារអ្នកវាយប្រហារផ្សេងទៀតគ្រប់គ្រងនូវឧបករណ៍នោះបាន។ អ្នកអាចធ្វើការស្វែងរក នូវបច្ចេកទេសលំអិតនៅក្នុងវេបសាយ ISC Sans, Kaspersky Lab, និង Reverse Engineering ។
ក្រុមហ៊ុន Deutsche Telekom បានបញ្ចេញកម្មវិធីជួសជុល (patch) សម្រាប់ពីរម៉ូដែលរបស់ Speedport broadband routers – Speedport W 921V និង Speedport W 723V Type B – ហើយបាននឹងបញ្ចេញ firmware updates ។ ក្រុមហ៊ុនបានណែនាំឲ្យអតិថិជនរបស់ខ្លួនធ្វើការបិទ routers ហើយរង់ចាំ ៣០វិនាទី បន្ទាប់មកធ្វើការ restart routers របស់ពួកគេដើម្បីទាញយកនូវ firmware ថ្មីក្នុងពេល bootup process ។ បើសិនជា routers បរាជ័យក្នុងការភ្ជាប់ទៅកាន់បណ្តាញរបស់ក្រុមហ៊ុន នោះអ្នកប្រើប្រាស់ត្រូវតែបិទឧបករណ៍របស់ពួកគេតែម្តង៕
ប្រភព: The Hacker News