【屍變】去中心化殭屍網絡 Hivenet擁人工智能識自動攻擊
殭屍網絡 (Botnet) 一向令人頭痛,因為黑客可以利用它發動多種攻擊,例如 DDoS 網站或應用服務、發送垃圾電郵、挖礦 (cryptocurrency),黑客更可入侵中招的電子設備偷取資料。不過,擁有人工智能的蜂巢網絡 (Hivenet) 就更令人頭大,除了擁有殭屍網絡功能,其分散式運作更難以被一舉殲滅,甚至懂得自動感染其他電子設備……
殭屍網絡已在網上橫行多年,但自從 IoT (Internet of Thing, 物聯網) 產品被廣泛採用,就令到黑客可操控的電子設備暴增,根據歐洲網絡安全公司 ENISA 最新研究報告估計,現時平均每日都有 770 萬個 IoT 設備連上互聯網,但當中只得 5% 受到保護,就知問題極為嚴重。更討厭的是殭屍網絡仍在不斷進化,安全專家指出以往殭屍網絡都會由一個 C&C (Command & Control) 中心控制,指示被入侵的設備執行各種任務,所以只要能夠找出並癱瘓這個 C&C 中心,就能解放數以千計的電子設備。
不過,有迹象顯示黑客開始採用去中心化的蜂巢網絡,被入侵的設備之間懂得互相溝通,令每一台設備都可以成為 C&C 中心,所以即使癱瘓其中一台設備,都無法阻止蜂巢網絡繼續運作。而且專家指,蜂巢網絡採用了自動化及人工智能技術,中招設備毋須等待中央指令,便能自動執行攻擊動作,例如向網絡上存有漏洞的 IoT 產品發動攻擊、收集情報迴避安全工具偵測,大大提升病毒感染力。
要對付蜂巢網絡並不容易,必須由執法部門及網絡安全公司通力合作,例如早前 Microsoft 與 ESET、NTT、Symantec 及執法部門的聯合行動,便成功制止木馬程式 TrickBot 約 9 成活動,專家指由於各機構共享病毒資料,再加上有電信供應商提供數據資料,令這次行動收集到 12.5 萬個 TrickBot 標本,有助團隊了解其運作及溝通路線,才能達成今次大圍捕的目標。另一方面,專家建議網站及應用服務必須使用如 reCAPTCHA 等機械人驗證機制,以及為帳戶及 IoT 產品啟動多重因素驗證 (multi-factors authentication),亦能在一定程度上控制非法登入要求,削減黑客集團可利用的「棋子」。