You are here
Home > Technology > Security > เปิดโปง 7 ขบวนการภัยคุกคามทางไซเบอร์ โดนกันทั่วหน้าทั้งทหาร เวชภัณฑ์ และองค์กรการเมือง

เปิดโปง 7 ขบวนการภัยคุกคามทางไซเบอร์ โดนกันทั่วหน้าทั้งทหาร เวชภัณฑ์ และองค์กรการเมือง

  • Krungsri KMA

เมื่อช่วงต้นปีนี้ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – ทีม GReAT) ได้เปิดโปงขบวนการภัยคุกคามทางไซเบอร์หลายกลุ่ม แต่ละกลุ่มล้วนมีความซับซ้อน ใช้ทูลและเทคนิคขั้นสูง เช่น Slingshot, OlympicDestroyer, Sofacy, PlugX Pharma, Crouching Yeti, ZooPark และล่าสุด Roaming Mantis เป็นต้น

shutterstock_582222715-2

Slingshot จัดเป็นภัยไซเบอร์ที่มีความซับซ้อนใช้ในการจารกรรมทางไซเบอร์ในแถบตะวันออกกลางและแอฟริกาอย่างน้อยน่าจะเริ่มตั้งแต่ช่วงปี 2012 จนกระทั่งกุมภาพันธ์ 2018 โดยตัวมัลแวร์จะทำการโจมตีปล่อยเชื้อใส่เหยื่อผ่านเราเตอร์ที่มีช่องโหว่ และทำงานอยู่ในเคอร์เนลโหมด (kernel mode) สามารถเข้าควบคุมอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์

OlympicDestroyer เป็นมัลแวร์ที่ใช้เทคนิคสร้างความเข้าใจผิด (false flag) โดยฝังมาในเวิร์ม ล่อให้ตัวตรวจจับหลงทางพลาดเป้าหมายมัลแวร์ตัวจริง ดังที่เป็นข่าวใหญ่โตในช่วงโอลิมปิกฤดูหนาวที่เพิ่งผ่านมา

Sofacy หรือ APT28 หรือ Fancy Bear เป็นกลุ่มก่อการจารกรรมไซเบอร์ที่ออกปฏิบัติการก่อกวนอยู่เนืองๆ ได้ปรับเปลี่ยนเป้าหมายมายังตะวันออกไกล หันเหความสนใจมายังองค์กรด้านการทหารและป้องกันประเทศ ด้านการทูต นอกเหนือไปจากเป้าหมายที่มักเกี่ยวโยงกับองค์การนาโต้

PlugX เป็นมัลแวร์เกี่ยวกับทูลในการทำรีโมทแอคเซส (RAT) เป็นที่รู้จักดี เมื่อเร็วๆ นี้ถูกตรวจพบในองค์กรด้านเวชภัณฑ์ที่เวียดนาม มุ่งหวังโจรกรรมสูตรยาที่มีค่ายิ่งและข้อมูลด้านธุรกิจ ประเทศไทยเองก็ถูกจัดอันดับเป็นหนึ่งในสามที่องค์กรธุรกิจด้านเวชภัณฑ์ถูกโจมตีมากที่สุด

Crouching Yeti เป็นกลุ่ม APT ใช้ภาษารัสเซียที่ถูกตามรอยมาตั้งแต่ปี 2010 เป้าหมายอยู่ที่ธุรกิจอุตสาหกรรมทั่วโลก โดยมุ่งเน้นไปที่ด้านพลังงาน เทคนิคการโจมตีที่พบใช้งานแพร่หลายได้แก่ บ่อน้ำ (watering hole)

ZooPark เป็นเคมเปญจารกรรมไซเบอร์ เหยื่อเป้าหมายคือผู้ที่ใช้แอนดรอยด์ดีไวซ์ในแถบประเทศตะวันออกกลาง อาศัยแพร่กระจายเชื้อร้ายผ่านทางเว็บไซต์ยอดนิยมที่มียอดผู้เข้าใช้งานสูง น่าจะเป็นเคมเปญที่มีรัฐบาลประเทศใดประเทศหนึ่งหนุนหลัง เน้นโจมตีองค์กรการเมืองหรือนักรณรงค์ทางการเมืองในภูมิภาคนี้

Roaming Mantis เป็นแอนดรอยด์มัลแวร์ล่าสุด แพร่กระจายด้วยการจี้ปล้นระบบโดเมนเนม (DNS) และพุ่งเป้าหมายไปที่สมาร์ทโฟนส่วนมากในเอเชีย และยังคงออกอาละวาดก่อกวนอย่างต่อเนื่อง ออกแบบมาเพื่อโจรกรรมข้อมูลของผู้ใช้ จากนั้นเข้าควบคุมแอนดรอยด์ดีไวซ์นั้น ระหว่างเดือนกุมภาพันธ์และเมษายนปี 2018 นักวิจัยได้ตรวจับมัลแวร์นี้ได้จาก 150 ยูสเซอร์เน็ตเวิร์ก เช่น เกาหลีใต้ บังคลาเทศ และญี่ปุ่น

ยิ่งไปกว่านั้น นักวิจัยจากแคสเปอร์สกี้ แลปยังได้ค้นพบกิจกรรม APT จำนวนมากในแถบเอเชีย โดยรายงานต่างๆ ในไตรมาสแรกของแคสเปอร์สกี้ แลป ได้ระบุถึงปฏิบัติการภัยไซเบอร์ในภูมิภาคนี้มากกว่า 30% พบกิจกรรมที่ใช้เทคนิคใหม่ในประเทศแถบตะวันออกกลาง เช่น StrongPity APT ที่ปล่อย Man-in-the-Middle (MiTM) ออกมาโจมตีเน็ตเวิร์กของผู้ให้บริการอินเทอร์เน็ต (ISP) หลายครั้ง และผู้ก่ออาชญากรรมไซเบอร์ที่มากด้วยทักษะอีกกลุ่มหนึ่ง ได้แก่ Desert Falcons ได้วกกลับมาก่อกวนแอนดรอยด์ดีไวซ์ด้วยการปล่อยมัลแวร์ที่เคยใช้งานเมื่อปี 2014 นักวิจัยยังพบด้วยว่าหลายกลุ่มยังคงปล่อยเคมเปญเน้นเป้าหมายการโจมตีไปที่เราเตอร์และอุปกรณ์ที่ใช้กับเน็ตเวิร์ก ซึ่งเป็นวิธีที่ใช้กันมาหลายปี เช่น Regin และ CloudAtlas เป็นต้น จากข้อมูลของผู้เชี่ยวชาญชี้ว่า เราเตอร์จะยังคงเป็นเป้าหมายโจมตีอยู่เช่นนี้เพราะเป็นช่องทางเข้ายึดโครงสร้างระบบของเหยื่อได้อย่างดี

“ช่วงครึ่งแรกของปีพบกลุ่มคุกคามไซเบอร์ที่มีทักษะมีความซับซ้อนทางเทคนิคในระดับต่างๆ เกิดขึ้นใหม่หลายกลุ่ม แต่โดยรวมแล้ว กล่าวได้ว่า ต่างก็ใช้มัลแวร์ทูลที่มีอยู่แล้วทั่วไป ในขณะเดียวกัน กลับไม่พบความเคลื่อนไหวสำคัญใดจากกลุ่มดังๆ บางตัว ทำให้เราเชื่อว่าพวกนี้อาจจะกำลังคิดวางกลยุทธ์และจัดวางทีมใหม่เพื่อปฏิบัติการในอนาคต” วิเซนเต้ ดีแอซ นักวิจัยด้านความปลอดภัยอาวุโส ทีม GReAT แคสเปอร์สกี้ แลป กล่าว

Leave a Reply

Top