ក្រុមអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Kaspersky Lab ឱ្យដឹងថា ASUS ដែលជាក្រុមហ៊ុនផលិតកុំព្យូទ័រធំជាងគេនៅលើពិភពលោកត្រូវគេប្រើប្រាស់ដោយមិនចាំបាច់តំឡើង Backdoor ដែលមានគ្រោះថ្នាក់លើម៉ាស៊ីនកំព្យូទ័ររបស់ខ្លួនរាប់ពាន់នាក់កាលពីឆ្នាំមុនបន្ទាប់ពីអ្នកវាយប្រហារធ្វើឱ្យខូចម៉ាស៊ីនបម្រើរបស់ក្រុមហ៊ុន។ Kaspersky Lab និយាយថាឯកសារព្យាបាទនេះត្រូវចុះហត្ថលេខាជាមួយវិញ្ញាបនប័ត្រឌីជីថល ASUS ស្របច្បាប់ដើម្បីធ្វើឱ្យវាក្លាយទៅជាការធ្វើបច្ចុប្បន្នភាពកម្មវិធីពីក្រុមហ៊ុន។
ក្រុមហ៊ុន ASUS ដែលមានមូលដ្ឋាននៅតៃវ៉ាន់ដែលផលិតកុំព្យូទ័រយួរដៃ កុំព្យូទ័រលើតុ ទូរស័ព្ទចល័តប្រព័ន្ធលំនៅដ្ឋានឆ្លាតវៃ និងអេឡិចត្រូនិចដទៃទៀតជំរុញការប្រើប្រាស់ Backdoorទៅកាន់អតិថិជនយ៉ាងហោចណាស់ ៥ខែកាលពីឆ្នាំមុនមុនពេលត្រូវរកឃើញ នេះយោងតាមការស្រាវជ្រាវថ្មីមួយពីក្រុមហ៊ុនសន្តិសុខដែលមានមូលដ្ឋាននៅទីក្រុងម៉ូស្គូ។
ក្រុមអ្នកស្រាវជ្រាវប៉ាន់ប្រមាណថាពាក់កណ្តាលលាននៃម៉ាស៊ីនវីនដូទទួលនូវ Backdoor ដែលមានគ្រោះថ្នាក់តាមរយៈម៉ាស៊ីនធ្វើបច្ចុប្បន្នភាពរបស់ ASUS ទោះបីជាអ្នកវាយប្រហារហាក់ដូចជាសំដៅទៅលើតែប្រព័ន្ធប្រហែល ៦00 ប៉ុណ្ណោះ។ មេរោគស្វែងរកប្រព័ន្ធកំណត់គោលដៅតាមរយៈអាសយដ្ឋាន MAC តែមួយគត់របស់ពួកគេ។ នៅពេលដែលនៅលើប្រព័ន្ធមួយ ប្រសិនបើវារកឃើញអាសយដ្ឋានមួយក្នុងចំណោមគោលដៅទាំងនេះ នោះមេរោគទៅដល់ម៉ាស៊ីនមេបញ្ជានិងគ្រប់គ្រងដែលអ្នកវាយប្រហារប្រតិបត្តិការដែលបន្ទាប់មកដំឡើងមេរោគបន្ថែមលើម៉ាស៊ីនទាំងនោះ។
Kaspersky Lab និយាយថាវារកឃើញការវាយប្រហារនៅខែមករាបន្ទាប់ពីបន្ថែមបច្ចេកវិទ្យារកឃើញខ្សែសង្វាក់ផ្គត់ផ្គង់ថ្មីទៅឧបករណ៍ស្កេនរបស់ខ្លួនដើម្បីចាប់យកបំណែកកូដដែលមិនប្រក្រតីដែលលាក់នៅក្នុងកូដស្របច្បាប់ឬចាប់កូដដែលកំពុងប្លន់ប្រតិបត្តិការធម្មតាលើម៉ាស៊ីន។ ក្រុមហ៊ុនមានគម្រោងចេញផ្សាយនូវក្រដាសបច្ចេកទេសនិងបទបង្ហាញអំពីការវាយប្រហាររបស់ ASUS ដែលខ្លួនដាក់ឈ្មោះ ShadowHammer នៅខែក្រោយនៅឯកិច្ចប្រជុំកំពូលអ្នកវិភាគសន្តិសុខនៅសិង្ហបុរី។ ទន្ទឹមនឹងនេះដែរ Kaspersky បោះពុម្ពផ្សាយនូវព័ត៌មានលម្អិតនៃបច្ចេកទេសមួយចំនួននៅលើគេហទំព័ររបស់ខ្លួន។
យើងឃើញការធ្វើឱ្យទាន់សម័យពីម៉ាស៊ីនបម្រើ Live Update ASUS ។ ពួកគេត្រូវគេធ្វើឱ្យទាន់សម័យឬធ្វើទាន់សម័យភាពព្យាបាទហើយពួកគេត្រូវចុះឈ្មោះដោយ ASUS »។
បញ្ហានេះបង្ហាញពីការគំរាមកំហែងដែលកំពុងតែកើនឡើងពីការវាយប្រហារខ្សែចង្វាក់ផ្គត់ផ្គង់ដែលជាកន្លែងដែលកម្មវិធីឬគ្រឿងបន្លាស់ដែលមានគ្រោះថ្នាក់ត្រូវដំឡើងនៅលើប្រព័ន្ធនៅពេលដែលពួកគេផលិតឬដំឡើងឬតាមរយៈបណ្តាញអ្នកចែកចាយដែលទុកចិត្ត។ កាលពីឆ្នាំមុន សហរដ្ឋអាមេរិកចាប់ផ្តើមកម្លាំងការងារក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់មួយដើម្បីពិនិត្យមើលបញ្ហានេះបន្ទាប់ពីការវាយប្រហារជាច្រើនដែលត្រូវរកឃើញនៅក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ។ ទោះបីជាការយកចិត្តទុកដាក់បំផុតទៅលើការវាយតម្លៃផ្គត់ផ្គង់ខ្សែចង្វាក់ផ្តោតលើសក្តានុពលនៃការដាក់បញ្ចូលមេរោគទៅកាន់ផ្នែករឹងឬផ្នែកទន់ក្នុងអំឡុងពេលផលិតក៏ដោយ ការធ្វើបច្ចុប្បន្នភាពកម្មវិធីលក់គឺជាមធ្យោបាយដ៏ល្អបំផុតសម្រាប់អ្នកវាយប្រហារដើម្បីចែកចាយមេរោគទៅកាន់ប្រព័ន្ធបន្ទាប់ពីពួកគេត្រូវលក់ាដោយសារអតិថិជនជឿជាក់លើការធ្វើបច្ចុប្បន្នភាពរបស់អ្នកលក់។ ជាពិសេសប្រសិនបើពួកគេចុះឈ្មោះជាមួយវិញ្ញាបនប័ត្រឌីជីថលស្របច្បាប់របស់អ្នកលក់។
លោក Vitaly Kamluk នាយកប្រចាំតំបន់អាស៊ីប៉ាស៊ីហ្វិកនៃក្រុមស្រាវជ្រាវនិងវិភាគសកលនៃKaspersky Lab ដែលដឹកនាំការស្រាវជ្រាវនិយាយថា “ការវាយប្រហារនេះបង្ហាញថាគំរូនៃការជឿទុកចិត្តដែលយើងកំពុងប្រើដោយផ្អែកលើឈ្មោះរបស់អ្នកលក់ដែលស្គាល់និងសុពលភាពនៃហត្ថលេខាឌីជីថលមិនអាចធានាថាអ្នកមានសុវត្ថិភាពពីមេរោគនោះទេ” ។ លោកកត់សម្គាល់ថា ASUS បដិសេធចំពោះ Kaspersky ថាម៉ាស៊ីនមេរបស់ខ្លួនត្រូវសម្របសម្រួលហើយថាមេរោគនេះមកពីបណ្តាញរបស់ខ្លួននៅពេលអ្នកស្រាវជ្រាវទាក់ទងក្រុមហ៊ុននេះកាលពីខែមករា។ ប៉ុន្តែការទាញយកផ្លូវសម្រាប់គំរូមេរោគ Kaspersky ប្រមូលនាំដោយផ្ទាល់ត្រឡប់ទៅម៉ាស៊ីនបម្រើ ASUS ។
Motherboard បញ្ជូន ASUS នូវបញ្ជីពាក្យបណ្តឹងដែលធ្វើឡើងដោយ Kaspersky នៅក្នុងអ៊ីម៉ែល ៣ ដាច់ដោយឡែកកាលពីថ្ងៃព្រហស្បតិ៍ប៉ុន្ដែមិនឮដំណឹងពីក្រុមហ៊ុននោះទេ។
ប៉ុន្តែក្រុមហ៊ុនសន្តិសុខ Symantec ដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិកបញ្ជាក់ពីការរកឃើញរបស់ Kaspersky កាលពីថ្ងៃសុក្របន្ទាប់ពីត្រូវសួរដោយ Motherboard ដើម្បីពិនិត្យមើលថាតើអតិថិជនរបស់ខ្លួនណាមួយក៏ទទួលការទាញយកមេរោគនេះដែរ។ ក្រុមហ៊ុននេះនៅតែកំពុងស៊ើបអង្កេតបញ្ហានេះ ប៉ុន្តែនិយាយនៅក្នុងទូរស័ព្ទថាយ៉ាងហោចណាស់កុំព្យូទ័រចំនួន ១៣.000 ដែលជាកម្មសិទ្ធិរបស់អតិថិជនរបស់ Symantec ត្រូវឆ្លងមេរោគពីការធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលមានគ្រោះថ្នាក់ពីក្រុមហ៊ុន ASUS កាលពីឆ្នាំមុន។
យើងឃើញការធ្វើឱ្យទាន់សម័យចុះពីម៉ាស៊ីនបម្រើ Live Update ASUS ។ ពួកគេត្រូវគេធ្វើឱ្យទាន់សម័យឬធ្វើឱ្យទាន់សម័យព្យាបាទហើយពួកគេត្រូវចុះហត្ថលេខាដោយក្រុមហ៊ុន ASUS “។ នេះបើតាមសម្តីរបស់លោក Liam O'Murchu នាយកផ្នែកអភិវឌ្ឍបច្ចេកវិទ្យាសុវត្ថិភាពនិងឆ្លើយតបរបស់ក្រុមហ៊ុន Symantec ។
នេះមិនមែនជាលើកទីមួយទេដែលអ្នកវាយប្រហារប្រើការធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលជឿទុកចិត្តដើម្បីចម្លងមេរោគទៅប្រព័ន្ធ។ ឧបករណ៍ចារកម្ម Flame ដ៏ល្បីល្បាញដែលត្រូវបង្កើតឡើងដោយអ្នកវាយប្រហារមួយចំនួននៅពីក្រោយ Stuxnet គឺជាការវាយប្រហារដែលគេស្គាល់ដំបូងគេបង្អស់ដើម្បីបញ្ឆោតអ្នកប្រើតាមមធ្យោបាយនេះដោយប្លន់ឧបករណ៍ធ្វើបច្ចុប្បន្នភាព Microsoft Windows នៅលើម៉ាស៊ីនដើម្បីចម្លងកុំព្យូទ័រ។ Flame ដែលត្រូវរកឃើញនៅឆ្នាំ ២០១២ ត្រូវចុះហត្ថលេខាជាមួយនឹងវិញ្ញាបនបត្រ Microsoft ដែលគ្មានការអនុញ្ញាតថាអ្នកវាយប្រហារបោកបញ្ឆោតប្រព័ន្ធរបស់ Microsoft ក្នុងការផ្តល់ឱ្យពួកគេ។ អ្នកវាយប្រហារក្នុងករណីនោះមិនសម្រុះសម្រួលដល់ម៉ាស៊ីនមេធ្វើបច្ចុប្បន្នភាពរបស់ Microsoft ដើម្បីផ្តល់ឱ្យ Flame ទេ។ ផ្ទុយទៅវិញ ពួកគេអាចប្តូរទិសកម្មវិធីធ្វើបច្ចុប្បន្នភាពកម្មវិធីនៅលើម៉ាស៊ីននៃអតិថិជនដែលកំណត់គោលដៅ ដូច្នេះពួកគេទាក់ទងទៅម៉ាស៊ីនបម្រើដែលមានគ្រោះថ្នាក់ដែលអ្នកវាយប្រហារត្រូវគ្រប់គ្រងជំនួសឱ្យម៉ាស៊ីនមេធ្វើបច្ចុប្បន្នភាពរបស់ Microsoft ។
ការវាយប្រហារពីរផ្សេងគ្នាដែលរកឃើញនៅឆ្នាំ២០១៧ ក៏ធ្វើឱ្យប៉ះពាល់ដល់ការធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលទុកចិត្ត។ ការវាយប្រហារមួយពាក់ព័ន្ធនឹងឧបករណ៍សំអាតសុវត្ថិភាពកុំព្យូទ័រដែលត្រូវគេស្គាល់ថា CCleaner ដែលកំពុងបញ្ជូនមេរោគទៅកាន់អតិថិជនតាមរយៈការធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ អតិថិជនជាង ២លាននាក់ទទួលការធ្វើបច្ចុប្បន្នភាពព្យាបាទមុនពេលវាត្រូវរកឃើញ។ ឧបទ្ទវហេតុមួយផ្សេងទៀតពាក់ព័ន្ធនឹងការវាយប្រហារ notPetya ដ៏ល្បីល្បាញដែលចាប់ផ្ដើមនៅក្នុងប្រទេសអ៊ុយក្រែននិងម៉ាស៊ីនឆ្លងតាមរយៈការធ្វើឱ្យទាន់សម័យព្យាបាទទៅកញ្ចប់កម្មវិធីគណនេយ្យ។
លោក Ostin Raiu ប្រធានក្រុមស្រាវជ្រាវនិងវិភាគសកលនៃក្រុមហ៊ុន Kaspersky និយាយថា ការវាយប្រហាររបស់ ASUS ខុសពីអ្នកដទៃទៀត។ “ខ្ញុំសូមនិយាយថាការវាយប្រហារនេះលេចធ្លោចេញពីអតីតកាលដែលមានកម្រិតនៃភាពស្មុគស្មាញនិងភាពខ្លាំងនៃការលួចថែមមួយកម្រិតទៀត។ តម្រងគោលដៅនៅក្នុងវិធីវះកាត់ដោយអាសយដ្ឋាន MAC របស់ពួកគេគឺជាហេតុផលមួយក្នុងចំណោមហេតុផលដែលវាមិនអាចការពារយូរ។ ប្រសិនបើអ្នកមិនមែនជាគោលដៅទេនោះ មេរោគនឹងស្ងាត់វិញ “។
ប៉ុន្តែបើទោះបីជានៅស្ងៀមលើប្រព័ន្ធដែលមិនមានគោលដៅក៏ដោយ មេរោគនៅតែផ្តល់ឱ្យអ្នកវាយប្រហារនូវ Backdoor នៅក្នុងប្រព័ន្ធ ASUS ដែលមានមេរោគ។
លោក Tony Sager អនុប្រធានជាន់ខ្ពស់នៅមជ្ឈមណ្ឌលការពារសុវត្ថិភាពអ៊ីនធឺណិតដែលធ្វើការវិភាគពីភាពងាយរងគ្រោះសម្រាប់ NSA អស់ជាច្រើនឆ្នាំនិយាយថា វិធីសាស្ត្រដែលអ្នកវាយប្រហារជ្រើសរើសដើម្បីកំណត់គោលដៅកុំព្យូទ័រជាក់លាក់គឺចម្លែក។
លោកប្រាប់ Motherboard តាមទូរស័ព្ទថា “ការវាយប្រហារខ្សែចង្វាក់ផ្គត់ផ្គង់គឺស្ថិតនៅក្នុងប្រភេទ‘បញ្ហាធំ‘ ហើយជាសញ្ញានៃអ្នកណាម្នាក់ដែលប្រុងប្រយ័ត្នអំពីរឿងនេះហើយធ្វើផែនការមួយចំនួន។ ប៉ុន្តែ ការដាក់អ្វីមួយដែលអាចប៉ះពាល់ដល់គោលដៅរាប់ម៉ឺននាក់នៅពេលដែលអ្នកពិតជាកំពុងធ្វើសកម្មភាពក្រោយមនុស្សតែពីរបីនាក់គឺពិតកំពុងធ្វើអ្វីមួយដោយញញួរ»។
ក្រុមអ្នកស្រាវជ្រាវ Kaspersky រកឃើញមេរោគដំបូងនៅលើម៉ាស៊ីនរបស់អតិថិជននៅថ្ងៃទី ២៩ ខែមករា។ បន្ទាប់ពីពួកគេបង្កើតហត្ថលេខាដើម្បីរកឯកសារព្យាបាទទាន់សម័យនៅលើប្រព័ន្ធអតិថិជនដទៃទៀត។ ពួកគេរកឃើញថាមានអតិថិជនជាង ៥៧.000 នាក់ឆ្លងមេរោគ។ ទោះបីជាយ៉ាងណាក៏ដោយ ចំនួនជនរងគ្រោះគឺចំពោះតែអ្នកមានគណនី Kaspersky ប៉ុណ្ណោះ។ លោក Kamluk និយាយថាចំនួនពិតពិតប្រាកដទំនងជាមានរាប់រយពាន់នាក់។
ភាគច្រើននៃម៉ាស៊ីនឆ្លងមេរោគដែលជាកម្មសិទ្ធិរបស់អតិថិជន Kaspersky (ប្រហែល ១៨%) គឺនៅក្នុងប្រទេសរុស្ស៊ី និងមានចំនួនតិចនៅប្រទេសអាល្លឺម៉ង់ និងបារាំង។ មានតែ ៥% នៃអតិថិជនរបស់ Kaspersky នៅសហរដ្ឋអាមេរិកដែលមានមេរោគនោះ។ លោក O'Murchu នៃក្រុមហ៊ុន Symantec និយាយថាប្រហែល ១៥ភាគរយនៃម៉ាស៊ីនចំនួន ១៣,000 ដែលជារបស់អតិថិជនដែលឆ្លងមេរោគរបស់ក្រុមហ៊ុនលោកគឺនៅសហរដ្ឋអាមេរិក។
លោក Kamluk ឱ្យដឹងថា Kaspersky ជូនដំណឹងដល់ក្រុមហ៊ុន ASUS កាលពីថ្ងៃទី ៣១ ខែមករា ហើយបុគ្គលិក Kaspersky ជួបជាមួយក្រុមហ៊ុន ASUS នៅថ្ងៃទី ១៤ ខែកុម្ភៈ។ ប៉ុន្តែលោកថ្លែងថា ក្រុមហ៊ុននេះមិនឆ្លើយតបអ្វីខ្លាំងក្លាទេចាប់តាំងពីពេលនោះមក ហើយមិនជូនដំណឹងដល់អតិថិជនរបស់ ASUS អំពីបញ្ហានេះដែរ។
អ្នកវាយប្រហារប្រើវិញ្ញាបនប័ត្រឌីជីថល ASUS ពីរផ្សេងគ្នាដើម្បីចុះហត្ថលេខាលើមេរោគរបស់ពួកគេ។ វិញ្ញាបនប័ត្រទីមួយផុតកំណត់នៅពាក់កណ្តាលឆ្នាំ ២០១៨ ដូច្នេះអ្នកវាយប្រហារប្តូរទៅជាវិញ្ញាបនប័ត្រ ASUS ស្របច្បាប់ទីពីរដើម្បីចុះហត្ថលេខាលើ malware របស់ពួកគេបន្ទាប់ពីនេះ។
លោក Kamluk និយាយថា ក្រុមហ៊ុន ASUS បន្តប្រើវិញ្ញាបនប័ត្រសម្របសម្រួលមួយដើម្បីចុះហត្ថលេខាលើឯកសារផ្ទាល់ខ្លួនរបស់ខ្លួនយ៉ាងហោចណាស់មួយខែបន្ទាប់ពី Kaspersky ជូនដំណឹងដល់ក្រុមហ៊ុនអំពីបញ្ហានេះ ទោះបីជាចាប់តាំងពីពេលនោះមកបញ្ឈប់ក៏ដោយ។ ប៉ុន្តែលោក Kamluk និយាយថា ក្រុមហ៊ុន ASUS នៅតែមិនទាន់បិទវិញ្ញាបនប័ត្រដែលសម្រុះសម្រួលទាំងពីរនេះ មានន័យថា អ្នកវាយប្រហារឬនរណាម្នាក់ដែលមានសិទ្ធិចូលប្រើវិញ្ញាបនប័ត្រដែលមិនទាន់ផុតកំណត់នៅតែអាចចុះហត្ថលេខាលើឯកសារដែលមានគ្រោះថ្នាក់ ហើយម៉ាស៊ីននឹងមើលឯកសារទាំងនោះជាឯកសារស្របច្បាប់របស់ ASUS ។
នេះមិនមែនជាលើកទីមួយទេដែលក្រុមហ៊ុន ASUS ត្រូវចោទប្រកាន់ពីបទធ្វើឱ្យខូចខាតដល់អតិថិជនរបស់ខ្លួន។ នៅក្នុងឆ្នាំ២០១៦ ក្រុមហ៊ុននេះត្រូវចោទប្រកាន់ដោយគណៈកម្មការពាណិជ្ជកម្មសហព័ន្ធដោយធ្វើការបកស្រាយមិនត្រឹមត្រូវនិងការអនុវត្តផ្នែកសុវត្ថិភាពដោយអយុត្តិធម៌លើភាពងាយរងគ្រោះជាច្រើននៅក្នុងប្រព័ន្ទរ៉ោតទ័ររបស់ខ្លួន ក្នុងកន្លែងផ្ទុកទិន្នន័យ cloud បម្រុងទុក និងឧបករណ៍ធ្វើបច្ចុប្បន្នភាពកម្មវិធីបង្កប់ដែលអាចឱ្យអ្នកវាយប្រហារចូលដំណើរការឯកសារអតិថិជននិងចូលក្នុងរ៉ោតទ័រ។ FTC អះអាងថា ក្រុមហ៊ុន ASUS ដឹងអំពីភាពងាយរងគ្រោះទាំងនោះអស់រយៈពេលយ៉ាងហោចណាស់មួយឆ្នាំមុនពេលធ្វើការជួសជុលនិងជូនដំណឹងដល់អតិថិជនដោយធ្វើឱ្យម្ចាស់ឧបករណ៍រ៉ោតទ័រជិតមួយលាននាក់ប្រឈមនឹងការវាយប្រហារ។ ASUS ដោះស្រាយសំណុំរឿងនេះដោយយល់ព្រមបង្កើតនិងថែរក្សាកម្មវិធីសន្តិសុខដ៏ទូលំទូលាយមួយដែលនឹងត្រូវធ្វើសវនកម្មឯករាជ្យក្នុងរយៈពេល ២០ ឆ្នាំ។
ឧបករណ៍ធ្វើបច្ចុប្បន្នភាព ASUS ដែលបញ្ជូនមេរោគទៅកាន់អតិថិជនកាលពីឆ្នាំមុនត្រូវដំឡើងនៅរោងចក្រនៅលើកុំព្យូទ័រយួរដៃ ASUS និងឧបករណ៍ផ្សេងទៀត។ នៅពេលដែលអ្នកប្រើបើកវា ឧបករណ៍នឹងទាក់ទងអាស័យដ្ឋានធ្វើបច្ចុប្បន្នភាពរបស់ ASUS ជាទៀងទាត់ដើម្បីមើលថាតើកម្មវិធីបង្កប់ឬការធ្វើបច្ចុប្បន្នភាពកម្មវិធីផ្សេងទៀតណាមួយអាចរក។
ពួកគេចង់ចូលទៅក្នុងគោលដៅច្បាស់លាស់ហើយពួកគេដឹងជាមុននូវអាសយដ្ឋានកាតបណ្តាញ MAC របស់ពួកគេដែលគួរឱ្យចាប់អារម្មណ៍ណាស់។
ឯកសារព្យាបាទរុញទៅម៉ាស៊ីនអតិថិជនតាមរយៈឧបករណ៍នេះត្រូវគេហៅថា setup.exe និងសំដៅលើការធ្វើបច្ចុប្បន្នភាពឧបករណ៍ធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង។ ជាការពិត វាជាឯកសារទាន់សម័យរបស់ ASUS ដែលមានអាយុ ៣ឆ្នាំចាប់ពីឆ្នាំ ២០១៥ ដែលអ្នកវាយប្រហារបញ្ចូលជាមួយកូដដែលមានគ្រោះថ្នាក់មុននឹងចុះហត្ថលេខាជាមួយវិញ្ញាបនប័ត្រស្របច្បាប់ ASUS ។ យោងតាម Kaspersky Lab ឱ្យដឹងថា អ្នកវាយប្រហារហាក់ដូចជារុញវាទៅអ្នកប្រើប្រាស់នៅចន្លោះខែមិថុនានិងខែវិច្ឆិកាឆ្នាំ ២០១៨ ។ លោក Kamluk ថ្លែងថា ការប្រើប្រាស់ប្រព័ន្ធគោលពីរចាស់ដែលមានវិញ្ញាបនប័ត្របច្ចុប្បន្នបង្ហាញថា អ្នកវាយប្រហារអាចចូលទៅកាន់ម៉ាស៊ីនបម្រើដែលក្រុមហ៊ុន ASUS ដែលចុះហត្ថលេខាលើឯកសាររបស់ខ្លួន ប៉ុន្តែមិនមែនម៉ាស៊ីនបម្រើស្ថាបនាពិតដែលវាចងក្រងឯកសារថ្មីទេ។ ដោយសារតែអ្នកវាយប្រហារប្រើប្រាស់ប្រព័ន្ធគោលពីរ ASUS ដូចគ្នារាល់ពេលនោះវាបង្ហាញថាពួកគេមិនមានលទ្ធភាពទទួលហេដ្ឋារចនាសម្ព័ន្ធ ASUSទាំងមូលទេ។ វាគ្រាន់តែជាផ្នែកមួយនៃហេដ្ឋារចនាសម្ព័ន្ធចុះហត្ថលេខាប៉ុណ្ណោះ។ ការធ្វើបច្ចុប្បន្នភាពកម្មវិធី ASUS ស្របច្បាប់នៅតែត្រូវជំរុញដល់អតិថិជនក្នុងអំឡុងពេលដែលមេរោគត្រូវគេរុញចេញ ប៉ុន្តែការធ្វើបច្ចុប្បន្នភាពស្របច្បាប់ទាំងនេះត្រូវចុះហត្ថលេខាដោយវិញ្ញាបនប័ត្រខុសគ្នាដែលប្រើការការពារសុពលភាពដែលត្រូវពង្រឹងដោយធ្វើឱ្យវាកាន់តែពិបាកក្នុងការភូតកុហក នេះជាការលើកឡើងដោយ Kamluk។
ក្រុមអ្នកស្រាវជ្រាវ Kaspersky ប្រមូលគំរូឯកសារដែលមានគ្រោះថ្នាក់ជាង ២00 ពីម៉ាស៊ីនអតិថិជនដែលជាវិធីដែលពួកគេរកឃើញការវាយប្រហារនេះជាពហុដំណាក់កាលនិងគោលដៅ។
អ្វីដែលត្រូវគេកប់នៅក្នុងសំណាកដែលមានគ្រោះថ្នាក់ទាំងនោះត្រូវដាក់លេខកូដ MD៥ ដែលមានលក្ខណៈរឹងមាំដែលក្លាយទៅជាអាសយដ្ឋាន MAC តែមួយគត់សម្រាប់កាតសាកបណ្តាញ។ MD៥ គឺជាក្បួនដោះស្រាយដែលបង្កើតការបម្លែងកូដឬតម្លៃសម្រាប់ទិន្នន័យដែលត្រូវរត់តាមក្បួនដោះស្រាយ។ កាតបណ្តាញទាំងអស់មានលេខសម្គាល់ឬអាសយដ្ឋានតែមួយដែលត្រូវផ្តល់ដោយអ្នកផលិតកាត ហើយអ្នកវាយប្រហារបង្កើតអាស័យដ្ឋានMAC នីមួយៗដែលវាត្រូវស្វែងរកមុនពេលយកកូដទាំងនោះចូលទៅក្នុងឯកសារព្យាបាទរបស់ពួកគេដើម្បីធ្វើឱ្យវាកាន់តែពិបាកមើលថាអ្វីដែលមេរោគត្រូវធ្វើ។ មេរោគនេះមានអាសយដ្ឋាន MAC ៦00ខុសៗគ្នាដែលវាត្រូវស្វែងរក ទោះបីជាចំនួនពិតប្រាកដនៃអតិថិជនគោលដៅអាចធំជាងនេះ។ Kaspersky អាចមើលឃើញតែអាស័យដ្ឋាន MAC ដែលមានកូដរឹងចូលទៅក្នុងគំរូ malware ជាក់លាក់ដែលរកឃើញនៅលើម៉ាស៊ីនរបស់អតិថិជនប៉ុណ្ណោះ។
ក្រុមអ្នកស្រាវជ្រាវ Kaspersky អាចបំបែកភាគច្រើននៃសញ្ញាដែលពួកគេរកឃើញដើម្បីកំណត់អាសយដ្ឋាន MAC ដែលជួយឱ្យពួកគេសម្គាល់អត្តសញ្ញាណប័ណ្ណកាតបណ្តាញដែលជនរងគ្រោះដាក់នៅលើម៉ាស៊ីនរបស់ពួកគេ ប៉ុន្តែមិនមែនលើជនរងគ្រោះ។ រាល់ពេលដែល malware ឆ្លងមេរោគទៅម៉ាស៊ីនមួយ វាប្រមូលអាសយដ្ឋាន MAC ពីកាតបណ្តាញរបស់ម៉ាស៊ីននោះហើយវាប្រៀបធៀបសញ្ញាទាំងនោះប្រឆាំងនឹងអ្នកដែលមានកូដរឹងនៅក្នុងមេរោគ។ ប្រសិនបើវាត្រូវគេផ្គូផ្គងទៅនឹងអាសយដ្ឋានកំណត់គោលដៅចំនួន ៦00 នោះ មេរោគនេះទៅដល់គេហទំព័រ asushotfix.com ដែលជាគេហទំព័រក្លែងធ្វើជាគេហទំព័រស្របច្បាប់របស់ ASUS ដើម្បីទាញយក backdoor ដំណាក់កាលទី ២ ដែលវាទាញយកទៅប្រព័ន្ធនោះ។ ដោយសារមានតែម៉ាស៊ីនចំនូនតិចដែលទាក់ទងម៉ាស៊ីនបម្រើបញ្ជានិងគ្រប់គ្រង នោះវាជួយឱ្យមេរោគស្ថិតនៅក្រោមរ៉ាដា។
លោក Kamluk ថ្លែងថា: «ពួកគេមិនព្យាយាមកំណត់អ្នកប្រើប្រាស់តាមដែលអាចធ្វើទៅទេ»។ ពួកគេចង់ចូលទៅក្នុងគោលដៅច្បាស់លាស់ហើយពួកគេដឹងជាមុននូវអាសយដ្ឋាន MAC កាតបណ្តាញរបស់ពួកគេដែលគួរឱ្យចាប់អារម្មណ៍ណាស់។
លោក O'Murchu នៃក្រុមហ៊ុន Symantec ឱ្យដឹងថា លោកមិនទាន់ច្បាស់នៅឡើយទេថាតើអតិថិជនរបស់ក្រុមហ៊ុនណាមួយស្ថិតក្នុងចំណោមអ្នកដែលមានអាសយដ្ឋាន MAC នៅក្នុងបញ្ជីគោលដៅនិងទទួល backdoor.ដំណាក់កាលទីពីរទេ។
ម៉ាស៊ីនបម្រើបញ្ជានិងគ្រប់គ្រងដែលបញ្ជូន Backdoor ដំណាក់កាលទី ២នេះត្រូវគេចុះឈ្មោះកាលពីថ្ងៃទី ៣ ខែឧសភាឆ្នាំមុន ប៉ុន្តែត្រូវបិទកាលពីខែវិច្ឆិកាមុនពេល Kaspersky រកឃើញការវាយប្រហារនេះ។ ដោយសារតែហេតុផលនេះ ក្រុមអ្នកស្រាវជ្រាវមិនអាចទទួលច្បាប់ចម្លងនៃការគំរាមកំហែងដំណាក់កាលទីពីរដែលត្រូវរុញច្រានឱ្យជនរងគ្រោះឬកំណត់អត្តសញ្ញាណម៉ាស៊ីនជនរងគ្រោះដែលទាក់ទងនឹងម៉ាស៊ីនមេនោះទេ។ Kaspersky ជឿថា យ៉ាងហោចណាស់អតិថិជនរបស់ខ្លួនម្នាក់នៅក្នុងប្រទេសរុស្ស៊ីឆ្លងមេរោគ Backdoor ដំណាក់កាលទី ២ នៅពេលដែលម៉ាស៊ីនរបស់គាត់ទាក់ទងទៅនឹងម៉ាស៊ីនមេបញ្ជានិងគ្រប់គ្រងនៅថ្ងៃទី ២៩ ខែតុលាឆ្នាំមុនប៉ុន្តែ Raiu និយាយថា ក្រុមហ៊ុនមិនដឹងអត្តសញ្ញាណរបស់ម្ចាស់ម៉ាស៊ីននោះទេ ក្នុងគោលបំណងដើម្បីទាក់ទងគាត់និងការស៊ើបអង្កេតបន្ថែមទៀត។
មានព័ត៌មានចចាមអារ៉ាមថាការធ្វើបច្ចុប្បន្នរបស់ ASUS ដែលត្រូវគេចុះហត្ថលេខានិងព្យាបាទកំពុងត្រូវគេរុញទៅដល់អ្នកប្រើប្រាស់នៅខែមិថុនាឆ្នាំ ២០១៨ នៅពេលដែលមានមនុស្សជាច្រើនបង្ហោះយោបល់នៅក្នុងវេទិកា Reddit អំពីការជូនដំណឹងរបស់ ASUS ដែលគួរឱ្យសង្ស័យដែលលេចឡើងនៅលើម៉ាស៊ីនរបស់ពួកគេសម្រាប់ការធ្វើឱ្យទាន់សម័យ។ “ASUS ផ្តល់ដំបូន្មានយ៉ាងខ្លាំងឱ្យអ្នកដំឡើងបច្ចុប្បន្នភាពទាំងនេះឥឡូវនេះ” ។
នៅក្នុងអត្ថបទមួយដែលមានចំណងជើងថា “ASUSFourceUpdater.exe កំពុងព្យាយាមធ្វើទាន់សម័យភាពអាថ៌កំបាំងមួយចំនួន ប៉ុន្តែវានឹងមិននិយាយអ្វីទេ” អ្នកប្រើឈ្មោះ GreyWolfx សរសេរថា “ខ្ញុំទទួលការធ្វើឱ្យទាន់សម័យលេចឡើងពី .exe ដែលខ្ញុំមិនដែលឃើញពីមុនថ្ងៃនេះ … ។ ខ្ញុំគ្រាន់តែចង់ដឹងចង់ដឹងប្រសិនបើនរណាម្នាក់ដឹងថាតើការធ្វើបច្ចុប្បន្នភាពនេះអាចជាអ្វីសម្រាប់? “
នៅពេលដែលគាត់និងអ្នកប្រើប្រាស់ដទៃទៀតចុចលើឧបករណ៍ធ្វើបច្ចុប្បន្នភាពរបស់ពួកគេដើម្បីទទួលព័ត៌មានអំពីការធ្វើបច្ចុប្បន្នភាព ឧបករណ៍នេះមិនបង្ហាញពីការធ្វើបច្ចុប្បន្នភាពថ្មីៗពីក្រុមហ៊ុន ASUSទេ ។ ប៉ុន្តែដោយសារតែឯកសារនេះត្រូវចុះហត្ថលេខាឌីជីថលជាមួយវិញ្ញាបនប័ត្រ ASUS និងដោយសារតែការស្កេនឯកសារនៅលើគេហទំព័ររបស់ VirusTotal បង្ហាញថាវាមិនមែនជាការបង្កគ្រោះថ្នាក់នោះទេ ហើយមនុស្សជាច្រើនទទួលយកការធ្វើបច្ចុប្បន្នភាពថាស្របច្បាប់ហើយទាញយកវាទៅម៉ាស៊ីនរបស់ពួកគេ។ VirusTotal គឺជាគេហទំព័រមួយដែលប្រមូលផ្តុំកម្មវិធីប្រឆាំងមេរោគជាច្រើន។ អ្នកប្រើអាចផ្ទុកឯកសារគួរអោយសង្ស័យទៅលើគេហទំព័រនេះដើម្បីមើលថាតើឧបករណ៍ណាមួយដែលរកឃើញថាវាមានគ្រោះថ្នាក់។
អ្នកប្រើម្នាក់សរសេរថា: «ខ្ញុំផ្ទុកឯកសារដែលអាចប្រតិបត្តិ [ទៅ VirusTotal] ហើយវាត្រលប់មកជាឯកសារដែលចុះហត្ថលេខាដោយគ្មានបញ្ហា។ លោកកត់សម្គាល់ថា “ការសរសេរអក្សរ 'កម្លាំង' និង windowលម្អិតទទេពិតជាចម្លែកណាស់ ប៉ុន្តែខ្ញុំកត់សម្គាល់កំហុសឆ្គងវេយ្យាករណ៍ចម្លែកនៅក្នុងកម្មវិធី ASUS ផ្សេងទៀតដែលដំឡើងនៅលើប្រព័ន្ធនេះ ដូច្នេះវាមិនមែនជាភស្តុតាងសម្រាប់ខ្លួនឯងនោះទេ។
Kamluk និង Raiu និយាយថានេះមិនមែនជាលើកទីមួយទេដែលអ្នកវាយប្រហារ ShadowHammer វាយប្រហារ។ ពួកគេនិយាយថា ពួកគេរកឃើញភាពស្រដៀងគ្នារវាងការវាយប្រហាររបស់ ASUS និងការវាយប្រហារពីមុនដែលធ្វើឡើងដោយក្រុមមួយដែលមានឈ្មោះថា ShadowPad ដោយ Kaspersky ។ ShadowPad កំណត់គោលដៅលើក្រុមហ៊ុនកូរ៉េមួយដែលបង្កើតកម្មវិធីសហគ្រាសសម្រាប់គ្រប់គ្រងម៉ាស៊ីនមេ។ ក្រុមដដែលនោះក៏ត្រូវភ្ជាប់ទៅនឹងការវាយប្រហាររបស់ CCleaner ផងដែរ។ ទោះបីជាម៉ាស៊ីនរាប់លានត្រូវឆ្លងមេរោគពីកម្មវិធីកំចាត់មេរោគ CCleaner ដែលមានគ្រោះថ្នាក់ក៏ដោយ ក៏មានតែផ្នែកមួយចំនួននៃមេរោគទាំងនេះប៉ុណ្ណោះដែលត្រូវគេកំណត់គោលដៅជាមួយនឹង Backdoor ដំណាក់កាលទីពីរដែលស្រដៀងនឹងជនរងគ្រោះ ASUS ។ គួរកត់សម្គាល់ថា ប្រព័ន្ធ ASUS ខ្លួនឯងផ្ទាល់គឺស្ថិតនៅលើបញ្ជីនៃកម្មវិធី CCleaner ។
ក្រុមអ្នកស្រាវជ្រាវ Kaspersky ជឿជាក់ថាអ្នកវាយប្រហារ ShadowHammer នៅពីក្រោយការវាយប្រហារ ShadowPad និង CCleaner និងទទួលការចូលដំណើរការទៅកាន់ម៉ាស៊ីនមេ ASUS តាមរយៈការវាយប្រហារចុងក្រោយ។
លោក Raiu និយាយថា “ASUS គឺជាគោលដៅសំខាន់មួយនៃការវាយប្រហាររបស់ CCleaner” ។ លទ្ធភាពមួយដែលយើងត្រូវគិតគឺនោះជារបៀបដែលពួកគេចូលទៅក្នុងបណ្តាញ ASUS ហើយបន្ទាប់មកតាមរយៈការអត់ធ្មត់ ពួកគេគ្រប់គ្រងដើម្បីឈានដល់ការចូលដំណើរការ … ដើម្បីចាប់ផ្ដើមការវាយប្រហាររបស់ ASUS »។
