IP ၂.၈ သန်းဖြင့် VPN စက်ပစ္စည်းများကို ကြီးမားသော Brute Force နည်းဖြင့် တိုက်ခိုက်နေ

          Palo Alto Networks၊ Ivanti နှင့် SonicWall အပါအဝင် ကျယ်ပြန့်သော ကွန်ရက်ချိတ်ဆက်မှုဆိုင်ရာ စက်များ၏ စကားဝှက်များကို ခန့်မှန်းရန် ကြိုးပမ်းနေသည့် ကြီးမားသော brute force စကားဝှက် တိုက်ခိုက်မှုတစ်ခုသည် IP address ပေါင်း ၂.၈ သန်း နီးပါးကို အသုံးပြု၍ လုပ်ဆောင်နေပါသည်။

          Brute force တိုက်ခိုက်မှု ဆိုသည်မှာ တိုက်ခိုက်သူများသည် အကောင့်တစ်ခု သို့မဟုတ် စက်ပစ္စည်းတစ်ခုသို့ မှန်ကန်သော သုံးစွဲသူနှင့် စကားဝှက် တွဲဖက်မှုကို မရမချင်း ထပ်ခါတလဲလဲ ဝင်ရောက်ရန် ကြိုးပမ်းခြင်း ဖြစ်သည်။ ၎င်းတို့သည် မှန်ကန်သော အထောက်အထား (သုံးစွဲသူနှင့်စကားဝှက်) ကို ရရှိသည်နှင့်တပြိုင်နက် တိုက်ခိုက်သူများသည် စက်ပစ္စည်းကို ထိန်းချုပ်ရန် သို့မဟုတ် ကွန်ရက်တစ်ခုသို့ ဝင်ရောက်ခွင့် ရရှိရန် ၎င်းတို့ကို အသုံးပြုနိုင်သည်။

          ဆိုက်ဘာခြိမ်းခြောက်မှု စောင့်ကြည့်ရေး ပလက်ဖောင်းဖြစ်သော The Shadowserver Foundation ၏ အဆိုအရ ပြီးခဲ့သည့်လမှစ၍ Brute Force တိုက်ခိုက်မှုတစ်ခု ဖြစ်ပွားနေပြီး နေ့စဉ် IP လိပ်စာပေါင်း ၂.၈ သန်းနီးပါးကို အသုံးပြုကာ ဤတိုက်ခိုက်မှုများကို လုပ်ဆောင်နေသည်ဟု သိရသည်။

          ၎င်းလိပ်စာအများစု (၁.၁ သန်း) သည် ဘရာဇီးမှဖြစ်ပြီး တူရကီ၊ ရုရှား၊ အာဂျင်တီးနား၊ မော်ရိုကိုနှင့် မက္ကဆီကိုတို့က နောက်မှလိုက်သော်လည်း ယေဘုယျအားဖြင့် ဤလုပ်ဆောင်ချက်တွင် ပါဝင်သည့် မူရင်းနိုင်ငံ အများအပြားရှိသည်။

          ၎င်းတို့မှာ Firewall၊ VPN၊ Gateway နှင့် အခြားသော လုံခြုံရေးစက်ပစ္စည်းများကဲ့သို့သော Endpoint များအတွက် လုံခြုံရေးစက်များဖြစ်ပြီး အများအားဖြင့် အဝေးမှ ဝင်ရောက်အသုံးပြုမှုကို လွယ်ကူချောမွေ့စေရန် အင်တာနက် ဖွင့်ထားလေ့ရှိသည်။

          The devices conducting these attacks are mostly MikroTik, Huawei, Cisco, Boa, and ZTE routers and IoTs, which are commonly compromised by large malware botnets.

          ဤတိုက်ခိုက်မှုများကို လုပ်ဆောင်နေသော စက်ပစ္စည်းများမှာ အများအားဖြင့် MikroTik, Huawei၊ Cisco၊ Boa၊ ZTE Router များနှင့် IoT စက်ပစ္စည်းများဖြစ်ပြီး ၎င်းတို့မှာ ကြီးမားသော အဖျက်အမှောင့်ပရိုဂရမ်များဖြစ်သည့် Botnet များကြောင့် မကြာခဏ တိုက်ခိုက်ခံရမှုရှိသည်။

          BleepingComputer သို့ ပေးပို့သော ထုတ်ပြန်ချက်တစ်ခုတွင် The Shadowserver Foundation က ဤလုပ်ဆောင်ချက်သည် အချိန်အတော်ကြာ ဖြစ်ပွားနေခဲ့သော်လည်း မကြာသေးမီက ပိုမိုကြီးမားသော အတိုင်းအတာအထိ တိုးလာကြောင်း အတည်ပြုခဲ့သည်။

          ShadowServer က တိုက်ခိုက်နေသော IP လိပ်စာများသည် ကွန်ရက်များနှင့် Autonomous Systems ကဲ့သို့ ကြီးမားသောကွန်ရက် အများအပြားတွင် ပျံ့နှံ့နေပြီး Botnet တစ်ခု သို့မဟုတ် အိမ်သုံး Proxy ကွန်ရက်များနှင့် ဆက်နွယ်နေသော လှုပ်ရှားမှုတစ်ခု ဖြစ်နိုင်ကြောင်းလည်း ပြောကြားခဲ့သည်။

          အိမ်သုံး Proxy ဆိုသည်မှာ အင်တာနက်ဝန်ဆောင်မှုပေးသူများ၏ သုံးစွဲသူများထံ ခွဲဝေပေးထားသော IP လိပ်စာများဖြစ်ပြီး ၎င်းတို့ကို ဆိုက်ဘာရာဇဝတ်မှု၊ အချက်အလက်စုဆောင်းခြင်း၊ ပထဝီဝင်ဆိုင်ရာ ကန့်သတ်ချက်များကို ကျော်လွှားခြင်း၊ ကြော်ငြာ စိစစ်ခြင်း၊ ဖိနပ်/လက်မှတ် မှောင်ခိုရောင်းဝယ်ခြင်းနှင့် အခြားအရာများတွင် အသုံးပြုရန်အတွက် အလွန်ပင် အလိုရှိကြသည်။

          ဤ Proxy များသည် အင်တာနက်အသွားအလာကို အိမ်သုံးကွန်ရက်များမှတစ်ဆင့် လမ်းကြောင်းပြောင်းပေးသောကြောင့် အသုံးပြုသူသည် Bot၊ ဒေတာစုဆောင်းသူ သို့မဟုတ် ဟက်ကာ မဟုတ်ဘဲ သာမန်အိမ်သုံးအသုံးပြုသူကဲ့သို့ ထင်ရစေသည်။

          ဤလုပ်ဆောင်ချက်၏ ပစ်မှတ်ထားခံရသော Gateway ပစ္စည်းများသည် အိမ်သုံး proxy လှုပ်ရှားမှုများတွင် Proxy ထွက်ပေါက် Node များအဖြစ် အသုံးပြုနိုင်ပြီး အဖွဲ့အစည်း၏ လုပ်ငန်းကွန်ရက်မှတစ်ဆင့် အန္တရာယ်ရှိသော လမ်းကြောင်းအဖြစ် လမ်းကြောင်းပြောင်းနိုင်သည်။

          ဤ Node များကို "အရည်အသွေးမြင့်" ဟု သတ်မှတ်ခံရသည်။ အဘယ်ကြောင့်ဆိုသော် အဖွဲ့အစည်းများသည် ဂုဏ်သတင်းကောင်းရှိကြပြီး တိုက်ခိုက်မှုများကို ရှာဖွေတွေ့ရှိရန်နှင့် ရပ်တန့်ရန် ပိုမိုခက်ခဲသောကြောင့်ဖြစ်သည်။

          Brute-force တိုက်ခိုက်မှုများမှ ဤကဲ့သို့စက်ပစ္စည်းများကို ကာကွယ်ရန် အဆင့်များတွင် မူလ Admin စကားဝှက်ကို ခိုင်မာပြီး ထူးခြားသည့် စကားဝှက်အဖြစ် ပြောင်းလဲခြင်း၊ Multi-factor Authentication (MFA) ကို အသုံးပြုခြင်း၊ ယုံကြည်ရသော IP များ၏ AllowList ကို အသုံးပြုခြင်းနှင့် ဝဘ်စီမံခန့်ခွဲမှု Interface များကို မလိုအပ်ပါက ပိတ်ထားခြင်းတို့ ပါဝင်သည်။

          အဆုံးစွန်အားဖြင့် တိုက်ခိုက်သူများက ကနဦးဝင်ရောက်ခွင့်ရရန် အသုံးချနိုင်သော လုံခြုံရေးအားနည်းချက်များကို ဖယ်ရှားရန်အတွက် ထိုစက်ပစ္စည်းများအား နောက်ဆုံးထွက်ရှိသော Firmware နှင့် လုံခြုံရေး Update များကို အသုံးပြုခြင်းသည် အရေးကြီးဆုံး ဖြစ်ပါသည်။

          ပြီးခဲ့သည့် ဧပြီလတွင် Cisco က ကမ္ဘာတစ်ဝှမ်းရှိ Cisco၊ CheckPoint၊ Fortinet၊ SonicWall နှင့် Ubiquiti စက်ပစ္စည်းများကို ပစ်မှတ်ထားသည့် ကြီးမားသော Brute Force လှုပ်ရှားမှုတစ်ခုအကြောင်း သတိပေးခဲ့သည်။

          ဒီဇင်ဘာလတွင် Citrix ကလည်း ကမ္ဘာတစ်ဝန်းရှိ Citrix Netscaler စက်ပစ္စည်းများကို ပစ်မှတ်ထားသည့် စုဆောင်းထားသောစကားဝှက်များ အသုံးပြုတိုက်ခိုက်မှု (Password Spray) အကြောင်း သတိပေးခဲ့သည်။

“Bill Toulas” ၏ “Massive brute force attack uses 2.8 million IPs to target VPN devices” ကို ဘာသာပြန်ဆိုပါသည်။