Malware ติดเชื่อมโยง Router 14,000 เครื่อง: ส่วนใหญ่เป็น Asus ในสหรัฐฯ ลบยากกว่าเดิม 10 เท่า

นักวิจัยด้านความปลอดภัย Lumen Technologies ค้นพบ malware ตัวใหม่ที่ติดตั้งบน router ในบ้านกว่า 14,000 เครื่อง ทั่วสหรัฐฯ โดยมีลักษณะพิเศษคือติดตั้งลึกถึงระดับ firmware ทำให้ลบได้ยากมาก

มัลแวร์ที่ยากจะกำจัดที่สุด

malware ที่ถูกตั้งชื่อว่า "Chacha" นี้ ใช้ช่องโหว่ zero-day ในเฟิร์มแวร์ router หลายยี่ห้อ แต่พบมากที่สุดในอุปกรณ์ Asus โดยติดตั้งตัวเองเป็นส่วนหนึ่งของ firmware แทนที่จะอยู่แค่ระดับแอปพลิเคชัน ทำให้การรีบูตเครื่องหรือ factory reset แบบธรรมดาก็ไม่สามารถกำจัดได้

การวิเคราะห์พบว่า Chacha สามารถ intercept traffic ทั้งหมดที่ผ่าน router รวมถึงรหัสผ่าน ข้อมูลการเงิน และข้อมูลส่วนตัว โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยกลุ่มแฮกเกอร์ พร้อมทั้งใช้ router ที่ติดเชื้อเป็น proxy สำหรับการโจมตี DDoS

นี่คือ malware router ที่ดื้อดึดที่สุดที่เราเคยเห็น — ต้องแฟลชเฟิร์มแวร์ใหม่จากผู้ผลิตเท่านั้นถึงจะกำจัดได้

— ทีมวิจัย Lumen Technologies

Asus ออก patch ฉุกเฉิน

Asus ได้ออก firmware update ฉุกเฉินสำหรับ router ที่ได้รับผลกระทบกว่า 30 รุ่น และแนะนำให้ผู้ใช้ตรวจสอบและอัปเดตเฟิร์มแวร์ทันที อย่างไรก็ตาม นักวิจัยคาดว่า router จำนวนมากยังคงติดเชื้อเพราะผู้ใช้ส่วนใหญ่ไม่เคยอัปเดตเฟิร์มแวร์ router

Lumen ได้แจ้ง FBI, CISA และ Asus แล้ว และกำลังทำงานร่วมกันเพื่อปิดเซิร์ฟเวอร์ C2 ที่ใช้ควบคุม botnet นี้ ผู้ใช้ที่สงสัยสามารถตรวจสอบได้ที่เว็บไซต์ Asus Security Advisory