สรุปสั้น
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จากบริษัท Palo Alto Networks Unit 42 เปิดเผยรายละเอียดของเฟรมเวิร์กบอตเน็ตสำหรับอุปกรณ์ Internet-of-Things (IoT) ตัวใหม่ที่ไม่เคยมีรายงานมาก่อน ใช้ชื่อว่า TuxBot v3 Evolution ซึ่งแสดงสัญญาณว่าถูกพัฒนาโดยมีปัญญาประดิษฐ์แบบโมเดลภาษาขนาดใหญ่ (Large Language Model — LLM) เข้ามาช่วย แต่ผลลัพธ์กลับไม่สมบูรณ์นัก จุดที่น่าสนใจที่สุดคือ AI ยอมสร้างโค้ดบอตเน็ตให้ตามคำสั่ง แต่กลับแนบข้อความปฏิเสธความรับผิดด้านความปลอดภัยติดมาด้วย และนักพัฒนากลับลืมลบข้อความนั้นออกก่อนนำไปใช้จริง นอกจากนี้ยังพบบันทึกการคิด (chain-of-thought) ของ AI หลงเหลืออยู่ในคอมเมนต์ของโค้ดแบบคำต่อคำ บอตเน็ตตัวนี้สามารถ cross-compile ได้หลายสถาปัตยกรรม เดารหัสผ่าน Telnet จากชุด 1,496 คู่ และฝังโค้ดโจมตีช่องโหว่ที่รู้จักในอุปกรณ์ IoT กว่า 30 ตระกูล มีเซิร์ฟเวอร์สั่งการ (C2) หลายช่องทางพร้อมแผงเช่าโจมตี DDoS และถูกเชื่อมโยงกับระบบนิเวศของกลุ่ม Keksec ที่ขึ้นชื่อเรื่องการรันบอตเน็ตหลายตัวคู่ขนานกัน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า ทีมวิจัยจากบริษัท Palo Alto Networks Unit 42 ได้เปิดเผยเฟรมเวิร์กบอตเน็ต IoT ตัวใหม่ที่ชื่อ TuxBot v3 Evolution โดยระบุว่า “แม้ AI จะทำตามคำขอในการสร้างโค้ดบอตเน็ต แต่ก็ได้แนบข้อความปฏิเสธความรับผิดด้านความปลอดภัยมาด้วย ซึ่งนักพัฒนาลืมลบออกก่อนนำไปใช้ และถึงแม้ LLM จะช่วยสร้างบอตเน็ตอย่างชัดเจน แต่หลายฟังก์ชันในตัวอย่างที่วิเคราะห์กลับทำงานไม่ถูกต้อง”
บริษัท Palo Alto Networks ระบุว่าหากมีการตรวจสอบโค้ดด้วยมือ ข้อผิดพลาดเหล่านี้ก็คงได้รับการแก้ไข และเป็นไปได้ว่าอาจมีมัลแวร์เวอร์ชันที่ขัดเกลาสมบูรณ์กว่านี้แพร่กระจายอยู่ในโลกจริง เฟรมเวิร์กนี้ประกอบด้วยหลายส่วน ได้แก่ ตัวบอต (bot agent) ที่เขียนด้วยภาษา C ซึ่ง cross-compile ได้หลายสถาปัตยกรรม (เช่น ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC และ RISC-V), เซิร์ฟเวอร์สั่งการและควบคุม (C2) ที่เขียนด้วยภาษา Go พร้อมแผงบริการเช่าโจมตี DDoS, เครื่องเสมือน (VM) สำหรับรันโค้ดโจมตีเฉพาะทาง, โครงสร้างพื้นฐานทดสอบบน Docker และระบบ build อัตโนมัติ
ตัวบอตถูกออกแบบมาให้เดารหัสผ่านการเข้าถึง Telnet บนอุปกรณ์เป้าหมายด้วยชุดข้อมูลประจำตัว 1,496 คู่ พร้อมทั้งฝังโค้ดโจมตีช่องโหว่ที่รู้จักในอุปกรณ์ IoT มากกว่า 30 ตระกูล ตัวบอตสื่อสารกับเซิร์ฟเวอร์ C2 ผ่านช่องทาง TCP ที่เข้ารหัส และมีกลไกสำรองหลายชั้น ทั้งอัลกอริทึมสร้างชื่อโดเมนอัตโนมัติ (DGA) แบบ SHA512, โปรโตคอลกระจายข่าวแบบ peer-to-peer (P2P) ที่ลงลายมือชื่อคำสั่งด้วย Ed25519, การสื่อสารผ่าน Internet Relay Chat (IRC), การสอบถามผ่าน DNS TXT และการ poll ผ่าน HTTP เป็นกลไกสำรอง นักวิจัยติดตามสายพันธุ์ของเฟรมเวิร์กนี้ย้อนไปได้ถึงบอตเน็ต 3 ตระกูล คือ Mirai, AISURU และ Wuhan รวมถึงบางส่วนที่พอร์ตมาจากชุดเครื่องมือ DDoS โอเพนซอร์ส MHDDoS ที่เขียนด้วย Python ตัวอย่างมัลแวร์อย่างน้อยหนึ่งชิ้นถูกอัปโหลดขึ้น VirusTotal ตั้งแต่วันที่ 20 มกราคม 2569 บ่งชี้ว่ามันมีอยู่มานานกว่าหกเดือนแล้ว และหลักฐานชี้ว่าผู้เขียนเริ่มพัฒนาก่อนหน้านั้นหนึ่งปีตอนที่โคลนโปรเจกต์ MHDDoS มาจาก GitHub
วิธีการทำงาน
เซิร์ฟเวอร์ C2 ที่เขียนด้วยภาษา Go ใช้พอร์ต TCP สามพอร์ตสำหรับรับการเชื่อมต่อ ได้แก่ พอร์ต TCP 1999 (หรือ 31337) สำหรับจัดการการส่งคำสั่งที่เข้ารหัสไปยังบอตที่เชื่อมต่อ, พอร์ต TCP 2222 ที่เปิดเชลล์แบบโต้ตอบให้ผู้ควบคุมผ่าน SSH และพอร์ต TCP 9999 ที่ใช้อินเทอร์เฟซ JSON สำหรับการเข้าถึงเชิงโปรแกรม
เมื่อถูกเรียกทำงาน บอตเน็ตจะทำตามลำดับการเริ่มต้นที่กำหนดไว้ล่วงหน้า เริ่มจากโหลดที่อยู่ C2 จากสถาปัตยกรรมหลายชั้น (หนึ่งช่องทางหลักและอีกห้ากลไกสำรอง) ตั้งค่าการป้องกันการดีบักและการตรวจจับเครื่องเสมือน (anti-VM) เพื่อเช็กเครื่องมือวิเคราะห์ที่กำลังทำงาน ซ่อนชื่อโปรเซสของตัวเอง ติดตั้งกลไกฝังตัวถาวร แล้วปล่อยโมดูลย่อยต่าง ๆ เพื่อโจมตี DDoS, สังหารโปรเซสของบอตเน็ตคู่แข่ง, สร้างช่องทาง C2 ผ่าน IRC/HTTP/DNS/P2P, รันตัวสแกน Telnet/SSH/HTTP และ Android Debug Bridge (ADB), เปิด SOCKS5 proxy และรันตัวยึดถือที่ (placeholder) สำหรับการขุดเหรียญคริปโต ตัวสแกน HTTP โดยเฉพาะสามารถจัดการการเชื่อมต่อพร้อมกันได้สูงสุด 128 การเชื่อมต่อ เพื่อค้นหาเว็บอินเทอร์เฟซที่มีช่องโหว่ ส่วนการฝังตัวถาวรทำผ่าน systemd service, รายการ cron และโปรเซส watchdog เพื่อให้ TuxBot ทำงานต่อเนื่องบนเครื่องที่ถูกยึด
จุดเด่นที่ยืนยันว่า AI มีส่วนร่วมคือ นักวิจัยพบ “บันทึกการคิดดิบ ๆ ของ LLM หลงเหลืออยู่ในคอมเมนต์แบบคำต่อคำ” ซึ่งเป็นการให้เหตุผลภายในของ AI ขณะทำงานพอร์ตโค้ด สมบูรณ์ทั้งการขัดจังหวะตัวเอง การตัดสินใจ และการอ้างถึง “ผู้ใช้” (หมายถึงนักพัฒนาที่ป้อนคำสั่งให้ AI) บริษัท Palo Alto Networks สรุปว่า การใช้โครงสร้างพื้นฐานร่วมกับ Kaitori v3.9 และเครื่องมือ AISURU ทำให้ผู้พัฒนา TuxBot อยู่ในระบบนิเวศของกลุ่ม Keksec ซึ่งเป็นที่รู้จักว่ารันบอตเน็ต IoT หลายสายพันธุ์คู่ขนานกัน โดย TuxBot น่าจะเป็นอีกหนึ่งสายพันธุ์ในพอร์ตโฟลิโอนั้น ที่พยายามก้าวข้าม Mirai fork ทั่วไปด้วย C2 ที่เข้ารหัส, DGA และระบบโจมตีแบบโมดูล แม้ระบบเหล่านั้นยังทำงานไม่ได้ในเวอร์ชันที่กู้คืนมา การเปิดเผยครั้งนี้ตามมาหลังการปรากฏตัวของบอตเน็ตอีกสองตัวคือ RustDuck และ AryStinger
ผลกระทบต่อไทย
อุปกรณ์ IoT ราคาถูก เช่น เราเตอร์ตามบ้าน กล้องวงจรปิด (IP camera) และกล่องแอนดรอยด์ ที่ใช้กันแพร่หลายในไทยมักตั้งรหัสผ่านเริ่มต้นจากโรงงานหรือเปิดพอร์ต Telnet/SSH สู่อินเทอร์เน็ตโดยไม่ตั้งใจ ทำให้ตกเป็นเป้าหมายง่ายของบอตเน็ตที่เดารหัสจากชุด 1,496 คู่และโจมตีช่องโหว่ IoT กว่า 30 ตระกูล เมื่ออุปกรณ์เหล่านี้ถูกยึดไปเป็นส่วนหนึ่งของบอตเน็ต ก็อาจถูกใช้ยิง DDoS ถล่มเว็บไซต์หรือบริการออนไลน์ทั้งในไทยและต่างประเทศ ทั้งยังกินแบนด์วิดท์และทำให้อุปกรณ์ทำงานผิดปกติ ที่น่ากังวลคือแนวโน้มการใช้ AI ช่วยเขียนมัลแวร์ทำให้ผู้พัฒนาเพียงคนเดียวสร้างเครื่องมือหลายแง่มุมที่ซับซ้อนได้เร็วขึ้น ลดกำแพงทางเทคนิคในการสร้างภัยคุกคาม
คำแนะนำ
ผู้ดูแลระบบและผู้ใช้อุปกรณ์ IoT ควรเปลี่ยนรหัสผ่านเริ่มต้นจากโรงงานเป็นรหัสที่คาดเดายากทันที และปิดการเข้าถึง Telnet/SSH จากอินเทอร์เน็ตหากไม่จำเป็น ควรอัปเดตเฟิร์มแวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดเสมอเพื่ออุดช่องโหว่ที่บอตเน็ตใช้โจมตี แยกอุปกรณ์ IoT ออกจากเครือข่ายหลักด้วย VLAN หรือเครือข่ายแยก จำกัดการเข้าถึงพอร์ตบริหารจัดการด้วยไฟร์วอลล์ และเฝ้าระวังทราฟฟิกขาออกที่ผิดปกติไปยังพอร์ต TCP 1999, 31337, 2222 หรือ 9999 รวมถึงการเชื่อมต่อ IRC/P2P ที่ไม่ควรมี ซึ่งอาจเป็นสัญญาณว่าอุปกรณ์ถูกยึดไปเป็นบอต
