ISAC Cambodia (InfoSec)
GeneralSecurity News

Routers ប្រហែលជា ១លានគ្រឿងត្រូវបានគាំងមិនដំណើរការ

Mirai Botnet គឺកាន់តែក្លាំងក្លា ហើយកាន់តែរីករាលដាលច្រើនឡើងៗ ដោយសារតែ៖ ឧបករណ៍ Internet-of-Things មិនមានសន្តិសុខ។

កាលពីខែមុន Mirai botnet បានវាយប្រហារធ្វើឲ្យអ៊ិនធឺណិតទាំងមូលត្រូវបានគាំងមិនដំណើរការប្រមាណ ២-៣ ម៉ោង ដែលធ្វើឲ្យប៉ៈពាល់ទៅដល់វេបសាយធំៗជាច្រើន។

ក្នុងពេលនេះ ឧបករណ៍ broadband routers ប្រមាណជា 900,000 គ្រឿងរបស់អ្នកប្រើប្រាស់ Deutsche Telekom នៅក្នុងប្រទេស Germany ត្រូវបានគេវាយប្រហារ (គាំងមិនដំណើរការ) ដែលក្នុងនោះបានប៉ៈពាល់ទៅដល់ telephony, television និង internet service នៅក្នុងប្រទេសនេះ។

The German Internet Service Provider, Deutsche Telekom ដែលបម្រើសេវាកម្មផ្សេងៗទៅកាន់អតិថិជនប្រមាណជា ២០លាននាក់នោះ បានបញ្ជាក់នៅក្នុងបណ្តាញសង្គមហ្វេសប៊ុកថា មានអតិថិជនរបស់ខ្លួនប្រមាណជា ៩០០,០០០នាក់ទទួលរងគ្រោះដោយសារបញ្ហានេះកាលពីថ្ងៃអាទិត្យ និងច័ន្ទកន្លងទៅនេះ។

ឧបករណ៍ Routers រាប់លានគ្រឿងដែលត្រូវបានគេជឿជាក់ថា មានចំនុចខ្សោយដែលអាចឲ្យមានការភ្ជាប់ពីចម្ងាយបាននោះគឺផលិតដោយ Zyxel and Speedport ដែលមាន Port លេខ 7547 បើកចំហរដើម្បីទទួលនូវពាក្យបញ្ជាផ្នែកទៅលើ TR-069 និង TR-064 protocols ដែលវាត្រូវបានប្រើប្រាស់ក្នុងការភ្ជាប់ពីចម្ងាយដោយ ISPs នោះ។

ចំនុចខ្សោយនេះផងដែរ ត្រូវបានប៉ៈពាល់ទៅលើ router Eir D1000 (ក្រោយមកប្តូរម៉ូដែលទៅជា Zyxel Modem) ហើយត្រូវបានប្រើប្រាស់ដោយ ក្រុមហ៊ុនផ្តល់សេវាកម្មអិុនធឺណិតរបស់ Irish ឈ្មោះថា Eircom , while there are no signs that these routers are actively exploited.

ផ្អែកទៅលើការរកព័ត៌មាននៅក្នុង Shodan បានរកឃើញថាមានឧបករណ៍ប្រមាណជា ៤១លានគ្រឿងមានបើក Port លេខ 7547 ដែលក្នុងនោះមាន 5លានគ្រឿងបានបញ្ចេញ Port លេខ TR-064 services ទៅកាន់អ្នកខាងក្រៅ។

ដោយយោងទៅតាមសេចក្តីណែនាំដែលត្រូវបានបោះផ្សាយដោយ SANS Internet Storm Center បានឲ្យដឹងថា honeypot servers ដែលត្រូវបានគេដាក់ដើម្បីបន្លំខ្លួនជា routers ដែលមានបញ្ហានោះ គឺទទួលពាក្យបញ្ជាក្នុងរយៈពេល ៥នាទី ទៅ ១០នាទីម្តងសម្រាប់ IP ណាមួយ។

អ្នកស្រាវជ្រាវមកពី ​BadCyber ក៏បានធ្វើការវិភាគទៅលើមេរោគនោះបានរកឃើញថា ការវាយប្រហារនោះគឺមានប្រភពចេញមកពី Mirai’s command and control server ។ វាហាក់ដូចជានរណាម្នាក់បានកែប្រែមេរោគ (Mirai) នេះ ហើយបង្កើត Internet Worm ដោយផ្អែកទៅលើកូដ Mirai នោះ។

screenshot-2016-12-02-21-17-17

វាចាប់ផ្តើមកាលពីដើមខែតុលា ឆ្នាំ២០១៦នេះ នៅពេលដែលឧក្រិដ្ឋជនអ៊ិនធឺណិតបានធ្វើការបង្ហាញជាសាធារណៈនូវ source code របស់ Mirai ដែលត្រូវបានប្រើប្រាស់ធ្វើការមេរោគវាយប្រហារ ​DDoS ដោយប្រើប្រាស់ routers, cameras និង DVRs ។ ហេគឃ័របានធ្វើការបង្កើតនូវ file exploit ចំនួនបីក្នុងទម្រង់ផ្សេងៗគ្នា ដោយពីរដំណើរការនៅលើ MIPS chips និងមួយទៀតដំណើរការនៅលើ ​ARM silicon ។

វាធ្វើការគ្រប់គ្រងពីចម្ងាយដោយធ្វើការដោយព្យាយាមធ្វើការ log-in ដោយប្រើប្រាស់ default passwords ។ នៅពេលដែលវាជ្រៀតចូលបានជោគជ័យហើយនោះ វានឹងធ្វើការបិទ port លេខ 7547 ដើម្បីការពារអ្នកវាយប្រហារផ្សេងទៀតគ្រប់គ្រងនូវឧបករណ៍នោះបាន។ អ្នកអាចធ្វើការស្វែងរក នូវបច្ចេកទេសលំអិតនៅក្នុងវេបសាយ ISC Sans, Kaspersky Lab, និង Reverse Engineering

screenshot-2016-12-02-21-16-28

ក្រុមហ៊ុន Deutsche Telekom បានបញ្ចេញកម្មវិធីជួសជុល (patch) សម្រាប់ពីរម៉ូដែលរបស់ Speedport broadband routers – Speedport W 921V និង Speedport W 723V Type B – ហើយបាននឹងបញ្ចេញ firmware updates ។ ក្រុមហ៊ុនបានណែនាំឲ្យអតិថិជនរបស់ខ្លួនធ្វើការបិទ routers ហើយរង់ចាំ ៣០វិនាទី បន្ទាប់មកធ្វើការ restart routers របស់ពួកគេដើម្បីទាញយកនូវ firmware ថ្មីក្នុងពេល bootup process ។ បើសិនជា routers បរាជ័យក្នុងការភ្ជាប់ទៅកាន់បណ្តាញរបស់ក្រុមហ៊ុន នោះអ្នកប្រើប្រាស់ត្រូវតែបិទឧបករណ៍របស់ពួកគេតែម្តង៕

ប្រភព: The Hacker News

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button