Botnet คืออะไร?

Botnet — ย่อมาจาก "robot network" — คือกลุ่มของคอมพิวเตอร์ สมาร์ทโฟน เราเตอร์ และอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอื่นๆ ที่ถูกแพร่ระบาดด้วยซอฟต์แวร์อันตราย เมื่ออุปกรณ์ถูกแพร่ระบาดแล้ว อุปกรณ์แต่ละเครื่องจะกลายเป็น "bot" (หรือซอมบี้) ที่รอรับคำสั่งจากผู้ควบคุมส่วนกลางที่รู้จักกันในชื่อ botmaster หรือเซิร์ฟเวอร์ command-and-control (C2) โดยทั่วไปเจ้าของอุปกรณ์มักไม่ทราบเลยว่าเครื่องของตนเองเป็นส่วนหนึ่งของปฏิบัติการนี้

Botnet อาจมีขนาดตั้งแต่ไม่กี่ร้อยเครื่องไปจนถึงอุปกรณ์หลายล้านเครื่องที่กระจายอยู่ทั่วโลก Botnet ที่ใหญ่ที่สุดบางแห่งที่เคยถูกค้นพบ เช่น Mirai หรือ Zeus สามารถแพร่ระบาดอุปกรณ์หลายแสนเครื่องได้พร้อมกัน

Botnet ทำงานอย่างไร?

วงจรชีวิตของ botnet โดยทั่วไปจะผ่านขั้นตอนสำคัญหลายขั้นตอน ดังนี้:

  1. การแพร่ระบาด: อุปกรณ์ถูกโจมตีผ่านอีเมลฟิชชิ่ง การดาวน์โหลดไฟล์อันตราย ช่องโหว่ของซอฟต์แวร์ที่ไม่ได้รับการแพตช์ หรือรหัสผ่านที่อ่อนแอบนเราเตอร์และอุปกรณ์ IoT
  1. การเกณฑ์: มัลแวร์จะติดตั้งตัวเองอย่างเงียบๆ และเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ command-and-control ของผู้โจมตี อุปกรณ์ที่ถูกแพร่ระบาดจะถูก "เกณฑ์" เข้าร่วม botnet
  1. การเปิดใช้งาน: Botmaster จะส่งคำสั่งไปยัง bot ทุกตัวพร้อมกัน คำสั่งเหล่านี้อาจสั่งให้อุปกรณ์ส่งสแปม เปิดการโจมตี ขโมยข้อมูล หรือขุดคริปโตเคอร์เรนซี
  1. การดำเนินการ: Bot จะดำเนินงานที่ได้รับมอบหมายมักในระดับมหาศาล เพราะพลังรวมของอุปกรณ์หลายพันเครื่องนั้นมากกว่าเครื่องเดี่ยวๆ อย่างมาก

Botnet สมัยใหม่มักใช้สถาปัตยกรรมแบบ peer-to-peer แทนที่จะใช้เซิร์ฟเวอร์ C2 เพียงตัวเดียว ทำให้ยากต่อการปิดระบบ หากโหนดใดโหนดหนึ่งถูกลบออก เครือข่ายที่เหลือก็ยังคงทำงานต่อไปได้

การใช้งาน Botnet ทั่วไป

Botnet อยู่เบื้องหลังการโจมตีทางไซเบอร์ที่สร้างความเสียหายมากที่สุดหลายครั้งในประวัติศาสตร์ นี่คือสิ่งที่ผู้โจมตีมักใช้มันเพื่อ:

  • การโจมตี DDoS (Distributed Denial of Service): ท่วมเว็บไซต์หรือเซิร์ฟเวอร์ด้วยทราฟฟิกจนล่ม นี่คือหนึ่งในการใช้งาน botnet ที่พบบ่อยที่สุด
  • แคมเปญสแปม: ส่งอีเมลฟิชชิ่งหรืออีเมลโฆษณาหลายพันล้านฉบับผ่านเครื่องที่ถูกแพร่ระบาดเพื่อหลีกเลี่ยงการตรวจจับ
  • Credential stuffing: ใช้ชุดข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยเพื่อพยายามเข้าสู่ระบบโดยอัตโนมัติบนเว็บไซต์นับพันแห่ง
  • Cryptojacking: ขโมยพลังการประมวลผลของอุปกรณ์เพื่อขุดคริปโตเคอร์เรนซีให้แก่ผู้โจมตี
  • การขโมยข้อมูล: รวบรวมข้อมูลรับรองการธนาคาร ข้อมูลส่วนตัว และไฟล์สำคัญจากเครื่องที่ถูกแพร่ระบาด
  • การฉ้อโกงโฆษณา: สร้างการคลิกปลอมบนโฆษณาเพื่อขโมยรายได้จากโฆษณา

เหตุใด Botnet จึงสำคัญสำหรับผู้ใช้ VPN

ผู้ใช้ VPN ไม่ได้รอดพ้นจาก botnet และในบางกรณี โครงสร้างพื้นฐาน VPN อาจเป็นเป้าหมายโดยตรงหรือผู้เข้าร่วมโดยไม่ได้ตั้งใจ

อุปกรณ์ของคุณอาจเป็น bot อยู่แล้ว VPN เข้ารหัสทราฟฟิกของคุณ แต่ไม่ได้ปกป้องคุณจากมัลแวร์ที่ติดตั้งอยู่บนอุปกรณ์ของคุณแล้ว หากเครื่องของคุณถูกโจมตี ผู้โจมตีสามารถปฏิบัติการผ่านเครื่องได้โดยไม่คำนึงว่า VPN จะทำงานอยู่หรือไม่

VPN ฟรีถูกใช้เพื่อสร้าง botnet บริการ VPN ฟรีที่ไม่น่าเชื่อถือบางรายถูกจับได้ว่าเกณฑ์อุปกรณ์ของผู้ใช้เข้าร่วม botnet โดยขายแบนด์วิดท์และพลังการประมวลผลของผู้ใช้ให้แก่บุคคลที่สาม กรณีที่ฉาวโฉ่ของ Hola VPN เป็นตัวอย่างที่มีการบันทึกไว้เป็นอย่างดี

Botnet ถูกใช้โจมตีเซิร์ฟเวอร์ VPN การโจมตี DDoS ขนาดใหญ่ที่ขับเคลื่อนด้วย botnet สามารถกำหนดเป้าหมายไปที่โครงสร้างพื้นฐาน VPN ทำให้เกิดการหยุดชะงักหรือบังคับให้ผู้ใช้ใช้การเชื่อมต่อที่มีความปลอดภัยน้อยกว่า

ปัญหาชื่อเสียง IP: หากการเชื่อมต่ออินเทอร์เน็ตของคุณเคยเป็นส่วนหนึ่งของ botnet IP address ของคุณอาจถูกตั้งค่าสถานะหรืออยู่ในบัญชีดำของเว็บไซต์และบริการต่างๆ แม้หลังจากที่มัลแวร์ถูกลบออกไปแล้วก็ตาม

การปกป้องตัวเอง

เพื่อหลีกเลี่ยงการกลายเป็น bot โดยไม่รู้ตัว ให้อัปเดตซอฟต์แวร์และเฟิร์มแวร์ทั้งหมดอยู่เสมอ ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน เปิดใช้งานการยืนยันตัวตนสองขั้นตอน และใช้ซอฟต์แวร์แอนตีไวรัสที่น่าเชื่อถือ ระวังบริการ VPN ฟรีที่ไม่ได้อธิบายโมเดลธุรกิจของตนอย่างชัดเจน จับคู่ VPN ที่น่าเชื่อถือกับสุขอนามัยด้านความปลอดภัยที่ดีเพื่อลดพื้นที่การโจมตีโดยรวมของคุณ

การทำความเข้าใจ botnet เป็นส่วนสำคัญของการทำความเข้าใจภัยคุกคามทางไซเบอร์สมัยใหม่ เพราะมันไม่ได้กำหนดเป้าหมายเฉพาะองค์กรเท่านั้น อุปกรณ์ที่เชื่อมต่อใดๆ รวมถึงของคุณด้วย ล้วนเป็นผู้ถูกเกณฑ์ที่มีศักยภาพทั้งสิ้น