ទីភ្នាក់ងារអនុវត្តច្បាប់ជាតិកងរាជអាវុធហត្ថលើផ្ទៃប្រទេសនៅថ្ងៃនេះបានប្រកាសពីការដកយកចេញនូវមេរោគមួយក្នុងចំណោមមេរោគ RETADUP botnet ដែលរីករាលដាលធំបំផុត និងវិធីដែលវាបាន សម្លាប់មេរោគនៅលើកុំព្យូទ័រច្រើនជាង ៨៥០,០០០ នៅទូទាំងពិភពលោកដោយមានជំនួយពីអ្នក ស្រាវជ្រាវ។ កាលពីដើមឆ្នាំនេះអ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពនៅក្រុមហ៊ុន Avast កំចាត់មេរោគដែល កំពុងតាមដានយ៉ាងសកម្មនូវសកម្មភាពរបស់ RETADUP botnet បានរកឃើញថាមានកំហុសឆ្គង មួយនៅក្នុងពិធីសារ C&C របស់មេរោគដែលអាចត្រូវបានគេយកទៅកំចាត់មេរោគចេញពីកុំព្យូទ័រ របស់ជនរងគ្រោះដោយមិនចាំបាច់ប្រើប្រាស់លេខកូដបន្ថែម។
ទោះយ៉ាងណាក៏ដោយដើម្បីធ្វើដូច្នេះផែនការនេះតម្រូវឱ្យអ្នកស្រាវជ្រាវមានការគ្រប់គ្រងលើម៉ាស៊ីនមេC&C ដែលត្រូវបានរៀបចំឡើងជាមួយអ្នកផ្តល់សេវាបង្ហោះដែលមានទីតាំងស្ថិតនៅតំបន់ IIe-de-France នៅភាគកណ្តាលខាងជើងប្រទេសបារាំង។ ដូច្នេះអ្នកស្រាវជ្រាវបានទាក់ទងមជ្ឈមណ្ឌលប្រយុទ្ធប្រឆាំងឧក្រិដ្ឋកម្មតាមប្រព័ន្ធអ៊ីនធឺរណិត (C3N) នៃកងរាជអាវុធហត្ថជាតិបារាំងនៅចុងខែមីនានេះបានចែករំលែកការរកឃើញរបស់ពួកគេហើយបានស្នើផែនការសម្ងាត់មួយដើម្បីបញ្ចប់វីរុស RETADUP និងការពារជនរងគ្រោះ។
យោងតាមផែនការដែលបានស្នើឡើងអាជ្ញាធរបារាំងបានគ្រប់គ្រងលើម៉ាស៊ីនមេ RETADUP C&C កាលពីខែកក្កដា ហើយបានជំនួសវាដោយម៉ាស៊ីនមេការពារកំចាត់មេរោគដែលបានរំលោភបំពាន លើគុណវិបត្តិនៃការរចនានៅក្នុងពិធីសាររបស់ខ្លួន និងបានបញ្ជាករណីដែលទាក់ទងនឹងមេរោគ RETADUP លើកុំព្យូទ័រដែលឆ្លងមេរោគទៅបំផ្លាញខ្លួនឯង។ អ្នកស្រាវជ្រាវពន្យល់ថា “នៅក្នុងវិនាទី ដំបូងនៃសកម្មភាពរបស់វាមាន bots រាប់ពាន់ដែលភ្ជាប់ទៅនឹងវាក្នុងគោលបំណងដើម្បីទទួលយក ពាក្យបញ្ជាពីម៉ាស៊ីនមេ។ ម៉ាស៊ីនមេបានឆ្លើយតបទៅនឹងពួកគេ និងសម្លាប់មេរោគដោយរំលោភលើ គុណវិបត្តិនៃការរចនាពិធីសារ C&C” យោងតាមការផ្សព្វផ្សាយនៅថ្ងៃនេះ។ “នៅពេលផ្សព្វផ្សាយអត្ថបទនេះការសហការគ្នាបានបន្សាបការឆ្លងមេរោគ RETADUP ចំនួន ៨៥០,០០០”។
យោងតាមលោក Jean-Dominique Nollet ប្រធានការិយាល័យស៊ើបការណ៍ឧក្រិដ្ឋកម្មជាតិនៃកងរាជ អាវុធហត្ថបានឲ្យដឹងថា អាជ្ញាធរនឹងរក្សាម៉ាស៊ីនមេតាមអ៊ីនធឺរណិតក្នុងរយៈពេលពីរបីខែទៀត ព្រោះ កុំព្យូទ័រដែលមានមេរោគខ្លះមិនទាន់មានទំនាក់ទំនងជាមួយប៉ូលីស C&C ដែលគ្រប់គ្រងដោយប៉ូលីស ។ បាននៅក្រៅបណ្តាញចាប់តាំងពីខែកក្កដាខណៈពេលដែលអ្នកផ្សេងទៀតមានបញ្ហាបណ្តាញ។
ប៉ូលីសបារាំងក៏បានទាក់ទងទៅ FBI ផងដែរបន្ទាប់ពីបានរកឃើញផ្នែកខ្លះនៃហេដ្ឋារចនាសម្ព័ន្ធ C&C របស់ RETADUP នៅអាមេរិក។ បន្ទាប់មក FBI បានទម្លាក់ពួកគេចោលនៅថ្ងៃទី៨ ខែកក្កដាដោយ បន្សល់ទុកអ្នកបង្កើតមេរោគដោយគ្មានការគ្រប់គ្រងលើ bots។ អ្នកស្រាវជ្រាវបាននិយាយថា “ដោយ សារតែវាជាការទទួលខុសត្រូវរបស់ C&C ក្នុងការផ្តល់ការងារធ្វើ mining jobs នោះមិនមានអ្នកណា ម្នាក់បានទទួលការងារ mining jobs ដើម្បីប្រតិបត្តិទេបន្ទាប់ពីការបញ្ឈប់នេះ”។ នេះមានន័យថាពួកគេ មិនអាចលែងអំណាចកុំព្យូទ័ររបស់ជនរងគ្រោះ ហើយអ្នកនិពន្ធមេរោគមិនទទួលបានប្រាក់កាសពី mining ទៀតទេ។ ត្រូវបានបង្កើតឡើងក្នុងឆ្នាំ ២០១៥ និងកុំព្យូទ័រដែលមានមេរោគជាចម្បងនៅទូទាំង អាមេរិកឡាទីន RETADUP គឺជាមេរោគ Window ពហុមុខងារដែលមានសមត្ថភាពក្នុងការ mining cryptocurrency ដោយប្រើថាមពលកុំព្យូទ័ររបស់ម៉ាស៊ីនដែលមានមេរោគ DDoSing ហេដ្ឋារចនា សម្ព័ន្ធគោលដៅប្រើប្រាស់កម្រិតបញ្ជូនរបស់ជនរងគ្រោះ និងប្រមូលព័ត៌មានសម្រាប់ចារកម្ម។
មានបំរែបំរួលជាច្រើននៃ RETADUP ដែលមួយចំនួនត្រូវបានសរសេរជា Autoit ឬប្រើ AutoHotkey។ មេរោគត្រូវបានគេរចនាឡើងដើម្បីទទួលបាននូវភាពខ្ជាប់ខ្ជួននៅលើកុំព្យួទ័រ Window តំឡើងបន្ទុក មេរោគបន្ថែមនៅលើម៉ាស៊ីនដែលមានមេរោគ ហើយជារឿយៗធ្វើការប៉ុនប៉ងផ្សេងទៀតដើម្បីពង្រីក ខ្លួនវា។
ក្រៅពីការចែកចាយមេរោគ crytocurrency ជាបន្ទុកបន្ថែម RETADUP ក្នុងករណីខ្លះក៏ត្រូវបានគេរក ឃើញថាកំពុងចែកចាយនូវកម្មវិធីបញ្ឈប់ ransomware និងអ្នកលួចពាក្យសម្ងាត់ Arkei ផងដែរ។ អ្នកស្រាវជ្រាវបានដឹងបន្ទាប់ពីវិភាគលើវត្ថុដែលត្រូវបានរឹបអូសនោះថា “ម៉ាស៊ីនមេ C&C ក៏មាន ឧបករណ៍បញ្ជា NET សម្រាប់ Autolt RAT ហៅថា HoudRat។ “HoudRat មានសមត្ថភាពអនុវត្តពាក្យ បញ្ជាតាមអំពើចិត្ត ចុចចាប់យករូបថតអេក្រង់ លួចពាក្យសម្ងាត់ ទាញយកឯកសារតាមអំពើចិត្ត និង ច្រើនទៀត”។ នៅពេលនៃការបោះពុម្ពផ្សាយអត្ថបទនេះអាជ្ញាធរបានបន្សាបការឆ្លងមេរោគ Retadup ចំនួន ៨៥០,០០០ ករណីដែលភាគច្រើននៃជនរងគ្រោះគឺមកពីប្រទេសនិយាយភាសាអេស្ប៉ាញនៅ អាមេរិកឡាទីន។
https://thehackernews.com/2019/08/retadup-botnet-malware.html