Thursday, October 18

ประเภทของ botnet


การจำแนกตามประเภทบอทเน็ต
การทดสอบประสิทธิภาพในการจำแนกประเภทเหตุการณ์ต่างๆที่มีการนำบอทเน็ตมาใช้ ผู้จัดทำได้คัดเลือกเหตุการณ์ที่ปรากฏในช่วงปีที่ผ่านมาและมีการแสดงให้เห็นถึงความหลากหลายของจุดประสงค์ที่ใช้งาน ในบางกรณีอาจมีความเกี่ยวข้องกันจึงถูกจัดให้อยู่ในกลุ่มลำดับเหตุการณ์เดียวกันทั้งหมด ทั้งนี้เป็นเพราะเหตุการณ์เหล่านั้นมีการนำบอทเน็ตชนิดเดิมมาใช้เพื่อจุดมุ่งหมายเดียวกัน (รายละเอียดสามารถดูได้ที่ตารางด้านล่าง)
1. Stuxnet
ถึงแม้ว่าจำนวนเครื่องคอมพิวเตอร์ที่ได้รับการติดเชื้อจาก Stuxnet จะมีจำนวนที่ไม่มากและมีการเจาะจงเป้าหมายการโจมตี แต่รูปแบบการทำงานโดยพื้นฐานของ Stuxnet ก็ได้ถูกจัดให้เป็นบอทเน็ตชนิดหนึ่ง อันเพราะมีความสามารถทางด้านการสั่งการและควบคุมเฉกเช่นคุณลักษณะที่บอทเน็ตทั่วไปพึงจะมี
ปัญหาหนึ่งในการจำแนกเหตุการณ์ตามหมวดหมู่ คือการขาดความน่าเชื่อถือของข้อมูลอันเนื่องมาจากร่องรอยจำนวนมากที่ได้ถูกทิ้งไว้ ส่งผลให้การคัดแยกคุณลักษณะของผู้ใช้งานบอทเน็ตเป็นเรื่องที่ยากและในขณะเดียวกันนั้น ทางทีมผู้จัดทำได้เชื่อว่าเหตุการณ์ดังกล่าวอาจมีตัวแทนภาครัฐมีส่วนเกี่ยวข้องด้วย อันเนื่องมาจากขีดความสามารถในการโจมตีและเจตนาในการก่อวินาศกรรมเป็นแรงจูงใจที่ปรากฏให้เห็น Stuxnet นั้นมีการแพร่กระจายโดยปราศจากความยินยอม และความเสียหายที่เกิดขึ้นต่อระบบอุตสาหกรรมแสดงให้เห็นถึงความสามารถในการปฏิเสธการให้บริการได้อย่างดี
2. GhostNet
GhostNet เป็นบอทเน็ตชนิดหนึ่งที่ไม่ปรากฏถึงที่มาของผู้ควบคุม มีอัตราการติดเชื้ออยู่ในระดับที่ต่ำ (ประมาณ 1,300) และในกลุ่มที่มีการติดเชื้อเป็นเป้าหมายที่มีความสำคัญ คิดเป็น 30% ของทั้งหมด ซึ่งแสดงให้เห็นถึงจุดมุ่งหมายเพื่อการจารกรรมข้อมูลจากกลุ่ม pro-Tibet โดย GhostNet ใช้วิธีการขโมยข้อมูลผ่านเครื่องคอมพิวเตอร์ที่ติดเชื้อโดยไม่ได้รับการยินยอมจากเจ้าของเครื่อง
3.ปฏิบัติการตอบโต้
ปฏิบัติการดังกล่าวได้เริ่มดำเนินการขึ้นโดยกลุ่มผู้สนับสนุนเว็บไซต์ WikiLeaks ภายหลังที่กลุ่มผู้ให้บริการการเงินหลายกลุ่มได้หยุดให้บริการแก่ WikiLeaks หลังจากเหตุการณ์นำข้อมูลความลับของประเทศสหรัฐอเมริกามาเปิดเผย
การโจมตีได้ถูกกระทำผ่านโปรแกรมโจมตีเครือข่ายให้บริการแบบเปิดที่มีชื่อว่า Low OrbitIon Cannon ด้วยความร่วมมือและการเตรียมการในเวบบอร์ด, ทวิตเตอร์ และเซิฟเวอร์ควบคุมและสั่งการ หากอ้างอิงตามการจัดประเภทของบทความนี้แล้ว ปฏิบัติการดังกล่าวจะถือว่าเป็นการแสดงขีดความสามารถในการโจมตี ผ่านการปฏิเสธการให้บริการแบบกระจาย และกระทำด้วยความยินยอมหรือสมัครใจของผู้ติดเชื้อบอทเน็ต
4. Help-Israel-Win
เป็นการกระทำของกลุ่ม pro-Israel ที่มีการผลักดันให้เกิดการต่อต้านองค์กรฮามาสของปาเลสไตน์ ผ่านการแสดงขีดความสามารถในการโจมตี ด้วยการจัดตั้งเว็บไซต์ที่เปิดให้มีการดาวน์โหลดโปรแกรม เพื่อให้เครื่องของผู้ใช้งานติดเชื้อบอทเน็ตด้วยความสมัครใจ หากอ้างอิงจากข้อมูลที่เผยแพร่โดยกลุ่มนี้จะพบว่า การโจมตีเว็บไซต์ของ pro-Palestinian ด้วยวิธีการปฏิเสธการให้บริการแบบกระจาย อย่างไรก็ตามไม่มีรายงานระบุว่ากลุ่มดังกล่าวได้กระทำการโจมตี หรือประสพผลสำเร็จจากการโจมตีแล้วหรือไม่
5. Conficker
จวบจนถึงทุกวันนี้ ยังเป็นที่ไม่ทราบว่าใครคือผู้พัฒนาหรือเจ้าของของบอทเน็ตตัวนี้ แต่จากการวิเคราะห์ความสามารถในการปรับตัวเข้ากับมาตรการตอบโต้ต่างๆอย่างรวดเร็ว ทำให้เชื่อได้ว่ามีหลายบุคคลอยู่เบื้องหลังการพัฒนา เนื่องมาจากไม่ปรากฏถึงความสามารถในการทำงานใดๆ นอกไปจากคำสั่งในการถ่ายโอนข้อมูล ทำให้เกิดการคาดเดาว่า Conficker เป็นเพียงแค่บอทเน็ตที่ใช้ในการพิสูจน์ถึงแนวคิดการทำงาน ดังนั้นแรงจูงใจการใช้บอทเน็ตจึงตกไปอยู่ที่เพื่อการศึกษาและวิจัย ผ่านการติดเชื้อที่ไม่ได้รับความยินยอมจากเจ้าของเครื่อง
6. Mariposa
เป็นบอทเน็ตที่ได้มีการกล่าวอ้างว่ามีเครือข่ายของผู้ติดเชื้อที่ใหญ่ที่สุดเท่าที่เคยมีมา ได้ถูกพัฒนาขึ้นและใช้งานโดยกลุ่มอาชญากรข้ามชาติเพื่อผลประโยชน์ด้านการเงิน ผ่านการขโมยข้อมูลในการทำธุรกรรมอีเล็คทรอนิกส์,บัตรเครดิต และใช้เพื่อในการโจมตีปฏิเสธการให้บริการแบบกระจาย ด้วยเครือข่ายของกลุ่มเครื่องที่ติดเชื้อโดยไม่ได้รับความยินยอม
7. Belarus censorship
รัฐเบลารุสมีประวัติอันยาวนานในเรื่องการบังคับใช้การเซ็นเซอร์บนอินเทอร์เน็ตแก่ประชาชนอันเนื่องมาจากกฎเกณฑ์ทางด้านข้อมูลข่าวสารที่สำคัญ Chapter ’97 ซึ่งเป็นเว็บไซต์ที่ถูกสร้างขึ้นมาเพื่อการพูดคุยเรื่องทั่วไปในเบลารุสได้ถูกโจมตีทางไซเบอร์บ่อยครั้งโดยฝีมือผู้สนับสนุนภาครัฐ ในช่วงเมษายนปี 2008 เว็บไซต์ได้ถูกโจมตีด้วยการปฏิเสธการให้บริการแบบกระจาย เพราะเหตุที่มีการเผยแพร่ข่าวการชุมนุมประท้วงเพื่อแยกรัฐอิสระ (การแก้ไขข่าวสารผ่านการคัดกรองข้อมูล)
ในขณะที่หน่วยงานภาครัฐของเบลารุสได้ปฏิเสธถึงการมีส่วนร่วมของการกระทำดังกล่าว เป็นที่เชื่อกันว่าพวกเขาไม่ได้มีการตอบโต้การโจมตีอย่างจริงจัง ซึ่งอาจจัดได้ว่าเป็นเหตุการณ์ที่กระทำโดยตัวแทนรัฐ แต่รูปแบบการใช้งาน และวิธีการติดเชื้อเป็นสิ่งที่ไม่สามารถระบุได้
ตาราง แสดงข้อมูลของการจำแนกเหตุการณ์
ตัวอย่าง
ผู้ใช้งาน
แรงจูงใจ / จุดมุ่งหมาย
รูปแบบการโจมตี
รูปแบบการติดเชื้อ
Stuxnet
ตัวแทนรัฐ
การแสดงขีดความสามารถในการโจมตี
ปฏิเสธการให้บริการ
ไม่ได้รับการยินยอม
GhostNet
ไม่สามารถระบุได้
การจารกรรมข้อมูล
จารกรรมข้อมูล
ไม่ได้รับการยินยอม
Operation Payback
ปฏิบัติการตอบโต้
กลุ่มบุคคล
การแสดงขีดความสามารถในการโจมตี
ปฏิเสธการให้บริการแบบกระจาย
ยินยอม
Israeli
กลุ่มบุคคล
การแสดงขีดความสามารถในการโจมตี
ปฏิเสธการให้บริการแบบกระจาย
ยินยอม
Conficker
กลุ่มบุคคล
การศึกษาและวิจัย
ไม่มีรูปแบบการโจมตี
ไม่ได้รับการยินยอม
Mariposa
กลุ่มบุคคล
ผลประโยชน์ทางการเงิน
จารกรรมข้อมูล / ปฏิเสธการให้บริการแบบกระจาย
ไม่ได้รับการยินยอม