สรุปสั้น

สหรัฐอเมริกาและแคนาดาจับกุม Jacob Butler ชาวแคนาดา อายุ 23 ปี ที่รู้จักกันในชื่อออนไลน์ว่า “Dort” ในข้อหาเป็นผู้ดูแล Botnet KimWolf ซึ่งให้บริการ DDoS-for-hire แก่อาชญากรไซเบอร์ทั่วโลก Botnet นี้ติดมัลแวร์อุปกรณ์เกือบ 2 ล้านเครื่อง ตั้งแต่กล้องวงจรปิด, กรอบรูปดิจิทัล, กล่อง TV Android ไปจนถึงเราเตอร์ Wi-Fi Butler ถูกจับกุมในกรุงออตตาวา แคนาดา ตามหมายส่งผู้ร้ายข้ามแดน และรอการส่งตัวไปยังสหรัฐฯ เพื่อขึ้นศาลในข้อหาสนับสนุนการบุกรุกคอมพิวเตอร์ ซึ่งมีโทษจำคุกสูงสุด 10 ปี KimWolf เคยสร้างการโจมตี DDoS ขนาดใหญ่สุดถึง 30 เทราบิตต่อวินาที ซึ่งเป็นสถิติที่ใหญ่ที่สุดในขณะนั้น และสร้างความเสียหายทางการเงินเกิน 1 ล้านดอลลาร์ให้กับเหยื่อบางราย

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 22 พฤษภาคม 2569 ว่า กระทรวงยุติธรรมสหรัฐฯ ได้เปิดเผยคำฟ้องที่ศาลเขต Alaska ต่อ Jacob Butler โดยอ้างอิงจากข้อมูล IP address, บัญชีออนไลน์, บันทึกธุรกรรม และข้อความแชทที่เชื่อมโยง Butler กับ Botnet KimWolf KimWolf ดำเนินการเป็นบริการ DDoS-for-hire โดย Butler ขายสิทธิ์การเข้าถึงเครือข่ายอุปกรณ์ที่ถูกยึดครองให้แก่ลูกค้าอาชญากรไซเบอร์ในรูปแบบ Cybercrime-as-a-Service Botnet ถูกใช้โจมตีมากกว่า 25,000 ครั้งทั่วโลก รวมถึงโจมตี IP address ของกระทรวงกลาโหมสหรัฐฯ (Department of Defense Information Network) บริษัท Synthient ซึ่งติดตาม KimWolf รายงานในเดือนมกราคมว่า Botnet นี้เติบโตจนมีอุปกรณ์ที่ติดมัลแวร์เกือบ 2 ล้านเครื่อง และสร้าง IP address ใหม่ราว 12 ล้าน IP ต่อสัปดาห์ นอกจากนี้ ศาล Central District of California ยังออกหมายยึดแพลตฟอร์ม DDoS-for-hire อีก 45 แพลตฟอร์ม ซึ่งรวมถึงอย่างน้อยหนึ่งแพลตฟอร์มที่ร่วมมือกับ KimWolf

รายละเอียดการโจมตี

KimWolf ใช้โมเดล Cybercrime-as-a-Service โดย Butler สร้างเครือข่ายอุปกรณ์ IoT ที่ถูกแฮ็กจำนวนมาก ครอบคลุมกล้องเว็บแคม, เครื่องบันทึกวิดีโอดิจิทัล, กล่อง TV ที่ใช้ Android และอุปกรณ์ streaming ต่างๆ Botnet สามารถระดมการโจมตี DDoS ได้สูงสุดถึง 30 เทราบิตต่อวินาที ซึ่งในขณะนั้นถือเป็นสถิติการโจมตี DDoS ที่ใหญ่ที่สุดที่เคยเปิดเผยสู่สาธารณะ ลูกค้าของบริการสามารถสั่งโจมตีเป้าหมายใดก็ได้ผ่านระบบที่ Butler จัดเตรียมไว้ การโจมตีทั้งหมดมากกว่า 25,000 ครั้งมุ่งเป้าไปที่คอมพิวเตอร์และเซิร์ฟเวอร์ทั่วโลก ซึ่งทำให้เกิดความเสียหายทางการเงินเกิน 1 ล้านดอลลาร์สหรัฐสำหรับเหยื่อบางราย การจับกุมนี้ตามมาหลังปฏิบัติการนานาชาติในเดือนมีนาคม 2569 ที่สหรัฐฯ เยอรมนี และแคนาดาร่วมกันยึด C2 Infrastructure ของ KimWolf รวมถึง Botnet ที่เกี่ยวข้องอีกสามตัว ได้แก่ Aisuru, JackSkid และ Mossad ซึ่งรวมกันติดมัลแวร์อุปกรณ์ IoT มากกว่า 3 ล้านเครื่อง

ผลกระทบต่อไทย

อุปกรณ์ IoT จำนวนมากในไทย เช่น กล้องวงจรปิด, เราเตอร์ และกล่อง TV Android ที่ไม่ได้รับการอัปเดต Firmware มีความเสี่ยงสูงที่จะถูกดูดเข้า Botnet ประเภทนี้โดยที่เจ้าของไม่รู้ตัว หากอุปกรณ์ถูกดูดเข้า Botnet จะกลายเป็นเครื่องมือในการโจมตีองค์กรอื่นทั่วโลก นอกจากนี้ บริการ DDoS-for-hire อย่าง KimWolf ยังสามารถถูกจ้างวานให้โจมตีเว็บไซต์หรือโครงสร้างพื้นฐานของไทยได้โดยตรง องค์กรต่างๆ ควรเตรียมแผนรับมือ DDoS และป้องกันอุปกรณ์ IoT ในเครือข่ายของตนไม่ให้กลายเป็นส่วนหนึ่งของ Botnet

คำแนะนำ

  • อุปเดต Firmware ของอุปกรณ์ IoT ทุกชิ้นอย่างสม่ำเสมอ โดยเฉพาะกล้องวงจรปิด, เราเตอร์ และกล่อง Android TV
  • เปลี่ยนรหัสผ่านเริ่มต้น ของอุปกรณ์ IoT ทุกชิ้นก่อนนำไปใช้งาน
  • แยก Network Segment ของอุปกรณ์ IoT ออกจากเครือข่ายหลักขององค์กร
  • ตรวจสอบ Traffic ที่ผิดปกติออกจากเครือข่าย เช่น การส่งข้อมูลขนาดใหญ่ในเวลาที่ไม่ควรมีการใช้งาน
  • ใช้บริการป้องกัน DDoS เช่น Cloudflare หรือ Akamai สำหรับเว็บไซต์และบริการที่สำคัญ
  • บล็อก IP ของ C2 Server ที่หน่วยงานด้านความปลอดภัยประกาศ โดยอ้างอิงจาก IoC ที่เผยแพร่

แหล่งอ้างอิง