Sunday, April 28, 2013
Malware ဆိုတာဘာပါလိမ့္...................
လြန္ခဲ့တဲ့ငါးႏွစ္ခန္႔ကတည္းက ကြန္ပ်ဴတာေတြထဲမွာ ပုန္းလွ်ိဳးကြယ္လွ်ိဳး၀င္ေရာက္ေနတဲ့ အဆိုပါ malware ဟာ အခ်က္အလက္ခိုးယူျခင္း၊ စကားေျပာဆိုမႈမ်ားကို ခိုးယူနားေထာင္ႏိုင္ျခင္း၊ instant message အျပန္အလွန္ေျပာဆိုမႈမ်ားကို screen ေပၚမွဖမ္းယူႏိုင္ျခင္း၊ တိုက္ခိုက္ခံရသူမ်ားကို အႏၱရာယ္ေပးႏိုင္ျခင္း စတာေတြကို လုပ္ေဆာင္ႏိုင္စြမ္းရိွပါတယ္။ ဒါေၾကာင့္ Flame malware ရဲ႕အႏၱရာယ္ႀကီးမားပံုကို အဆိုပါ malware ကိုရွာေဖြေတြ႕ရိွခဲ့တဲ့ Kaspersky ကုမၸဏီမွ လံုၿခံဳေရးသုေတသီတစ္ဦးျဖစ္သူ Roel Schouwenberg ရဲ႕ေျပာၾကားခ်က္မ်ားကို ေဖာ္ျပလိုက္ပါတယ္။
Flame ဆိုတာ ဘာလဲ။
Flame ဆိုတာဟာ ကြန္ပ်ဴတာေတြေပၚမွာ backdoor တစ္ခု (ဒါမွမဟုတ္) Trojan တစ္ခုကိုထားၿပီး ကြန္ပ်ဴတာ worm တစ္ခုလိုမ်ိဳး local network တစ္ခုကတစ္ဆင့္ ျပန္႔ပြားေစႏိုင္တဲ့ ေခတ္မီဆန္းျပားၿပီး ႐ႈပ္ေထြးတဲ့ attack toolkit တစ္ခုျဖစ္ပါတယ္။ ၎ဟာအေရးပါတဲ့ Windows လံုၿခံဳေရးအားနည္းခ်က္ကိုအသံုးခ်ၿပီး ၀င္ေရာက္တယ္လို႔ Kaspersky Lab ကသံသယရိွေစမယ့္ အတည္ျပဳႏိုင္ခဲ့ျခင္းမရိွဘူးလို႔ Kaspersky blog post မွေဖာ္ျပခဲ့ပါတယ္။ Flame ဟာ network လမ္းေၾကာင္းကို ရွာေဖြေဖာ္ထုတ္ႏိုင္ျခင္း၊ screenshot ဖမ္းယူႏိုင္ျခင္း၊ စကားေျပာဆိုမႈမ်ားနဲ႔ keystroke မ်ားကို မွတ္သားထားႏိုင္ျခင္း၊ အနီးအနားမွာရိွတဲ့ ရွာေဖြမႈျပဳလုပ္ႏိုင္တဲ့ Bluetooth device မ်ားမွ အခ်က္အလက္မ်ားကိုစုေဆာင္းျခင္း၊ ကူးစက္ခံရတဲ့ကြန္ပ်ဴတာကို ရွာေဖြႏိုင္တဲ့ Bluetooth device တစ္ခုအသြင္ေျပာင္းလဲျခင္း စတာေတြကို လုပ္ေဆာင္ႏိုင္ပါတယ္။ တိုက္ခိုက္သူမ်ားဟာ ပိုမိုၿပီးအသံုးခ်ႏိုင္တဲ့ အပိုေဆာင္း module မ်ားကို upload လုပ္ႏိုင္ၿပီး အဆိုပါတိုက္ခိုက္သူေတြျပဳလုပ္ထားတဲ့ module ၂၀ ခန္႔ကို သုေတသီမ်ားက ရွာေဖြေတြ႕ရိွခဲ့ၾကတာျဖစ္ပါတယ္။ ၎ module package မွာ code လိုင္းေပါင္း ၃,၀၀၀ ေက်ာ္ပါ၀င္ၿပီး ၂၀ megabytes နီးပါးရိွတဲ့အျပင္ database ကို ကၽြမ္းက်င္စြာ ကိုင္တြယ္ဖလွယ္မႈမ်ား၊ encryption အတြက္နည္းလမ္းမ်ားနဲ႔ batch scripting မ်ားပါ၀င္တယ္လို႔ ဆိုပါတယ္။
Flame malware ဘယ္လို ကူးစက္ပ်ံ႕ႏွံ႔သလဲ။
Flame ဟာ USB thumb drive မ်ားနဲ႔ network share မ်ား၊ share လုပ္ထားတဲ့ printer spool လံုၿခံဳေရးအားနည္းခ်က္တို႔ကေနတစ္ဆင့္ ကြန္ရက္ (network) အတြင္းကူးစက္ပ်ံ႕ႏွံ႔ပါတယ္။ ဒါေပမဲ့ ကူးစက္ပ်ံ႕ႏွံ႔မႈဟာ တိုက္ခိုက္သူမ်ားမွ ၫႊန္ၾကားတဲ့အခါမွသာ ျဖစ္ေပၚတယ္လို႔ဆိုပါတယ္။
Flame ေပၚတာ ဘယ္ေလာက္ၾကာၿပီလဲ။
ပထမဦးဆံုး အတည္ျပဳသတင္းေဖာ္ျပခ်က္အရ Flame ကို ၂၀၁၀ ခုႏွစ္က ေတြ႕ရိွခဲ့တယ္လို႔ဆိုၾကေပမယ့္ အျခားေသာ သက္ေသအေထာက္အထားမ်ားရဲ႕ ေဖာ္ျပခ်က္အရ ၎ malware ဟာ ၂၀၀၇ ခုႏွစ္ကတည္းက ေပၚေပါက္ခဲ့တယ္လို႔သိရပါတယ္။ လြန္ခဲ့တဲ့ရက္သတၲပတ္မွာေတာ့ အျပည္ျပည္ဆိုင္ရာဆက္သြယ္ေရးအဖြဲ႕က အီရန္ေရနံဌာနမွာရိွတဲ့ ကြန္ပ်ဴတာမ်ားရဲ႕ အေရးႀကီးအခ်က္အလက္မ်ားကို ဖ်က္ဆီးျခင္းနဲ႔ ခိုးယူျခင္းတို႔ကိုျပဳလုပ္တဲ့ Wiper လို႔ေခၚတဲ့ malware ကိုရွာေဖြရန္အတြက္ Kaspersky Lab မွသုေတသီမ်ားကို အကူအညီေတာင္းခဲ့ရာမွ အဆိုပါ Flame malware ကို ရွာေဖြေတြ႕ရိွခဲ့ျခင္းျဖစ္ပါတယ္။
Flame နဲ႔ Wiper ဘယ္လိုဆက္စပ္မႈရိွလဲ။
Wiper ဟာ တိုက္ခိုက္သူမ်ားမွ ကြန္ပ်ဴတာထံမွ အခ်က္အလက္ကို ဖ်က္လိုတဲ့အခါ ပစ္မွတ္ထားခံရတဲ့စက္ထံ upload ျပဳလုပ္လိုက္တဲ့ Flame ရဲ႕ module တစ္ခုျဖစ္ႏိုင္ပါတယ္။ Flame နဲ႔ Wiper တစ္ခုနဲ႔ တစ္ခုခ်ိတ္ဆက္ျခင္းအတြက္ သက္ေသအေထာက္အထားမရိွေပမယ့္ ကူးစက္ပ်ံ႕ႏွံ႔မႈမ်ားဟာ တစ္ခ်ိန္တည္း တစ္ေနရာတည္းမွာ အခ်ိန္ကိုက္ျဖစ္ေပၚေနတယ္လို႔ Schouwenberg ကေျပာၾကားခဲ့ပါတယ္။ ဒါ့အျပင္ အီရန္ရဲ႕ အမ်ိဳးသားကြန္ပ်ဴတာအေရးေပၚတံု႔ျပန္မႈအဖြဲ႕ (CERT) က Maher လို႔ေခၚတဲ့ ေဆာ့ဖ္၀ဲရဲ႕ရွာေဖြေတြ႕ရိွခ်က္အရ Flame ကို ေမလအေစာပိုင္းက ႏိုင္ငံအတြင္းရိွ ကုမၸဏီမ်ားထံ ေပးပို႔ေစလႊတ္ခဲ့ၿပီး ယခုအခါမွာ အဆိုပါ malware ကိုဖယ္ရွားမယ့္ tool ကလည္း အဆင္သင့္ျဖစ္ေနၿပီလို႔ဆိုပါတယ္။ အီရန္အာဏာပိုင္မ်ားကေတာ့ Wiper နဲ႔ Flame ဟာ ဆက္စပ္မႈရိွတယ္လို႔ သံသယရိွေနၾကပါတယ္။
ဘာေၾကာင့္ Flame ကို အေစာပိုင္းက ေတြ႕ရိွခဲ့ျခင္းမရိွတာလဲ။
Flame ဟာ အစိုးရကေထာက္ပံ့ေပးထားတဲ့ ေဒၚလာသန္းေပါင္းမ်ားစြာတန္တဲ့ စီမံကိန္းတစ္ခုျဖစ္သလို code ေရးသားရာမွာလည္း အထူးႀကိဳးပမ္းကာ ျပဳလုပ္ထားတဲ့အတြက္ စံုစမ္းရွာေဖြမႈမ်ားကို ေရွာင္လႊဲႏိုင္ တယ္လို႔ Schouwenberg ကေျပာပါတယ္။ Stuxnet ကိုရွာေဖြေတြ႕ရိွတဲ့အခါမွာ ႀကီးမားတဲ့ကူးစက္ပ်ံ႕ႏွံ႔မႈ ျဖစ္ေပၚေနေပမယ့္ Flame ကေတာ့ အေ၀းထိန္းစနစ္နဲ႔ ၫႊန္ၾကားမႈျပဳလုပ္ၿပီးေနာက္မွသာ ကူးစက္ပ်ံ႕ႏွံ႔တဲ့အသြင္ျဖင့္သာ လႈပ္ရွားေနျခင္း၊ rootkit နည္းပညာကို အသံုးျပဳထားျခင္းမရိွတဲ့အတြက္ အခမဲ့ anti-rootkit tool မ်ားျဖင့္ ရွာေဖြႏိုင္မႈမရိွျခင္း စတာေတြေၾကာင့္ ရွာေဖြေတြ႕ရိွမႈ ေႏွာင့္ေႏွးခဲ့ရျခင္းျဖစ္ပါတယ္။
ဒီ malware ကို ဘယ္သူဖန္တီးတာလဲ။
Flame malware ကို ဘယ္သူေရးဆြဲၿပီး ဘယ္သူျဖန္႔ေ၀တယ္ဆိုတာကို အေသအခ်ာမသိရေသးေပမယ့္ အဆိုပါ malware ကို ႏိုင္ငံတစ္ႏိုင္ငံ ဒါမွမဟုတ္ ႏိုင္ငံတစ္ႏိုင္ငံမွ ငွားရမ္းထား သူတစ္စံုတစ္ဦးက ျပဳလုပ္ျခင္းျဖစ္တယ္လို႔ သုေတသီမ်ားက ယံုၾကည္ေနၾကပါတယ္။ ဒါ့အျပင္ code မ်ားကို အဂၤလိပ္ဘာသာျဖင့္သာ ေရးဆြဲထားသည့္အတြက္ Stuxnet ကဲ့သို႔ပင္ အေမရိကန္ (သို႔မဟုတ္) အစၥေရးက အဆိုပါ malware ရဲ႕ေနာက္ကြယ္မွာရိွတယ္လို႔ ထင္ျမင္ေၾကာင္း Schouwenberg ကဆိုပါတယ္။
Stuxnet နဲ႔ Duqu ေရာ ဆက္စပ္မႈရိွသလား။
Flame ဟာ ပစ္မွတ္ထားထားတဲ့ အေရးႀကီးတဲ့ အေျခခံအေဆာက္အဦးစနစ္မ်ားကို တိုက္ခိုက္တဲ့အခါမွာ အခ်ိဳ႕ေသာ ၀ိေသသလကၡဏာမ်ားဟာ ယခင္ malware အမ်ိဳးအစားႏွစ္ခုျဖစ္တဲ့ Stuxnet နဲ႔ Duqu တို႔ မွာ အသံုးျပဳထားတဲ့နည္းပညာနဲ႔ တူညီတယ္လို႔ဆိုပါတယ္။ ဥပမာအေနနဲ႔ Flame နဲ႔ Stuxnet ႏွစ္မ်ိဳးစလံုးဟာ Autorun နည္းလမ္းကိုအသံုးျပဳၿပီး USB drive ကေနတစ္ဆင့္ ပ်ံ႕ႏွံ႔ပံုျခင္းတူညီသလို directory တစ္ခုကိုဖြင့္လိုက္တဲ့အခါမွာလည္း .LNK ဖိုင္ကိုဖြင့္လိုက္ပံုျခင္းလည္း တူညီပါတယ္။ ဒါ့အျပင္ Stuxnet ကအသံုးခ်ထားတဲ့ Windows အေျခခံ share လုပ္ထားတဲ့ printer ရဲ႕အားနည္းခ်က္ကိုအသံုးျပဳၿပီး local network မ်ားမွတစ္ဆင့္ အခ်က္အလက္ကူးယူႏိုင္ပါတယ္။ ေနာက္ၿပီး Flame ရဲ႕အရြယ္အစားဟာ ႐ႈပ္ေထြးအဆန္းျပားဆံုး malware ျဖစ္ခဲ့တဲ့ Stuxnet ထက္ အဆ ၂၀ ပိုမိုႀကီးမားတယ္လို႔ ဆိုပါတယ္။
ဘယ္ႏိုင္ငံေတြက Flame malware ရဲ႕ပစ္မွတ္ထားျခင္းကို ခံေနရသလဲ။
အမ်ားဆံုး ကူးစက္ပ်ံ႕ႏွံ႔ခံေနရတဲ့ႏိုင္ငံကေတာ့ အီရန္ျဖစ္ၿပီး အစၥေရး/ပါလက္စတိုင္း၊ ဆူဒန္၊ ဆီးရီးယား၊ လက္ဘႏြန္၊ ေဆာ္ဒီအာေရဗ်နဲ႔ အီဂ်စ္ႏိုင္ငံတို႔ကလည္း အသီးသီးကူးစက္ခံေနရတယ္လို႔ Kaspersky က ေဖာ္ျပခဲ့ပါတယ္။ Symantec ကေတာ့ အဓိကပစ္မွတ္မ်ားမွာ ပါလက္စတိုင္းအေနာက္ဘက္ကမ္းေျခ၊ ဟန္ေဂရီနဲ႔ လက္ဘႏြန္တို႔ျဖစ္တယ္လို႔ ေဖာ္ျပခဲ့ပါတယ္။
Flame malware ဘယ္ေလာက္အထိ ပ်ံ႕ႏွံ႔ႏိုင္သလဲ။
လက္ရိွမွာေတာ့ Flame malware ကူးစက္ပ်ံ႕ႏွံ႔ခံရတဲ့ ကြန္ပ်ဴတာ ၃၀၀ မွ ၄၀၀ အတြင္းရိွၿပီး ကမၻာတစ္၀န္းမွာ ကြန္ပ်ဴတာ ၁,၀၀၀ ေက်ာ္အထိပ်ံ႕ႏွံ႔ႏိုင္တယ္လို႔ သုေတသီမ်ားက သံုးသပ္ေျပာၾကားခဲ့ပါတယ္။ အေမရိကန္ႏိုင္ငံမွာေတာ့ ကူးစက္ပ်ံ႕ႏွံ႔မႈအနည္းငယ္ရိွခဲ့ၿပီး ၎တို႔ဟာ အေရွ႕အလယ္ပိုင္းေဒသမွ တစ္စံုတစ္ေယာက္က အေမရိကန္အေျခစိုက္ virtual private network တစ္ခုကိုအသံုးျပဳျခင္းေၾကာင့္ ျဖစ္တယ္လို႔ Shouwenberg ကေျပာၾကားခဲ့ပါတယ္။
ကူးစက္ပ်ံ႕ႏွံ႔မႈကို ဘယ္လိုကာကြယ္မလဲ။
ယခုအခါမွာ antivirus ေဆာ့ဖ္၀ဲအမ်ားစုဟာ Flame ကို ရွာေဖြစံုစမ္းႏိုင္လွ်က္ရိွတာေၾကာင့္ အသံုးျပဳေနတဲ့ security ေဆာ့ဖ္၀ဲကို update လုပ္ျခင္းျဖင့္ကာကြယ္ႏိုင္ပါတယ္။ ဒါ့အျပင္ အဆိုပါ malware ဖယ္ရွားမႈနည္းလမ္းကိုလည္း Kaspersky ကေဖာ္ျပေပးထားပါတယ္။ ေနာက္ၿပီး Flame ကို ဘ႑ာေရးအခ်က္အလက္မ်ားခိုးယူရန္အတြက္ ေရးဆြဲထားျခင္းမဟုတ္တာေၾကာင့္ သံုးစြဲသူမ်ားကို ပစ္မွတ္ထားျခင္းမရိွတဲ့အတြက္ အမ်ားႀကီးစိုးရိမ္စရာမလိုပါဘူး။
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment