เฝ้าระวังมัลแวร์ “ShadowV2” ฉวยจังหวะคลาวด์ล่มครั้งใหญ่ ทดสอบบอตเน็ตเจาะ IoT ทั่วโลก

นักวิจัยจาก FortiGuard Labs ตรวจพบความเคลื่อนไหวของบอตเน็ตสายพันธุ์ใหม่ในชื่อ “ShadowV2” ที่มีความแสบไม่เบา เพราะมันเลือกช่วงเวลาที่ระบบ AWS เกิดปัญหาล่มครั้งใหญ่เมื่อเดือนตุลาคมที่ผ่านมา เป็นจังหวะในการ “ทดสอบระบบ” ของตัวเองแบบเงียบๆ

ShadowV2 คืออะไร? และทำไมต้องกลัว?

ShadowV2 เป็นมัลแวร์ที่พัฒนาต่อยอดมาจาก Mirai (บอตเน็ตในตำนาน) โดยเวอร์ชันนี้ระบุตัวตนชัดเจนว่าเป็น “ShadowV2 Build v1.0.0 IoT version” เป้าหมายหลักของมันคือการไล่ล่าเจาะอุปกรณ์ IoT เช่น เราเตอร์, กล้องวงจรปิด, NAS และเครื่องบันทึกวิดีโอ (DVR) ที่มีช่องโหว่และยังไม่ได้รับการอัปเดต

ความน่าสนใจของเคสนี้คือ:
นักวิจัยพบว่า ShadowV2 มีการเคลื่อนไหว เฉพาะช่วงเวลาที่ AWS ล่มเท่านั้น แม้เหตุการณ์ทั้งสองจะไม่ได้เกี่ยวข้องกันโดยตรง แต่นี่อาจเป็นสัญญาณว่า แฮกเกอร์กำลังใช้ช่วงเวลาชุลมุนนี้เป็น “สนามทดสอบ” เพื่อวัดประสิทธิภาพการโจมตี หรือทดลองระบบควบคุม (C2) ก่อนจะเริ่มปฏิบัติการจริงจังในอนาคต

ทำอะไรได้บ้าง?

ความสามารถหลักของ ShadowV2 คือการระดมยิงถล่มเว็บไซต์หรือเซิร์ฟเวอร์ (DDoS) ผ่านโปรโตคอลต่างๆ (UDP, TCP, HTTP) ซึ่งถ้าบอตเน็ตนี้ขยายตัวใหญ่ขึ้น มันอาจกลายเป็นอาวุธที่ถูกนำไปปล่อยเช่าในตลาดมืดเพื่อโจมตีเรียกค่าไถ่ได้

เจาะผ่านช่องโหว่ที่ไม่มีการป้องกัน

ShadowV2 จะใช้วิธี “กวาดกราด” หาช่องโหว่เก่าๆ ที่ผู้ใช้อมักละเลยไม่อัปเดตแพตช์ โดยมีรายการช่องโหว่กว่า 8 รายการที่ถูกใช้เป็นทางผ่าน ได้แก่:

• D-Link: เป็นเป้าหมายใหญ่สุด (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
• TP-Link: (CVE-2024-53375)
• DD-WRT: (CVE-2009-2765) เก่ามากแต่ยังมีคนใช้
• DigiEver และ TBK

จุดที่น่ากังวลที่สุด: ช่องโหว่ของ D-Link หลายตัวเกิดขึ้นในอุปกรณ์รุ่นเก่าที่ End-of-Life (EoL) หรือหยุดการสนับสนุนไปแล้ว แปลว่าทางผู้ผลิตจะ ไม่มีการออกแพตช์แก้ไขใดๆ ให้อีก หากคุณยังใช้อุปกรณ์เหล่านี้อยู่ เท่ากับว่าเปิดประตูบ้านทิ้งไว้ให้โจรเข้าได้ตลอดเวลา

เป้าหมายไม่ใช่แค่เราเตอร์ตามบ้าน

แม้จะโจมตีอุปกรณ์ IoT แต่เป้าหมายของ ShadowV2 กว้างกว่านั้นมาก ข้อมูลระบุว่าการโจมตีครั้งนี้กระจายไปทั่วโลก ทั้งอเมริกา, ยุโรป, เอเชีย และออสเตรเลีย โดยเล็งเป้าไปที่องค์กรใน 7 กลุ่มธุรกิจหลัก รวมถึง หน่วยงานรัฐบาล บริษัทเทคโนโลยี ภาคการผลิต ผู้ให้บริการความปลอดภัย (MSSPs) โทรคมนาคม และภาคการศึกษา

ที่มา