Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / แคสเปอร์สกี้ แลป เผย “Dropping Elephant” จารกรรมไซเบอร์ที่ไม่หวือหวา แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชีย

แคสเปอร์สกี้ แลป เผย “Dropping Elephant” จารกรรมไซเบอร์ที่ไม่หวือหวา แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชีย

เผย

จารกรรมไซเบอร์ที่ไม่หวือหวา

แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชียdropping elephant

แผนการจารกรรมที่ไม่หรูเลิศ หน้าตาน่าผิดหวัง แต่ทว่า ..

สำหรับคนทั่วไปอย่างเรา เวลาได้ยินคำว่า ‘จารกรรม’ ภาพของจารชนสุดเท่ในชุดเนี้ยบกริบพกอาวุธสุดล้ำ ทันสมัย มีให้เลือกใช้ตามสถานการณ์ ไม่ใช่ปืนกระบอกโตๆ พร้อมที่เก็บเสียง และเมื่อเติมคำว่า ‘ไซเบอร์’ เข้าไป ก็ยิ่งเพิ่มรัศมีความขลังกันเข้าไปใหญ่ และมาพร้อมกับจินตนาการเทคโนโลยีจารกรรมชั้นยอด ทั้งดักฟังและขโมยความลับเบื้องหลังการเมืองกันได้แยบยล

แต่ภาพนั้น ตรงข้ามกับกลุ่มจารกรรมไซเบอร์ ‘Dropping Elephant’ (aka Chinastrats) ที่ค่อนข้างจะน่าผิดหวังอยู่สักหน่อย ทั้งชื่อกลุ่มและวิธีการ จนกระทั่ง นั่นแหละ มาเห็นว่าปฏิบัติการที่ไม่น่าเข้าท่านี้ประสบความสำเร็จขนาดไหน แถมยังใช้เทคนิคง่ายๆ เสียอีกแน่ะ

“Dropping Elephant” มีผู้ดำเนินการที่ใช้ภาษาอินเดีย เลือกเป้าหมายในภูมิภาคเอเชียเป็นส่วนใหญ่ สนใจรัฐบาลจีน องค์กรด้านการทูต รวมทั้งสถานทูตต่างประเทศและสำนักงานด้านความสัมพันธ์ระหว่างประเทศในจีน รวมไปถึงปากีสถาน ศรีลังกา อุรุกวัย บังคลาเทศ ไต้หวัน ออสเตรเลีย และสหรัฐอเมริกา ทำงานโดยใช้ทูลเซ็ตและเทคนิคเกาะไปกับวิศวกรรมเชิงสังคม (social engineering) ที่ระบบดี หลบใช้ช่องโหว่ที่แก้ไขไปนานแล้วและหันมาใช้ซอฟต์แวร์ที่ถูกกฎหมายOleg Gorobets KL Cyber  เมื่อเหยื่อพร้อมใจกันเอาคอพาดเขียงให้เชือดง่ายๆ

รูปแบบการจู่โจมของ “Dropping Elephant” ที่เป็นมาตรฐานเลยนั้นเริ่มต้นที่ฟิชชิ่งสองขั้นตอน ขั้นแรกนั้นมักเป็น อีเมลหว่านออกไป มีไฟล์เอกสารที่ดูไร้อันตรายแนบไปด้วย ซึ่งอย่างไรเสียก็มีบทบาทสำคัญในการจู่โจม เมื่อเปิดไฟล์ขึ้นมา ไฟล์ก็จะส่งสัญญาน ‘ping’ เพื่อยืนยันกลับไปยังเซิร์ฟเวอร์บังคับการของผู้บุกรุก พร้อมกับข้อมูลพื้นฐานของระบบที่โดนเจาะเข้าไป เพื่อช่วยในการระบุเป้าหมายให้ชัดเจนยิ่งขึ้น ขั้นที่สองมักเป็นอีเมลที่มีเอกสารแนบเป็น Microsoft Office ที่มีช่องโหว่รุ่นเก่าๆ (.docx or .pps) หรือลิ้งก์ที่โยงไปยังเว็บไซต์หน้าตาดูปกติดี เน้นเนื้อหาการเมือง มีข่าวการเมืองและบทความวิเคราะห์ที่น่าสนใจให้ติดตามอ่านในไฟล์ .pps หรือ Powerpoint Slideshow

เมื่อยูสเซอร์หลงเชื่ออีเมลและเว็บไซต์เหล่านั้นพากันเอาคอไปพาดเขียง เปิดไฟล์ก็จะไปกระตุ้นเพย์โหลดที่ฝังตัวอยู่ทำงาน ดาวน์โหลดและดึงทูลมาอีกจำนวนมาก เริ่มค้นหาเอกสารที่ดูว่ามีความสำคัญบนฮาร์ดไดรว์ของเหยื่อ ไม่ว่าจะเป็น Word หรือตารางใน Excel Presentation หรือไฟล์ PDF จากนั้นก็จะรวมไฟล์เหล่านี้กับข้อมูลส่วนตัวที่ดักเก็บมาได้จากบราวเซอร์ แล้วรวมเป็นมัดใหญ่ส่งไปเซิร์ฟเวอร์บังคับการของผู้ร้าย

การจู่โจมเหล่านี้และในทำนองนี้ อาศัยเซ็ตของช่องโหว่ที่เข้าใจกันว่าแก้ไขไปแล้ว คงเป็นไปไม่ได้ที่ไมโครซอฟท์จะหยั่งรู้และแก้ไขยกเลิกฟังก์ชั่นสุ่มเสี่ยงได้ทั้งหมดที่อาจพบได้ใน MS Office และเมื่อพิจารณาถึงความน่าเชื่อถือ ความสามารถในการชักจูง ล่อหลอก และความเต็มอกเต็มใจของยูสเซอร์ทั้งหลายที่จะคลิ้กตามเหยื่อล่อที่ปั้นแต่งมาอย่างดี แม้จะรู้ว่าเสี่ยงหรือจะเตือนแล้วก็ตาม ก็เท่ากับพาทั้งตนเองหรืออาจจะทั้งองค์กรเลยก็ว่าได้เดินเข้าไปสู่จุดจบ

ค่าความเสียหายจากการที่ข้อมูลถูกล่วงละเมิดดักฟัง โจรกรรมสำหรับองค์กรที่ข้อมูลมีความสำคัญและมีความเปราะบางมาก อาทิ หน่วยงานภาครัฐ/ทางการเมืองนั้นยากที่จะประเมินมูลค่า และเป้าหมายอาจจะเป็นองค์กรใดๆ นอกเหนือจากที่ว่านี้ก็ได้ วิธีการเจาะเข้าไปถึงเหยื่อเป้าหมายของ Elephant นั้น จะเป็นการอ้อมวนไปรอบๆ มาจากไกลๆ อาจจะเริ่มจากเจาะผ่านมาทางเพื่อนหรือที่ติดต่อธุรกิจที่เหยื่อไว้ใจเชื่อถือ ดังนั้น หากองค์กรของคุณมีความเกี่ยวข้อง การติดต่อ เชื่อมโยงสื่อสารกับหน่วยงานของรัฐ ทางที่ดีก็ควรจะมีระบบความปลอดภัยไว้ป้องกันตนเองให้พ้น เผื่อช้างจะแวะมาเยือนโดยไม่รู้ตัว

ไม่อยากเป็นเหยื่อ ก็จงติดเอาวุธป้องกันตน

ถือได้ว่าเทคนิคที่ “Dropping Elephant” นำมาใช้งานนั้นไม่หวือหวาเท่าใดนัก แต่ก็เหมาะเจาะต่อการนำมาใช้ประสานไปกับวิศวกรรมเชิงสังคม ทำงานได้ผล ศึกษาเหยื่อเป้าหมายมาปรุโปร่งก่อนลงมือ และสุดยอดพันธมิตรของความเสี่ยงของการถูกจารกรรมนี้อาจจะเป็นพนักงานคนในองค์กรของคุณนั่นเอง เพื่อเป็นการลดความเสี่ยงลงให้ต่ำที่สุด จึงจำเป็นต้องวางมาตรการความปลอดภัยที่มีการวางการป้องกันหลายชั้น โอเปอเรเตอร์ผู้บงการ Chinastrats อาศัยวางข้อมูลชวนเชื่อเป็นเหยื่อล่อ จึงต้องคอยเฝ้าดูอีเมลที่ไม่เข้าพวก การจัดการอบรมให้ความรู้ความเข้าใจ ดังที่แคสเปอร์สกี้ แลป จัดนั้น ก็เป็นการช่วยพัฒนามาตรการป้องกันตนเองในขั้นต้นให้แก่พนักงาน ช่วยในการสังเกตระบุชี้อุดช่องโหว่กันการจู่โจมของ Dropping Elephant

โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป เปิดเผยว่า แคสเปอร์สกี้ แลปมีการทำงานร่วมกับภาครัฐและหน่วยงานบังคับใช้กฎหมายทั่วโลก เพื่อการสืบสวนรูปแบบปฏิบัติการจู่โจมไซเบอร์ และยังสนับสนุนในการฝึกอบรมระดับมืออาชีพเพื่อสร้างความเข้าใจในรูปแบบการทำงานของระบบความปลอดภัยไซเบอร์ ตั้งแต่ขั้นพื้นฐานจนถึงระดับปรมาจารย์ขั้นสูงเพื่อวิเคราะห์มัลแวร์และกระบวนการพิสูจน์หลักฐานทางดิจิตอล คอร์สการอบรมด้านระบบความปลอดภัยไซเบอร์นี้สามารถเป็นประโยชน์ได้ทั้งต่อองค์กรภาครัฐและเอกชน และองค์กรที่สนใจตั้งศูนย์ปฏิบัติการด้านระบบความปลอดภัย

ส่วนช่องโหว่ที่คะเนกันไปได้รับการแก้ไขแล้วนั้นกลับเป็นปัญหา จึงต้องลดความผิดพลาดจากมนุษย์ด้วยเทคโนโลยี The Automatic Exploit Prevention ซึ่งมีอยู่ใน Kaspersky Endpoint Security for Business ทุกรุ่น สามารถลดปัญหา ความกังวลให้การป้องกันได้แม้กระทั่ง 0-day ผลจากการถูกเจาะระบบ

ที่สำคัญอย่างยิ่งอีกประการคือช่วงจังหวะเวลาในการอุดช่องโหว่ การบริหารช่องโหว่ข้อบกพร่องต่างๆ เป็นงานซับซ้อน ต้องเพิ่มเติมความรู้ตลอดเวลาและต้องอาศัยการทำออโตเมชั่น ซึ่งสามารถพึ่งพาตัวช่วยในการบริหารระบบที่เรียกว่า Kaspersky Lab’s Systems Management (มีติดตั้งใน Kaspersky Endpoint Security for Business Advanced และรุ่นสแตนอโลน) เป็นเทคโนโลยีที่ทำให้กระบวนการบริหารจัดการระบบเรียบง่ายขึ้น ลดความซับซ้อน ลดความกดดันจากงาน มีเวลาเหลือพอสำหรับที่จะคิดอ่านวางแผนเชิงกลยุทธ์ได้มากขึ้น

เมื่อคุณเป็นผู้พิทักษ์ความลับสำคัญ การวางแผนการป้องกันอย่างรัดกุมจึงเป็นเรื่องจำเป็นอย่างยิ่ง การติดตามร่องรอยการเปลี่ยนแปลงใดๆ ที่อาจส่งผลกระทบให้ระบบความปลอดภัยโดยอาศัยการรายงานที่แม่นยำจาก Kaspersky Lab’s Intelligence Reports and Datafeeds นั้น ถือว่าช่วยตระเตรียมขั้นตอนการป้องกันที่จำเป็นต่างๆ ก่อนเกิดเหตุร้ายได้ หรือจะใช้แพลตฟอร์มที่คอยระวังภัย ตื่นตัวรับมือกับการจู่โจมแบบมีเป้าหมาย อาทิ Kaspersky Anti Targeted Attack Platform ที่คอยเฝ้าระวังระดับชั้นต่างๆ ในโครงสร้างระบบ แม้แต่เครือข่าย เครื่องเอนด์พอยต์ที่มาต่อเชื่อม และระบบเมล ช่วยเป็นหน่วยสนับสนุนได้อย่างดียามที่ศตรูมาถึงประตูบ้านแล้ว

โปรดักส์ของแคสเปอร์สกี้ แลปตรวจหาคอมโพเน้นท์ทูลเซ็ตของ Dropping Elephant ได้ดังนี้:

Exploit.Win32.CVE-2012-0158

Exploit.MSWord.CVE-2014-1761

Trojan-Downloader.Win32.Genome

HEUR:Trojan.Win32.Generic

ข้อมูลเพิ่มเติม

 เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

“แคสเปอร์สกี อินเตอร์เน็ต ซีเคียวริตี้ ฟอร์ แอนดรอยด์” ยกระดับการปกป้องด้วยเทคโนโลยี Machine Learning เพื่อรับมือการคุกคามทางไซเบอร์ขั้นสูง “แคสเปอร์สกี อินเตอร์เน็ต ซีเคียวริตี้ ฟอร์ แอนดรอยด์ (Kaspersky Internet Security for Android)” โซลูชั่นด้านความปลอดภัยสำหรับระบบปฏิบัติการแอนดรอยด์ เพิ่มฟีเจอร์ใหม่เพื่อเสริมประสิทธิภาพการรับมือกับการโจมตีของมัลแวร์ที่รุนแรงขึ้นอย่างต่อเนื่อง โดยฟีเจอร์ใหม่ซึ่งทำงานบนพื้นฐานของเทคโนโลยีการเรียนรู้ของเครื่อง (Machine Learning) สามารถตรวจจับมัลแวร์ขั้นสูงหรือมัลแวร์ที่ไม่รู้จักได้ทันที เพื่อลดความเสี่ยงที่อุปกรณ์สื่อสารจะถูกโจมตีทางไซเบอร์ ซึ่งการปรับปรุงครั้งนี้ทำให้โซลูชั่นตรวจพบแอปพลิเคชั่นอันตรายที่ถูกดาวน์โหลดเข้าสู่อุปกรณ์ ก่อนที่มันจะเริ่มทำงาน ในช่วงเวลาไม่กี่ปีที่ผ่านมา การคุกคามอุปกรณ์สื่อสารทวีความรุนแรงขึ้นอย่างรวดเร็ว จนอาจทำให้ระบบป้องกันในปัจจุบันไม่สามารถรับมือกับการคุกคามที่มีการเปลี่ยนแปลงอย่างต่อเนื่องได้เสมอไป อาชญากรรมไซเบอร์ยังมีการใช้มัลแวร์รูปแบบใหม่และปรับเปลี่ยนวิธีการอยู่เสมอ ซึ่งทำให้ยากต่อการระบุตัวตน และเมื่อมัลแวร์รูปแบบใหม่แพร่ระบาดได้อย่างรวดเร็ว ก็ถือเป็นเรื่องยากสำหรับโซลูชั่นด้านความปลอดภัยในการอัพเดตระบบอย่างทันท่วงทีเพื่อให้มีประสิทธิภาพเพียงพอต่อการป้องกันมัลแวร์เหล่านี้ หนึ่งในขั้นตอนการต่อสู้กับการคุกคามที่ยังไม่รู้จักและมีการปรับเปลี่ยนรูปแบบอย่างต่อเนื่อง “แคสเปอร์สกี อินเตอร์เน็ต ซีเคียวริตี้ ฟอร์ แอนดรอยด์ (Kaspersky Internet Security for Android)” จึงมีการอัพเดตระบบ โดยเพิ่มการติดตั้งเทคโนโลยีใหม่ซึ่งเรียกว่า “Cloud ML for Android” เทคโนโลยีนี้ช่วยให้โซลูชั่นมีปฏิกิริยาตอบสนองที่เร็วขึ้นเมื่อพบกับการคุกคามที่ไม่รู้จัก และช่วยให้การตรวจจับที่ผิดพลาด (False positives) มีอัตราต่ำสุด เมื่อใดก็ตามที่ผู้ใช้งานดาวน์โหลดแอปพลิเคชั่นเข้าสู่อุปกรณ์สื่อสารของตน เทคโนโลยีนี้จะใช้อัลกอริธึ่มการเรียนรู้ของเครื่องบนระบบคลาวด์ซึ่งผ่านการฝึกฝนมาแล้วกับตัวอย่างมัลแวร์นับล้าน ๆ รูปแบบ และจะเลือกวิธีการวิเคราะห์ตัวแปรที่แตกต่างกันหลายพันแบบ ซึ่งรวมถึงคำขออนุญาตหรือจุดเข้าระบบ (Entry point) ที่มีการร้องขอจากแอปพลิเคชั่น ได้ภายในเวลาไม่ถึงหนึ่งวินาทีและสร้างการตัดสินที่แม่นยำได้ในทันที แม้ว่าแอปพลิเคชั่นนั้นจะเป็นมัลแวร์ที่มีรูปแบบเฉพาะหรือถูกดัดแปลงมาโดยยังไม่เป็นที่รู้จักก็ตาม เทคโนโลยี Cloud ML for Android จะรับรู้ได้ว่าเป็นอันตรายหากพิจารณาพบตัวแปรพื้นฐานที่สอดคล้องกับรูปแบบการคุกคามที่รู้จักอยู่แล้ว เทคโนโลยีใหม่นี้ไม่เพียงใช้อัลกอริธึ่มการเรียนรู้ของเครื่องเท่านั้น แต่ยังใช้เครือข่ายความปลอดภัยของแคสเปอร์สกี (Kaspersky Security Network) ซึ่งเป็นโครงสร้างพื้นฐานบนระบบคลาวด์แบบกระจายตัวที่ซับซ้อนของแคสเปอร์สกี แล็บ ซึ่งจะประมวลผลการคุกคามทางไซเบอร์แฝงที่มีความสอดคล้องกับสายข้อมูลอภิพันธุ์ (Metadata) ของอาสาสมัครผู้เข้าร่วมระบบนับล้านรายจากทั่วโลก ทิเมอร์ บิยาชูฟ รองประธานฝ่ายงานวิจัยด้านภัยคุกคาม แคสเปอร์สกี แล็บ อธิบายว่า “จากผลการวิจัยเมื่อเร็ว ๆ นี้ของแคสเปอร์สกี แล็บ พบว่าจำนวนการโจมตีโดยมัลแวร์ต่ออุปกรณ์สื่อสารมีอัตราเพิ่มเป็น 2 เท่าในปี ค.ศ. 2018 เนื่องจากอาชญากรไซเบอร์ได้คิดค้นวิธีการใหม่ ๆ มากมายในการสร้างและกระจายมัลแวร์ ซึ่งแน่นอนว่าเทคโนโลยีป้องกันมัลแวร์จำเป็นต้องไล่ตามให้ทัน โดย แคสเปอร์สกี อินเตอร์เน็ต ซีเคียวริตี้ ฟอร์ แอนดรอยด์ ซึ่งเป็นโซลูชั่นสำหรับอุปกรณ์สื่อสารของเรา ได้ช่วยปกป้องผู้ใช้งานนับล้านรายจากการคุกคามขั้นสูงและยังไม่เป็นที่รู้จักมาก่อน การติดตั้งองค์ประกอบใหม่นี้ยังช่วยยกระดับความแม่นยำและความเร็วในการตรวจจับการคุกคาม ซึ่งช่วยมอบประสบการณ์การใช้งานอุปกรณ์สื่อสารที่ดีเยี่ยมและปลอดภัยมากยิ่งขึ้น” หากต้องการอ่านรายละเอียดทั้งหมดของโซลูชั่นแคสเปอร์สกี อินเตอร์เน็ต ซีเคียวริตี้ ฟอร์ แอนดรอยด์ (Kaspersky Internet Security for Android) และดาวน์โหลดเวอร์ชั่น Freemium ของโซลูชั่นนี้ กรุณาเยี่ยมชมเว็บไซต์ของเรา เกี่ยวกับ แคสเปอร์สกี แล็บ แคสเปอร์สกี้ แล็บ บริษัทระดับโลกผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ซึ่งก่อตั้งมานานกว่า 21 ปี มีความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (Deep Threat Intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แล็บ ได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยสำหรับปกป้ององค์กรธุรกิจ โครงสร้างพื้นฐานที่สำคัญ องค์กรภาครัฐบาล และผู้บริโภคทั่วโลก ทั้งนี้กลุ่มผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครอบคลุมของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แล็บ ทำหน้าที่ปกป้องผู้ใช้งานมากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่งอีกมากกว่า 270,000 แห่งทั่วโลก ดูข้อมูลเพิ่มเติมได้ที่ www.kaspersky.com

“แคสเปอร์สกี อิ …

%d bloggers like this: