Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / แคสเปอร์สกี้ แลป เผย “Dropping Elephant” จารกรรมไซเบอร์ที่ไม่หวือหวา แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชีย

แคสเปอร์สกี้ แลป เผย “Dropping Elephant” จารกรรมไซเบอร์ที่ไม่หวือหวา แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชีย

เผย

จารกรรมไซเบอร์ที่ไม่หวือหวา

แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชียdropping elephant

แผนการจารกรรมที่ไม่หรูเลิศ หน้าตาน่าผิดหวัง แต่ทว่า ..

สำหรับคนทั่วไปอย่างเรา เวลาได้ยินคำว่า ‘จารกรรม’ ภาพของจารชนสุดเท่ในชุดเนี้ยบกริบพกอาวุธสุดล้ำ ทันสมัย มีให้เลือกใช้ตามสถานการณ์ ไม่ใช่ปืนกระบอกโตๆ พร้อมที่เก็บเสียง และเมื่อเติมคำว่า ‘ไซเบอร์’ เข้าไป ก็ยิ่งเพิ่มรัศมีความขลังกันเข้าไปใหญ่ และมาพร้อมกับจินตนาการเทคโนโลยีจารกรรมชั้นยอด ทั้งดักฟังและขโมยความลับเบื้องหลังการเมืองกันได้แยบยล

แต่ภาพนั้น ตรงข้ามกับกลุ่มจารกรรมไซเบอร์ ‘Dropping Elephant’ (aka Chinastrats) ที่ค่อนข้างจะน่าผิดหวังอยู่สักหน่อย ทั้งชื่อกลุ่มและวิธีการ จนกระทั่ง นั่นแหละ มาเห็นว่าปฏิบัติการที่ไม่น่าเข้าท่านี้ประสบความสำเร็จขนาดไหน แถมยังใช้เทคนิคง่ายๆ เสียอีกแน่ะ

“Dropping Elephant” มีผู้ดำเนินการที่ใช้ภาษาอินเดีย เลือกเป้าหมายในภูมิภาคเอเชียเป็นส่วนใหญ่ สนใจรัฐบาลจีน องค์กรด้านการทูต รวมทั้งสถานทูตต่างประเทศและสำนักงานด้านความสัมพันธ์ระหว่างประเทศในจีน รวมไปถึงปากีสถาน ศรีลังกา อุรุกวัย บังคลาเทศ ไต้หวัน ออสเตรเลีย และสหรัฐอเมริกา ทำงานโดยใช้ทูลเซ็ตและเทคนิคเกาะไปกับวิศวกรรมเชิงสังคม (social engineering) ที่ระบบดี หลบใช้ช่องโหว่ที่แก้ไขไปนานแล้วและหันมาใช้ซอฟต์แวร์ที่ถูกกฎหมายOleg Gorobets KL Cyber  เมื่อเหยื่อพร้อมใจกันเอาคอพาดเขียงให้เชือดง่ายๆ

รูปแบบการจู่โจมของ “Dropping Elephant” ที่เป็นมาตรฐานเลยนั้นเริ่มต้นที่ฟิชชิ่งสองขั้นตอน ขั้นแรกนั้นมักเป็น อีเมลหว่านออกไป มีไฟล์เอกสารที่ดูไร้อันตรายแนบไปด้วย ซึ่งอย่างไรเสียก็มีบทบาทสำคัญในการจู่โจม เมื่อเปิดไฟล์ขึ้นมา ไฟล์ก็จะส่งสัญญาน ‘ping’ เพื่อยืนยันกลับไปยังเซิร์ฟเวอร์บังคับการของผู้บุกรุก พร้อมกับข้อมูลพื้นฐานของระบบที่โดนเจาะเข้าไป เพื่อช่วยในการระบุเป้าหมายให้ชัดเจนยิ่งขึ้น ขั้นที่สองมักเป็นอีเมลที่มีเอกสารแนบเป็น Microsoft Office ที่มีช่องโหว่รุ่นเก่าๆ (.docx or .pps) หรือลิ้งก์ที่โยงไปยังเว็บไซต์หน้าตาดูปกติดี เน้นเนื้อหาการเมือง มีข่าวการเมืองและบทความวิเคราะห์ที่น่าสนใจให้ติดตามอ่านในไฟล์ .pps หรือ Powerpoint Slideshow

เมื่อยูสเซอร์หลงเชื่ออีเมลและเว็บไซต์เหล่านั้นพากันเอาคอไปพาดเขียง เปิดไฟล์ก็จะไปกระตุ้นเพย์โหลดที่ฝังตัวอยู่ทำงาน ดาวน์โหลดและดึงทูลมาอีกจำนวนมาก เริ่มค้นหาเอกสารที่ดูว่ามีความสำคัญบนฮาร์ดไดรว์ของเหยื่อ ไม่ว่าจะเป็น Word หรือตารางใน Excel Presentation หรือไฟล์ PDF จากนั้นก็จะรวมไฟล์เหล่านี้กับข้อมูลส่วนตัวที่ดักเก็บมาได้จากบราวเซอร์ แล้วรวมเป็นมัดใหญ่ส่งไปเซิร์ฟเวอร์บังคับการของผู้ร้าย

การจู่โจมเหล่านี้และในทำนองนี้ อาศัยเซ็ตของช่องโหว่ที่เข้าใจกันว่าแก้ไขไปแล้ว คงเป็นไปไม่ได้ที่ไมโครซอฟท์จะหยั่งรู้และแก้ไขยกเลิกฟังก์ชั่นสุ่มเสี่ยงได้ทั้งหมดที่อาจพบได้ใน MS Office และเมื่อพิจารณาถึงความน่าเชื่อถือ ความสามารถในการชักจูง ล่อหลอก และความเต็มอกเต็มใจของยูสเซอร์ทั้งหลายที่จะคลิ้กตามเหยื่อล่อที่ปั้นแต่งมาอย่างดี แม้จะรู้ว่าเสี่ยงหรือจะเตือนแล้วก็ตาม ก็เท่ากับพาทั้งตนเองหรืออาจจะทั้งองค์กรเลยก็ว่าได้เดินเข้าไปสู่จุดจบ

ค่าความเสียหายจากการที่ข้อมูลถูกล่วงละเมิดดักฟัง โจรกรรมสำหรับองค์กรที่ข้อมูลมีความสำคัญและมีความเปราะบางมาก อาทิ หน่วยงานภาครัฐ/ทางการเมืองนั้นยากที่จะประเมินมูลค่า และเป้าหมายอาจจะเป็นองค์กรใดๆ นอกเหนือจากที่ว่านี้ก็ได้ วิธีการเจาะเข้าไปถึงเหยื่อเป้าหมายของ Elephant นั้น จะเป็นการอ้อมวนไปรอบๆ มาจากไกลๆ อาจจะเริ่มจากเจาะผ่านมาทางเพื่อนหรือที่ติดต่อธุรกิจที่เหยื่อไว้ใจเชื่อถือ ดังนั้น หากองค์กรของคุณมีความเกี่ยวข้อง การติดต่อ เชื่อมโยงสื่อสารกับหน่วยงานของรัฐ ทางที่ดีก็ควรจะมีระบบความปลอดภัยไว้ป้องกันตนเองให้พ้น เผื่อช้างจะแวะมาเยือนโดยไม่รู้ตัว

ไม่อยากเป็นเหยื่อ ก็จงติดเอาวุธป้องกันตน

ถือได้ว่าเทคนิคที่ “Dropping Elephant” นำมาใช้งานนั้นไม่หวือหวาเท่าใดนัก แต่ก็เหมาะเจาะต่อการนำมาใช้ประสานไปกับวิศวกรรมเชิงสังคม ทำงานได้ผล ศึกษาเหยื่อเป้าหมายมาปรุโปร่งก่อนลงมือ และสุดยอดพันธมิตรของความเสี่ยงของการถูกจารกรรมนี้อาจจะเป็นพนักงานคนในองค์กรของคุณนั่นเอง เพื่อเป็นการลดความเสี่ยงลงให้ต่ำที่สุด จึงจำเป็นต้องวางมาตรการความปลอดภัยที่มีการวางการป้องกันหลายชั้น โอเปอเรเตอร์ผู้บงการ Chinastrats อาศัยวางข้อมูลชวนเชื่อเป็นเหยื่อล่อ จึงต้องคอยเฝ้าดูอีเมลที่ไม่เข้าพวก การจัดการอบรมให้ความรู้ความเข้าใจ ดังที่แคสเปอร์สกี้ แลป จัดนั้น ก็เป็นการช่วยพัฒนามาตรการป้องกันตนเองในขั้นต้นให้แก่พนักงาน ช่วยในการสังเกตระบุชี้อุดช่องโหว่กันการจู่โจมของ Dropping Elephant

โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป เปิดเผยว่า แคสเปอร์สกี้ แลปมีการทำงานร่วมกับภาครัฐและหน่วยงานบังคับใช้กฎหมายทั่วโลก เพื่อการสืบสวนรูปแบบปฏิบัติการจู่โจมไซเบอร์ และยังสนับสนุนในการฝึกอบรมระดับมืออาชีพเพื่อสร้างความเข้าใจในรูปแบบการทำงานของระบบความปลอดภัยไซเบอร์ ตั้งแต่ขั้นพื้นฐานจนถึงระดับปรมาจารย์ขั้นสูงเพื่อวิเคราะห์มัลแวร์และกระบวนการพิสูจน์หลักฐานทางดิจิตอล คอร์สการอบรมด้านระบบความปลอดภัยไซเบอร์นี้สามารถเป็นประโยชน์ได้ทั้งต่อองค์กรภาครัฐและเอกชน และองค์กรที่สนใจตั้งศูนย์ปฏิบัติการด้านระบบความปลอดภัย

ส่วนช่องโหว่ที่คะเนกันไปได้รับการแก้ไขแล้วนั้นกลับเป็นปัญหา จึงต้องลดความผิดพลาดจากมนุษย์ด้วยเทคโนโลยี The Automatic Exploit Prevention ซึ่งมีอยู่ใน Kaspersky Endpoint Security for Business ทุกรุ่น สามารถลดปัญหา ความกังวลให้การป้องกันได้แม้กระทั่ง 0-day ผลจากการถูกเจาะระบบ

ที่สำคัญอย่างยิ่งอีกประการคือช่วงจังหวะเวลาในการอุดช่องโหว่ การบริหารช่องโหว่ข้อบกพร่องต่างๆ เป็นงานซับซ้อน ต้องเพิ่มเติมความรู้ตลอดเวลาและต้องอาศัยการทำออโตเมชั่น ซึ่งสามารถพึ่งพาตัวช่วยในการบริหารระบบที่เรียกว่า Kaspersky Lab’s Systems Management (มีติดตั้งใน Kaspersky Endpoint Security for Business Advanced และรุ่นสแตนอโลน) เป็นเทคโนโลยีที่ทำให้กระบวนการบริหารจัดการระบบเรียบง่ายขึ้น ลดความซับซ้อน ลดความกดดันจากงาน มีเวลาเหลือพอสำหรับที่จะคิดอ่านวางแผนเชิงกลยุทธ์ได้มากขึ้น

เมื่อคุณเป็นผู้พิทักษ์ความลับสำคัญ การวางแผนการป้องกันอย่างรัดกุมจึงเป็นเรื่องจำเป็นอย่างยิ่ง การติดตามร่องรอยการเปลี่ยนแปลงใดๆ ที่อาจส่งผลกระทบให้ระบบความปลอดภัยโดยอาศัยการรายงานที่แม่นยำจาก Kaspersky Lab’s Intelligence Reports and Datafeeds นั้น ถือว่าช่วยตระเตรียมขั้นตอนการป้องกันที่จำเป็นต่างๆ ก่อนเกิดเหตุร้ายได้ หรือจะใช้แพลตฟอร์มที่คอยระวังภัย ตื่นตัวรับมือกับการจู่โจมแบบมีเป้าหมาย อาทิ Kaspersky Anti Targeted Attack Platform ที่คอยเฝ้าระวังระดับชั้นต่างๆ ในโครงสร้างระบบ แม้แต่เครือข่าย เครื่องเอนด์พอยต์ที่มาต่อเชื่อม และระบบเมล ช่วยเป็นหน่วยสนับสนุนได้อย่างดียามที่ศตรูมาถึงประตูบ้านแล้ว

โปรดักส์ของแคสเปอร์สกี้ แลปตรวจหาคอมโพเน้นท์ทูลเซ็ตของ Dropping Elephant ได้ดังนี้:

Exploit.Win32.CVE-2012-0158

Exploit.MSWord.CVE-2014-1761

Trojan-Downloader.Win32.Genome

HEUR:Trojan.Win32.Generic

ข้อมูลเพิ่มเติม

 เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

New variants of Russian mobile Banking Trojan Riltok go international

มัลแวร์ด้านการเงิน Riltok สายพันธุ์รัสเซีย ได้ขยายแพร่กระจายสู่ประเทศอื่นแล้ว

มัลแวร์ด้านการเ …

%d bloggers like this: