“Kimwolf” มัลแวร์ตัวร้ายแฝงตัวและเปลี่ยนอุปกรณ์ Android 1.8 ล้านเครื่องทั่วโลก ให้กลายเป็นบอตเน็ต
ข้อมูลจาก Cloudflare ตรวจพบว่ามีเว็บไซต์ปริศนาชื่อยาวเหยียดอย่าง 14emeliaterracewestroxburyma02132[.]su มียอดการเข้าชมพุ่งสูงจนแซงหน้า Google ซึ่งเป็นเว็บไซต์เบอร์หนึ่งของโลกไปชั่วขณะหนึ่ง สิ่งนี้ไม่ใช่ความผิดพลาดของระบบ แต่เป็นสัญญาณชีพจรของ “Kimwolf” เครือข่ายบอตเน็ตมโหฬารที่แฝงตัวอยู่ในอุปกรณ์ Android กว่า 1.8 ล้านเครื่องทั่วโลก
ส่วนการค้นพบโดยทีมนักวิจัยจาก Xlab ได้เปิดเผยความน่าสะพรึงกลัวของเครือข่ายอาชญากรรมไซเบอร์ที่พวกเขาขนานนามว่าเป็น “บอตเน็ตที่บ้าคลั่งที่สุดในประวัติศาสตร์” ซึ่งไม่เพียงแต่มีขนาดมหึมา แต่ยังมีขีดความสามารถในการโจมตีทางไซเบอร์ที่รุนแรงจนน่ากังวล
ภัยเงียบในกล่องทีวีและการกลายพันธุ์จากมัลแวร์ในตำนาน
ความอันตรายของ Kimwolf แฝงตัวอยู่ใกล้ตัวกว่าที่เราคิด โดยเป้าหมายหลักของมันคืออุปกรณ์ Android ราคาประหยัดที่มักไม่ได้รับการรับรองมาตรฐานจาก Google (Non-certified devices) โดยเฉพาะกล่อง Android TV Box และแท็บเล็ตราคาถูกที่วางขายทั่วไปตามท้องตลาด อุปกรณ์เหล่านี้มักขาดระบบป้องกัน Google Play Protect ทำให้ตกเป็นเหยื่อได้ง่ายดาย
เมื่อมัลแวร์ฝังตัวสำเร็จ มันจะเปลี่ยนอุปกรณ์เครื่องโปรดในห้องนั่งเล่นของคุณให้กลายเป็น “ซอมบี้” ที่รอรับคำสั่งจากแฮกเกอร์ จากการวิเคราะห์เชิงลึกพบว่า Kimwolf มีความเชื่อมโยงกับ “Aisuru” บอตเน็ตชื่อดังในอดีต โดยมีการใช้ซอร์สโค้ดร่วมกันในช่วงแรก แต่ Kimwolf ได้ถูกพัฒนาให้ก้าวล้ำไปอีกขั้นด้วยเทคโนโลยีการอำพรางตัวขั้นสูงที่เรียกว่า EtherHiding ซึ่งใช้บล็อกเชนในการซ่อนโครงสร้างพื้นฐาน ทำให้ยากต่อการตรวจจับและปิดกั้น นอกจากนี้ มันยังมาพร้อมกับเขี้ยวเล็บครบครัน ทั้งความสามารถในการยิงถล่มเว็บไซต์ (DDoS) ด้วยความรุนแรงระดับ 30Tbps ซึ่งถือเป็นสถิติระดับโลก และความสามารถในการเป็น Proxy เพื่อช่วยให้อาชญากรรายอื่นอำพรางตัวตนในการก่อเหตุร้าย
สิ่งที่ทำให้ Kimwolf แตกต่างจากบอตเน็ตทั่วไปคือพฤติกรรมที่ก้าวร้าวและเย้ยหยันของผู้สร้าง เมื่อทีมวิจัย Xlab พยายามเข้าแทรกแซงและยึดเซิร์ฟเวอร์ควบคุมบางส่วน แฮกเกอร์ไม่ได้เพียงแค่ถอยหนี แต่กลับตอบโต้ด้วยการยิง DDoS ใส่ทีมนักวิจัย พร้อมฝังข้อความดูหมิ่น เหยียดเชื้อชาติ และล้อเลียน Brian Krebs นักข่าวสายความปลอดภัยชื่อดังไว้ในโค้ดมัลแวร์ ราวกับเป็น “Easter eggs” ที่ทิ้งไว้ท้าทายผู้ไล่ล่า
แม้ปฏิบัติการกวาดล้างจะทำให้จำนวนบอตลดลงชั่วคราว แต่แฮกเกอร์กลุ่มนี้ก็ได้อัปเกรดระบบและประกาศกร้าวอย่างเย่อหยิ่งว่าพวกเขายังมีเซิร์ฟเวอร์อีกนับร้อยที่พร้อมใช้งาน สถานการณ์นี้สะท้อนให้เห็นว่าสงครามไซเบอร์ครั้งนี้ยังไม่จบง่ายๆ ดังนั้นสำหรับผู้ใช้งานทั่วไป เกราะป้องกันที่ดีที่สุดคือการหลีกเลี่ยงการใช้อุปกรณ์ Android ราคาถูกที่ไม่มีที่มาที่ไป ไม่ผ่านการรับรองมาตรฐาน หมั่นอัปเดตเฟิร์มแวร์สม่ำเสมอ และตั้งรหัสผ่านที่รัดกุม เพราะอุปกรณ์เพื่อความบันเทิงในบ้านของคุณ อาจกำลังกลายเป็นอาวุธร้ายที่แฮกเกอร์ใช้โจมตีโลกไซเบอร์โดยที่คุณไม่รู้ตัว