ព័ត៌មាន

ក្រុមហ៊ុន Microsoft និងក្រុមហ៊ុនបច្ចេកវិទ្យាផ្សេងទៀត លុបចោល TrickBot Botnet

 

ប៉ុន្មានថ្ងៃបន្ទាប់ពីរដ្ឋាភិបាលសហរដ្ឋអាមេរិកបានចាត់វិធានការដើម្បីរំខានដល់ក្រុមហ៊ុន TrickBot botnet ដែលមានកេរ្តិ៍ឈ្មោះក្រុមសុវត្ថិភាពខាងបច្ចេកវិទ្យានិងបច្ចេកវិទ្យាអ៊ិនធឺណិតបានលម្អិតអំពីកិច្ចខិតខំប្រឹងប្រែងសម្របសម្រួលដាច់ដោយឡែកមួយដើម្បីដកហូតហេដ្ឋារចនាសម្ព័ន្ធផ្នែកខាងក្រោយរបស់មេរោគ។ កិច្ចសហការរួមគ្នាដែលពាក់ព័ន្ធនឹងអង្គភាពឧក្រិដ្ឋកម្មឌីជីថលរបស់ក្រុមហ៊ុន Microsoft បន្ទប់ពិសោធន៍ មជ្ឈមណ្ឌលចែករំលែកព័ត៌មាននិងវិភាគសេវាកម្មហិរញ្ញ ត្រូវបានអនុវត្តបន្ទាប់ពីការស្នើសុំបញ្ឈប់ប្រតិបត្តិការរបស់លោក TrickBot ត្រូវបានផ្តល់សិទ្ធិដោយ តុលាការស្រុកអាមេរិកសម្រាប់តំបន់ភាគខាងកើតនៃរដ្ឋ Virginia ។

image

ការអភិវឌ្ឍនេះកើតឡើងបន្ទាប់ពីបញ្ជាការ Cyber ​​របស់អាមេរិកបានបង្កើតយុទ្ធនាការមួយដើម្បីរារាំងការរីករាលដាលរបស់ TrickBot លើការព្រួយបារម្ភនៃការវាយប្រហារលើប្រព័ន្ធបោះឆ្នោតនៅមុនការបោះឆ្នោតប្រធានាធិបតីនៅខែក្រោយ។ ការប៉ុនប៉ងសំដៅរារាំងបណ្តាញអ៊ីនធឺណិតត្រូវបានរាយការណ៍ជាលើកដំបូងដោយ KrebsOnSecurity នៅដើមខែនេះ។ ក្រុមហ៊ុន Microsoft និងដៃគូបានវិភាគលើគំរូ TrickBot ជាង ១៨៦,០០០ ដោយប្រើវាដើម្បីតាមដានហេដ្ឋារចនាសម្ព័ន្ធបញ្ជានិងត្រួតពិនិត្យមេរោគ (C2) ដែលបានប្រើដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនរងគ្រោះនិងកំណត់អាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ C2 និង TTP ផ្សេងទៀតដែលត្រូវបានអនុវត្តដើម្បីគេចពីការរកឃើញ។

image

“ជាមួយនឹងភ័ស្តុតាងនេះតុលាការបានផ្តល់ការយល់ព្រមសម្រាប់ក្រុមហ៊ុន Microsoft និងដៃគូរបស់យើងដើម្បីបិទអាសយដ្ឋាន IP បង្ហាញមាតិកាដែលផ្ទុកនៅលើពាក្យបញ្ជា និងបញ្ជាម៉ាស៊ីនមេមិនអាចចូលដំណើរការបានផ្អាកសេវាកម្មទាំងអស់ទៅប្រតិបត្តិករ botnet និងរារាំងរាល់កិច្ចប្រឹងប្រែងរបស់ប្រតិបត្តិករ TrickBot ក្នុងការទិញ ឬ​ ជួលម៉ាស៊ីនមេបន្ថែម។ 

ចាប់តាំងពីការករកើតធនាគារ Trojan នៅចុងឆ្នាំ ២០១៦ TrickBot បានវិវត្តទៅជាបណ្តាញរបស់កងទ័ពស្វីសដែលមានសមត្ថភាពក្នុងការសាកល្បងព័ត៌មានដែលងាយរងគ្រោះហើយថែមទាំងទម្លាក់ឧបករណ៍លើវែប និងឧបករណ៍ផ្សេងទៀតដែលបានសម្របសម្រួលបន្ថែមលើការជ្រើសរើសពួកគេចូលក្នុងក្រុមគ្រួសារនៃរូបយន្ត។ ក្រុមហ៊ុន Microsoft បាននិយាយថា“ អស់រយៈពេលជាច្រើនឆ្នាំប្រតិបត្តិកររបស់ TrickBot អាចបង្កើតបណ្តាញអ៊ីនធឺណិតដ៏ធំមួយហើយមេរោគបានវិវត្តទៅជាមេរោគម៉ូឌុលដែលអាចរកបានសម្រាប់មេរោគ។ 

ហេដ្ឋារចនាសម្ព័ន្ធ TrickBot ត្រូវបានបង្កើតឡើងសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ិនធឺរណែតដែលបានប្រើអ៊ីនធឺណិតជាចំណុចចូលសម្រាប់យុទ្ធនាការដែលដំណើរការដោយមនុស្ស រួមទាំងការវាយប្រហារដែលលួចយកព័ត៌មានទិន្នន័យកំណត់អត្តសញ្ញាណនិងបញ្ជូនបន្ទុកបន្ថែមជាពិសេសគឺ Ryuk ransomware នៅក្នុងបណ្តាញគោលដៅ។ ជាធម្មតាត្រូវបានគេបញ្ជូនតាមរយៈយុទ្ធនាការឆបោកដែលជម្រុញព្រឹត្តិការណ៍បច្ចុប្បន្នឬការទាក់ទាញហិរញ្ញវត្ថុដើម្បីទាក់ទាញអ្នកប្រើឱ្យបើកឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ឬចុចតំណភ្ជាប់ទៅគេហទំព័រដែលមានផ្ទុកមេរោគ។ ប្រតិបត្តិការឆែកអ៊ីនធឺណេតបានឆ្លងចូលកុំព្យូទ័រជាងមួយលានគ្រឿងហើយរហូតមកដល់បច្ចុប្បន្ននេះ។

ទោះយ៉ាងណាក៏ដោយក្រុមហ៊ុន Microsoft បានព្រមានថាខ្លួនមិនរំពឹងថាសកម្មភាពចុងក្រោយនឹងរំខានដល់ TrickBot ជាអចិន្ត្រៃយ៍នោះទេ ដោយបន្ថែមថាឧក្រិដ្ឋជនអ៊ិនធឺណិតនៅពីក្រោយ botnet ទំនងជានឹងខិតខំប្រឹងប្រែងដើម្បីធ្វើប្រតិបត្តិការរបស់ពួកគេឡើងវិញ។ យោងតាមគេហទំព័រ Feodo Tracker ដែលមានមូលដ្ឋាននៅប្រទេសស្វីសបានអោយដឹងថាម៉ាស៊ីនមេត្រួតពិនិត្យ TrickBot ចំនួន ៨ គ្រឿងដែលម៉ាស៊ីនមួយចំនួនត្រូវបានគេមើលឃើញដំបូងកាលពីសប្តាហ៍មុននៅតែមាននៅលើប្រព័ន្ធអ៊ីនធឺណេតបន្ទាប់ពីការដកចេញ៕