ក្រុមហ៊ុន Microsoft ព្រមានថា ហេគឃ័រចិនប្រើ Quad7 Botnet សម្រាប់ធ្វើការកេងចំណេញលើ SOHO Routers ដើម្បីអាចគ្រប់គ្រង និងលួចអត្តសញ្ញាណនៅក្នុងការវាយប្រហារ Password-spray។Quad7 ក៏ត្រូវបានគេស្គាល់ថាជា CovertNetwork-1658 ឬ Xlogin ហើយក៏ជា Botnet ដំបូងគេដែលត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសុវត្ថិភាព Gi7worm មានដូចជា Routers SOHO ដែលត្រូវបានលួចចូល (Compromised)។ ក្រុមហ៊ុន Sekoia និង Team Cymru បានរាយការណ៍ថា ហេគឃ័រកំពុងតែមានគោលដៅលើ Routers និងឧបករណ៍ណិតវើកពីក្រុមហ៊ុន TP-Link, ក្រុមហ៊ុន ASUS, ឧបករណ៍ Ruckus wireless devices, Axentra NAS devices និង Zyxel VPN appliances ផងដែរ។
នៅពេលដែលឧបករណ៍ត្រូវបានវាយប្រហារ និងគ្រប់គ្រង ក្រុមហេគឃ័របានដាក់ពង្រាយមេរោគ ដែលអាចលួចចូលប្រើប្រាស់បានពីចម្ងាយទៅកាន់ឧបករណ៍ Telnet ដែលបង្ហាញផ្ទាំងស្វាគមន៍តែមួយគត់ដោយ (Display Unique Welcome Banners) ដោយផ្អែកលើឧបករណ៍ដែលគ្រប់គ្រងដូចខាងក្រោម៖
– xlogin- Telnet ភ្ជាប់ទៅ TCP port 7777 នៅលើ TP-Link Routers
– alogin- Telnet ភ្ជាប់ទៅ TCP port 63256 នៅលើ ASUS Routers
– rlogin- Telnet ភ្ជាប់ទៅ TCP port 63210 នៅលើ Ruckus wireless devices
– axlogin- ផ្ទាំង Telnet នៅលើឧបករណ៍ Axentra NAS (Port មិនស្គាល់ដូចមិនបានឃើញ)
– zylogin- Telnet ភ្ជាប់ទៅ TCP port 3256 នៅលើឧបករណ៍ Zyxel VPN (appliances)
សម្រាប់ការដំឡើងផ្សេងទៀត ហេគឃ័រដំឡើង SOCKS5 proxy server ត្រូវបានប្រើសម្រាប់ Proxy ឬបញ្ជូនបន្តការវាយប្រហារ ខណៈពេលដែលបញ្ចូលគ្នាជាមួយ Traffic ស្របច្បាប់ ដើម្បីគេចពីការតាមចាប់។
ខណៈពេលដែល Botnet មិនត្រូវបានបែងចែកទៅកាន់ហេគឃ័រជាក់លាក់នោះ ក្រុម Cymru បានតាមដានកម្មវិធី Proxy ដែលប្រើនៅលើ Routers ទាំងនេះ ទើបដឹងថាភ្ជាប់ទៅកាន់អ្នកប្រើប្រាស់ដែលរស់នៅក្នុងទីក្រុង Hangzhou ប្រទេសចិន។
Quad7 Botnet ប្រើសម្រាប់ការវាយប្រហារ Password-spray៖ ក្រុមហ៊ុន Microsoft បានបង្ហាញនៅថ្ងៃនេះថា Quad7 Botnet ត្រូវបានជឿថា ប្រតិបត្តិការពីប្រទេសចិនជាមួយនឹងហេគឃ័រជនជាតិចិន ដែលប្រើប្រាស់ការវាយប្រហារ និងគ្រប់គ្រងលើ Routers សម្រាប់លួចអត្តសញ្ញាណតាមរយៈការវាយប្រហារ Password Spray។ ក្រុមហ៊ុន Microsoft បានវាយតម្លៃថា ព័ត៌មានសម្ងាត់ដែលទទួលបានពីប្រតិបត្តិការ CovertNetwork-1658 Password Spray ត្រូវបានប្រើដោយហេគឃ័រជនជាតិចិនជាច្រើននាក់។ ជាពិសេស ក្រុមហ៊ុនបានសង្កេតឃើញថា ហេគឃ័រចិន Storm-0940 ប្រើព័ត៌មានសម្ងាត់ទាំងនេះបានពី CovertNetwork-1658។ ក្រុមហ៊ុន Microsoft បន្តថា នៅពេលវាយប្រហារ Password Spray ហេគឃ័រមិនឈ្លានពានទេ គ្រាន់តែ Log in ចូលគណនីនីមួយៗពីរបីដង ទំនងជាជៀសវាងនូវការបង្កការជូនដំណឹងណាមួយ។ នៅក្នុងយុទ្ធនាការនេះ CovertNetwork-1658 ប៉ុនប៉ងចូលគណនីតិចតួចបំផុតនៅក្នុងស្ថាប័នគោលដៅ។ ប្រមាណជា ៨០% នៃ CovertNetwork-1658 ចូលគណនីតែមួយប៉ុណ្ណោះ ក្នុងមួយថ្ងៃ។
ទោះជាយ៉ាងណា នៅពេលព័ត៌មានសម្ងាត់ត្រូវបានលួច ក្រុមហ៊ុន Microsoft សង្កេតឃើញថា Storm-0940 ប្រើព័ត៌មានទាំងនោះដើម្បីលួចចូលទៅក្នុងបណ្តាញណិតវើកគោលដៅ ពេលខ្លះលួចចូលនៅថ្ងៃដែលពួកគេលួចព័ត៌មានសម្ងាត់បានតែម្តង។ នៅពេលបណ្តាញណិតវើកត្រូវបានបើកចំហ ហេគឃ័រពង្រីកខ្លួនបន្ថែមតាមរយៈបណ្តាញណិតវើក ដោយការបោះចោលព័ត៌មានសម្ងាត់ និងដំឡើងមេរោគ RATs និង Proxy Tools សម្រាប់ការបន្តវត្តមាននៅលើបណ្តាញណិតវើក។ គោលដៅចុងក្រោយនៃការវាយប្រហារគឺដើម្បីច្រោះយកទិន្នន័យពីបណ្តាញណិតវើកគោលដៅ ទំនងជាក្នុងបំណងធ្វើចារកម្មសាយប័រ។ នៅថ្ងៃនេះ អ្នកស្រាវជ្រាវមិនបានកំណត់ពីរបៀបដែលហេគឃ័រ Quad7 កំពុងតែព្យាយាមវាយប្រហារដើម្បីអាចគ្រប់គ្រងលើ SOHO Routers និងឧបករណ៍ណិតវើកផ្សេងនោះទេ។ ទោះជាយ៉ាងណា Sekoia បានសង្កេតឃើញ ឧបករណ៍សុវត្ថិភាព Honeypots របស់ខ្លួនកំពុងតែត្រូវបានលួចចូលដោយហេគឃ័រ Quad7 ដែលប្រើប្រាស់បញ្ហា OpenWRT zero-day។ ក្រុមហ៊ុន Sekoia បានពន្យល់ថា ក្រុមហ៊ុនបានសង្កេតមើលការវាយប្រហារដ៏គួរឱ្យកត់សម្គាល់មួយដែលប្រើឯកសារដែលមិនមានការផ្ទៀងផ្ទាត់ ទំនងជាមិនមែនជាសាធារណៈនៅពេលនេះ (បើយោងតាមការស្រាវជ្រាវ Google Search) និងការបញ្ចូលពាក្យបញ្ជា។ របៀបដែលហេគឃ័របំពានលើឧបករណ៍ផ្សេងទៀតនៅមិនទាន់បានបង្ហាញនៅឡើយទេ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣១ ខែតុលា ឆ្នាំ២០២៤
