โครงสร้างพื้นฐานของบอทเน็ต C2: ขอบเขตและผลกระทบ
การทำลายโครงสร้างพื้นฐาน C2 ไม่เพียงแต่เป็นการเพิ่มความยากลำบากในการต่อสู้กับบอทเน็ต IoT ของหน่วยงานบังคับใช้กฎหมายเท่านั้น แต่ยังเปลี่ยนแปลงดุลยภาพของอำนาจระหว่างผู้โจมตี ผู้ให้บริการเครือข่าย และบริการต่างๆ ที่ต้องพึ่งพาการทำงานอย่างต่อเนื่องในเวลาที่เลวร้ายที่สุด อย่างน้อยก็ชั่วคราว เรื่องนี้สำคัญเพราะปัญหาไม่ได้จบลงเมื่อแผงควบคุมถูกปิดลง บ่อยครั้งที่มันเพียงแค่เปลี่ยนรูปแบบเท่านั้น
ปฏิบัติการระหว่างประเทศเพื่อต่อต้านโครงสร้างพื้นฐานด้านการบัญชาการและควบคุม
หน่วยงานจากสหรัฐอเมริกา เยอรมนี และแคนาดา ได้เข้าแทรกแซงและทำลายโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ที่ใช้โดยบอทเน็ต Aisuru, KimWolf, JackSkid และ Mossad ซึ่งเป็นเครือข่ายที่แทรกซึมอุปกรณ์ Internet of Things (IoT) เพื่อประสานงานการโจมตีขนาดใหญ่
การปฏิบัติการไม่ได้หยุดอยู่แค่เซิร์ฟเวอร์เสมือนที่แยกเดี่ยวๆ เท่านั้น แต่ขยายไปถึงโดเมน แผงควบคุมการดูแลระบบ และจุดอื่นๆ ในห่วงโซ่ทางเทคนิคที่ช่วยให้ผู้ปฏิบัติงานสามารถส่งคำสั่งได้ คำสั่งไปยังอุปกรณ์นับล้านเครื่อง ถูกยึดครอง จากฐานดังกล่าว มีการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) หลายแสนครั้งต่อเป้าหมายทั่วโลก รวมถึงที่อยู่ IP ที่เชื่อมโยงกับเครือข่ายข้อมูลกระทรวงกลาโหม (DoDIN) กล่าวอีกนัยหนึ่ง มันไม่ใช่แค่เครือข่ายที่สร้างปัญหาธรรมดา แต่เป็นแพลตฟอร์มปฏิบัติการที่สามารถสร้างแรงกดดันอย่างแท้จริงต่อโครงสร้างพื้นฐานที่สำคัญได้
เอกสารของศาลระบุว่าอย่างไร
จากข้อมูลของกระทรวงยุติธรรมสหรัฐฯ บันทึกของศาลระบุว่ามีอุปกรณ์ที่ถูกโจมตีมากกว่า 3 ล้านเครื่องในเครือข่ายเหล่านี้ ซึ่งรวมถึงกล้อง IP เครื่องบันทึกวิดีโอ และเราเตอร์ Wi-Fi เป็นต้น และยังระบุจำนวนคำสั่งโจมตีที่ออกโดยบอทเน็ตแต่ละเครือข่ายดังนี้: Aisuru มากกว่า 200,000 คำสั่ง; KimWolf มากกว่า 25,000 คำสั่ง; JackSkid มากกว่า 90,000 คำสั่ง; และ Mossad มากกว่า 1,000 คำสั่ง กระทรวงยุติธรรมได้เปิดเผยเรื่องนี้ต่อสาธารณะ.
ตัวเลขนั้นช่วยให้เห็นภาพรวมได้ชัดเจนขึ้น แต่สิ่งสำคัญคืออย่าตีความว่าอุปกรณ์ที่ถูกบุกรุกทั้งหมดมีค่าเท่ากัน เครือข่ายบอทเน็ตขนาดใหญ่แต่ไม่เสถียรนั้นไม่เหมือนกับเครือข่ายบอทเน็ตขนาดเล็กที่มีความต่อเนื่อง มีการหมุนเวียนโหนดที่ดี และผู้ดำเนินการที่รู้ว่าควรโจมตีเมื่อใด บางครั้งปัญหาไม่ได้อยู่ที่จำนวนอุปกรณ์ที่เกี่ยวข้องเท่านั้น แต่ยังอยู่ที่ว่าเครือข่ายนั้นสามารถใช้งานได้ดีแค่ไหนในช่วงเวลาใดเวลาหนึ่งด้วย
เหตุใดการรายงานปริมาณการจราจรที่เพิ่มสูงขึ้นจึงมีความสำคัญ
ในเดือนธันวาคม Aisuru ทำสถิติสูงสุดถึง 31.4 Tbps และมีการร้องขอข้อมูล 200 ล้านครั้งต่อวินาที ซึ่งก่อนหน้านี้เคยทำสถิติสูงสุดที่ 29.7 Tbps และในเดือนพฤศจิกายน ก็มีการเชื่อมต่อกับคลื่นการโจมตีอีกระลอกที่ทำสถิติ 15.72 Tbps จากที่อยู่ IP ประมาณ 500,000 แห่ง ตัวเลขเหล่านี้ดูน่าทึ่ง แต่ประเด็นสำคัญไม่ได้อยู่ที่ตัวเลขทางเทคนิคเพียงอย่างเดียว สิ่งที่ตัวเลขเหล่านี้แสดงให้เห็นอย่างแท้จริงคือ ระดับการป้องกันที่จำเป็นในการดูดซับหรือเบี่ยงเบนการโจมตีโดยไม่ทำให้คุณภาพของบริการลดลงอย่างร้ายแรง
เมื่อเกิดเหตุการณ์เช่นนี้ขึ้น การถกเถียงจะเปลี่ยนจาก "มันอันตรายหรือไม่?" ไปเป็น "ใครจะรับมือได้ นานแค่ไหน และต้องแลกมาด้วยอะไร?" สำหรับผู้ให้บริการขนาดกลางหรือบริการที่มีสถาปัตยกรรมแบบกระจายศูนย์น้อยกว่า คำตอบอาจไม่ง่ายเสมอไป มีสภาพแวดล้อมที่การโจมตีเช่นนี้ไม่ได้ทำให้ทุกอย่างล่ม แต่ทำให้บริการไม่ต่อเนื่อง คาดเดาไม่ได้ หรือมีค่าใช้จ่ายในการบำรุงรักษาที่สูงมาก และในเชิงปฏิบัติการ นั่นก็ถือเป็นชัยชนะบางส่วนของผู้โจมตีแล้ว
เมื่อบอทเน็ตทำงานในระดับนั้น ภัยคุกคามจะไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียวอีกต่อไป แต่จะกลายเป็นความเสี่ยงเชิงระบบ: ความแออัดของเครือข่าย การเสื่อมสภาพที่ยืดเยื้อ การแก้ไขที่ต้องใช้ต้นทุนสูง และทีมงานด้านเทคนิคที่ต้องวุ่นวายกับการแก้ไขปัญหาเฉพาะหน้าแทนที่จะจัดการกับช่องโหว่ที่เป็นต้นเหตุ
การตีความทางเทคนิคของวิธีการปฏิบัติงาน
บอทเน็ตเหล่านี้ใช้ประโยชน์จากช่องโหว่ที่พบได้ทั่วไปในสภาพแวดล้อม IoT ได้แก่ อุปกรณ์ที่มีอินเทอร์เฟซที่เปิดเผย ข้อมูลประจำตัวเริ่มต้นหรือที่ไม่ได้อัปเดต และซอฟต์แวร์การจัดการที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โครงสร้างพื้นฐาน C2 ทำหน้าที่เป็น "สมอง" ของเครือข่าย โดยรับคำสั่งจากผู้ปฏิบัติงานและแปลงคำสั่งเหล่านั้นเป็นการกระทำที่ส่งไปยังเอเจนต์ที่อยู่ในอุปกรณ์ที่ถูกโจมตีแต่ละเครื่อง
ดูเหมือนจะเป็นเรื่องพื้นฐานบนกระดาษ แต่ในทางปฏิบัติ ปัญหาที่แท้จริงมักอยู่ที่ความยุ่งเหยิงที่ยังคงอยู่ เราเตอร์ที่ถูกลืม กล้องที่ติดตั้งมานานหลายปีแล้ว เครื่องบันทึกที่ไม่มีใครอัปเดตเพราะ "มันยังใช้งานได้" นั่นคือจุดที่เครือข่ายเหล่านี้พบความต่อเนื่อง พวกมันไม่ต้องการความซับซ้อนที่ไร้ที่ติในทุกจุด พวกมันพอใจกับจุดอ่อนจำนวนมากที่คงอยู่จากการใช้งานตามปกติ การละเลย หรือการขาดการตรวจสอบ
นอกจากนี้ ตลาดการเข้าถึง—รูปแบบ “อาชญากรรมไซเบอร์ในรูปแบบบริการ” ที่กล่าวถึงในแถลงการณ์—ยิ่งทำให้ความเสียหายรุนแรงขึ้น ผู้ประกอบการรายอื่นนอกเหนือจากผู้พัฒนาซอฟต์แวร์ มัลแวร์ พวกเขาสามารถเช่าสิทธิ์การเข้าถึงเครือข่ายเหล่านี้เพื่อดำเนินการขู่กรรโชกหรือโจมตีแบบครอบคลุมได้ สิ่งนี้เปลี่ยนแปลงภูมิทัศน์อย่างมาก: คุณไม่จำเป็นต้องพึ่งพากลุ่มใดกลุ่มหนึ่งที่ต้องการใช้ประโยชน์จากบอทเน็ตอย่างหนักอีกต่อไป เพราะเครือข่ายกลายเป็นบริการและมีการหมุนเวียน ซึ่งสร้างผลกำไรให้พวกเขามากขึ้น และยากต่อการคาดเดาสำหรับคนอื่นๆ
ผลกระทบเชิงปฏิบัติการและข้อจำกัดของการแทรกแซงของตำรวจ
การ การกำจัด การแทรกแซงเซิร์ฟเวอร์และโดเมน C2 จะขัดขวางการประสานงาน ลดการออกคำสั่งใหม่ และสร้างเกราะป้องกันเพื่อควบคุมการโจมตีที่กำลังเกิดขึ้น ซึ่งมีคุณค่ามาก แต่สิ่งสำคัญคืออย่าตีความเกินจริง การแทรกแซงในชั้นควบคุมไม่ได้หมายความว่าจะกำจัดอุปกรณ์ที่ติดไวรัสหรือแก้ไขแนวทางปฏิบัติที่ทำให้เกิดการติดเชื้อโดยอัตโนมัติ
นี่เป็นหนึ่งในความเข้าใจผิดที่พบบ่อยที่สุดในการตีความการทำงานประเภทนี้ คือการสันนิษฐานว่าเมื่อศูนย์บัญชาการหลักล่มสลายแล้ว ระบบนิเวศจึงสะอาดขึ้น แต่ความจริงไม่ใช่เช่นนั้น หากเจ้าของอุปกรณ์ไม่ทำการอัปเดตเฟิร์มแวร์ เปลี่ยนข้อมูลประจำตัว หรือแม้แต่ไม่รู้ตัวว่าอุปกรณ์ของตนนั้นมีความเสี่ยง ปัญหาพื้นฐานก็ยังคงอยู่ และบอทเน็ตที่ไม่มีศูนย์บัญชาการหลักนี้ก็สามารถกลับมาปรากฏตัวอีกครั้งในภายหลังภายใต้ชื่อที่แตกต่างกัน ด้วยเครือข่ายอุปกรณ์ที่แตกต่างกัน
บริษัท Akamai ซึ่งเป็นหนึ่งในบริษัทในภาคส่วนนี้ที่เข้าร่วมในธุรกรรมดังกล่าว เน้นย้ำถึงผลกระทบด้านการดำเนินงานของเครือข่ายเหล่านี้ต่อโครงสร้างพื้นฐานที่สำคัญ: เครือข่ายเหล่านี้สามารถทำให้บริการหลักล่ม ลดคุณภาพประสบการณ์ของผู้ใช้ และทำให้โซลูชันการบรรเทาผลกระทบในระบบคลาวด์ทำงานหนักเกินไป ประเด็นนี้สมควรได้รับการพิจารณา เพราะไม่ใช่ทุกอย่างจะแก้ไขได้ด้วยการซื้อระบบป้องกันรอบด้านเพิ่มขึ้นเพียงอย่างเดียว มีบางกรณีที่การบรรเทาผลกระทบช่วยได้ แต่หากสภาพแวดล้อมเปราะบาง แบ่งส่วนไม่ดี หรือพึ่งพาจุดคอขวดเพียงไม่กี่จุด ขอบเขตของการปรับปรุงที่แท้จริงก็ยังคงมีจำกัด
เมื่อใดจึงควรเข้าแทรกแซง และคุณคาดหวังอะไรได้บ้างหลังจากนั้น?
การแทรกแซงทางกฎหมายและทางเทคนิคจะมีประโยชน์ก็ต่อเมื่อสามารถขัดขวางการประสานงานจากส่วนกลาง ลดการโจมตีที่เกิดขึ้นอย่างต่อเนื่อง และเพิ่มต้นทุนในการดำเนินงานสำหรับผู้ที่พึ่งพาการควบคุมนั้น โดยเฉพาะอย่างยิ่งจะมีประโยชน์เมื่อบอทเน็ตก่อให้เกิดความเสียหายอย่างต่อเนื่อง หรือมีโครงสร้างพื้นฐานที่พัฒนามากพอที่จะให้บริการลูกค้าอาชญากรหลายราย
สิ่งที่ไม่ควรทำคือการมองว่ามาตรการเหล่านั้นเป็นวิธีแก้ปัญหาที่ครบถ้วนสมบูรณ์ในตัวเอง หากองค์กรเน้นแต่เพียงว่า "หน่วยงานที่เกี่ยวข้องได้ดำเนินการไปแล้ว" ก็จะสายเกินไปในส่วนที่ตนเองควบคุมได้จริง ๆ เช่น สินค้าคงคลัง การแบ่งส่วนเครือข่าย การจัดการข้อมูลประจำตัว การเปิดเผยข้อมูลจากระยะไกล และการอัปเดตแพทช์อย่างมีประสิทธิภาพ เพราะอุปกรณ์ทุกชิ้นไม่สามารถอัปเดตได้ในอัตราเดียวกัน และอุปกรณ์รุ่นเก่าบางชิ้นก็ไม่รองรับการป้องกันที่สมบูรณ์แบบ บางครั้ง การตัดสินใจที่ถูกต้องไม่ใช่การ "ดำเนินธุรกิจตามปกติ" แต่เป็นการแยกส่วน เปลี่ยน หรือยกเลิกระบบที่ได้รับผลกระทบไปเลย
สำหรับผู้ขายและองค์กรต่างๆ เกณฑ์ที่มีประโยชน์ในที่นี้ไม่ใช่เรื่องนามธรรม หากพวกเขาจัดการ IoT เป็นครั้งคราว จุดสนใจอาจอยู่ที่การลดความเสี่ยงและการตรวจสอบข้อมูลประจำตัว หากพวกเขาพึ่งพา IoT อย่างต่อเนื่อง เช่น ระบบเฝ้าระวังวิดีโอ เกตเวย์ เซ็นเซอร์แบบกระจาย เครือข่ายแบบเอดจ์ การควบคุมขั้นต่ำจะไม่เพียงพออีกต่อไป พวกเขาต้องยอมรับว่าความเสี่ยงบางอย่างเกิดขึ้นซ้ำๆ และออกแบบการตอบสนอง ไม่ใช่แค่การป้องกัน อย่างไรก็ตาม สิ่งที่ไม่จำเป็นคือการปฏิบัติต่ออุปกรณ์เหล่านี้เหมือนอุปกรณ์ต่อพ่วงเล็กน้อย การปฏิบัติเช่นนั้นมักพิสูจน์ได้ว่ามีค่าใช้จ่ายสูงเมื่อบอทเน็ตเริ่มแพร่หลาย
ปฏิบัติการนี้ลดศักยภาพในทันทีของ Aisuru, KimWolf, JackSkid และ Mossad ในการเปิดตัวแคมเปญลง นั่นเป็นเรื่องดี แต่บทเรียนด้านปฏิบัติการที่แท้จริงอยู่ที่อื่น: ตราบใดที่อุปกรณ์ที่จัดการไม่ดีนั้นยังคงอยู่ บอทเน็ตจะไม่หายไป พวกมันเพียงแค่หมุนเวียนโครงสร้างพื้นฐาน เปลี่ยนผู้ดำเนินการ หรือกลับมาพร้อมกับพื้นผิวการควบคุมที่แตกต่างออกไป และนั่นทำให้เราต้องให้ความสำคัญกับการจัดการอย่างมีระเบียบวินัยมากกว่าการโจมตีในทันที
