Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / แคสเปอร์สกี้ แลป เร่งไล่ล่ากลุ่ม Lazarus สกัดการโจมตีองค์กรการเงินใน SEA และยุโรป พบการโจมตีครอบคลุม 18 ประเทศทั่วโลกนานหลายปี รวมไทย

แคสเปอร์สกี้ แลป เร่งไล่ล่ากลุ่ม Lazarus สกัดการโจมตีองค์กรการเงินใน SEA และยุโรป พบการโจมตีครอบคลุม 18 ประเทศทั่วโลกนานหลายปี รวมไทย

เร่งไล่ล่ากลุ่ม Lazarus

สกัดการโจมตีองค์กรการเงินใน SEA และยุโรป

พบการโจมตีครอบคลุม 18 ประเทศทั่วโลกนานหลายปี รวมไทย

แคสเปอร์สกี้ แลป ประกาศผลการสืบสวนการดำเนินการของ “ลาซารัส” (Lazarus) กลุ่มแฮกเกอร์ที่ต้องรับผิดชอบต่อการจารกรรมเงินจำนวน 81 ล้านเหรียญสหรัฐจากธนาคารกลางบังคลาเทศในปี 2016 จากการวิเคราะห์ทางนิติเวชที่พบในธนาคารในเอเชียตะวันออกเฉียงใต้และยุโรป แคสเปอร์สกี้ แลป ค้นพบทูลที่กลุ่มลาซารัสใช้ พร้อมวิธีการทำงาน ทำให้แคสเปอร์สกี้ แลป สามารถสกัดขัดขวางปฏิบัติการของกลุ่มนี้ได้อย่างน้อย 2 ครั้ง ที่กำลังมุ่งจารกรรมเงินก้อนโตจากสถาบันการเงิน

ในเดือนกุมภาพันธ์ ปี 2016 เกิดเหตุการณ์ขโมยเงินจำนวน 81 ล้านเหรียญสหรัฐ และโอนเงินออกจากธนาคารกลางบังคลาเทศ นับเป็นอาชญากรรมทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์อีกหนึ่งครั้ง จากการตรวจสอบของทีมนักวิจัยจากบริษัทความปลอดภัยไอทีชั้นนำของโลก รวมถึงแคสเปอร์สกี้ แลป พบว่า การจารกรรมนี้ดำเนินการโดยกลุ่มลาซารัส ซึ่งขึ้นชื่อในด้านจารกรรมไซเบอร์และมีผลงานการโจมตีที่ร้ายแรงหลายครั้ง ไม่ว่าจะเป็นบริษัทอุตสาหกรรมการผลิต สื่อ สถาบันการเงิน ตั้งแต่ปี 2009 ครอบคลุมอย่างน้อย 18 ประเทศทั่วโลก

หลังเหตุการณ์ธนาคารกลางบังคลาเทศ กลุ่มลาซารัสก็ยังทำงานอย่างต่อเนื่อง โดยกำลังวางแผนการร้ายครั้งใหม่คือการขโมยเงินจากธนาคารเอเชียตะวันออกเฉียงใต้ แต่โชคยังดีที่ปฏิบัติการนี้ถูกสกัดโดยโซลูชั่นของแคสเปอร์สกี้ แลป ซะก่อน จากนั้นจึงพบว่า กลุ่มลาซารัสก็เปลี่ยนเป้าหมายไปยุโรป ซึ่งถูกสกัดขัดขวางเช่นเดียวกัน

สูตรการทำงานของลาซารัส

จากการวิเคราะห์ทางนิติเวช นักวิจัยของแคสเปอร์สกี้ แลป สามารถร่างรูปแบบการทำงานได้ดังนี้

  • Initial compromise: ระบบเดี่ยวภายในธนาคารถูกรุกล้ำด้วยโค้ดช่องโหว่ในการแอคเคสจากระบะไกล (เช่น เว็บเซิร์ฟเวอร์) หรือบุกรุกผ่านเอ็กพลอต์ที่ฝังเอาไว้ที่เว็บไซต์ เมื่อพนักงานธนาคารเปิดไปที่เว็บนั้นๆ คอมพิวเตอร์ก็จะติดกับมัลแวร์ที่มาพร้อมคอมโพเน้นท์มากมาย
  • Foothold established: จากนั้นกลุ่มลาซารัสก็เข้าโฮสต์อื่นของธนาคารและติดตั้งแบ็คดอร์ ซึ่งมัลแวร์อนุญาตให้แฮกเกอร์ไปๆมาๆ เมื่อไหร่ก็ได้ตามที่ต้องการ
  • Internal reconnaissance: กลุ่มลาซารัสจะใช้เวลาหลายวันหลายสัปดาห์เพื่อศึกษาเน็ตเวิร์กของธนาคารและมองหาข้อมูลที่มีค่า อาจจะเป็นเซิร์ฟเวอร์ที่ใช้สำรองข้อมูล ซึ่งบันทึกข้อมูลระบุตัวตน เมลเซิร์ฟเวอร์ หรือส่วนควบคุมโดเมนทั้งหมดซึ่งจะมีคีย์เข้าใช้งานทุกพื้นที่ รวมถึงเซิร์ฟเวอร์ที่ใช้เก็บข้อมูลธึรกรรมทางการเงิน
  • Deliver and steal: ในที่สุด กลุ่มลาซารัสจะติดตั้งมัลแวร์พิเศษ ที่สามารถบายพาสฟีเจอร์ความปลอดภัยภายในของซอฟต์แวร์การเงิน และทำธุรกรรมฉ้อโกงในนามธนาคาร

ข้อมูลภูมิศาสตร์

ทีมนักวิจัยของแคสเปอร์สกี้ แลป ทำการสืบสวนพบว่า การโจมตีต่างๆ ยาวนานเป็นสัปดาห์ แต่อย่างไรก็ตาม ผู้โจมตีก็สามารถซุ่มดำเนินการอยู่นานหลายเดือน ยกตัวอย่างเช่น ขณะกำลังวิเคราะห์เหตุการณ์ในเอเชียตะวันออกเฉียงใต้ ผู้เชี่ยวชาญพบว่า แฮกเกอร์สามารถก่อกวนเน็ตเวิร์กของธนาคารนาน 7 เดือนก่อนที่ทีมไอทีของธนาคารจะรู้ตัวและแจ้งปัญหาด้านความปลอดภัย ซึ่งความจริงแล้ว กลุ่มโจรร้ายนี้ ได้เข้าเน็ตเวิร์กของธนาคารนั้น ก่อนหน้าเหตุการณ์ที่ธนาคารกลางบังคลาเทศเพียงแค่วันเดียว

จากข้อมูลของแคสเปอร์สกี้ แลป ในเดือนธันวาคม 2015 พบตัวอย่างมัลแวร์ที่เกี่ยวข้องกับกิจกรรมของกลุ่มลาซารัสปรากฏตัวขึ้น ในสถาบันการเงิน บ่อนการพนัน บริษัทพัฒนาซอฟต์แวร์ และธุรกิจการเงินคริปโตในประเทศเกาหลี บังคลาเทศ อินเดีย เวียดนาม อินโดนีเซีย คอสตาริก้า มาเลเซีย โปแลนด์ อิรัก เอธิโอเปีย เคนย่า ไนจีเรีย อุรุกวัย กาบอง รวมถึงประเทศไทย และประเทศอื่นๆ ข้อมูลล่าสุดเมื่อเดือนมีนาคม 2017 แคสเปอร์สกี้ แลป ยังพบว่ากลุ่มลาซารัสนี้ยังดำเนินการต่อเนื่องไม่หยุดหย่อน

 แม้ว่าผู้โจมตีจะลบร่องรอยอย่างดี แต่อย่างน้อยจะต้องมีเซิร์ฟเวอร์หนึ่งแห่งที่บุกรุกเข้าไปแล้วเกิดข้อผิดพลาดและทิ้งสิ่งแปลกปลอมไว้ ในขั้นตอนการเตรียมการ เซิร์ฟเวอร์จะถูกตั้งค่าเป็นศูนย์กลางควบคุมและสั่งการ (command & control) การเชื่อมต่อที่ได้ทำในตอนตั้งค่าจะมาจากเซิร์ฟเวอร์ VPN/proxy ที่ใช้ทดสอบ อย่างไรก็ดี การเชื่อมต่อนี้ก็เป็นการเชื่อมต่อระยะสั้นที่มาจากไอพีแอดเดรสที่หายากในเกาหลีเหนือ ซึ่งถือเป็นอีกหนึ่งสิ่งแปลกปลอมที่ชี้ว่าเป็นการดำเนินการของกลุ่มลาซารัส หรืออย่างน้อยก็เป็นสมาชิกของกลุ่มนี้ แต่ข้อมูลนี้ก็ไม่เพียงพอจะสรุปขั้นสุดท้ายได้ ด้วยการเชื่อมต่อนี้อาจเป็นการจัดฉากก็ได้

กลุ่มลาซารัสลงทุนในมัลแวร์ของตนอย่างหนัก พยายามสร้างทูลเซ็ตนานหลายเดือนเพื่อไม่ให้โดนโซลูชั่นความปลอดภัยต่างๆ ตรวจจับได้ แต่ทุกครั้ง ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป จะสามารถระบุฟีเจอร์ที่มีลักษณะเฉพาะในโค้ดที่แฮกเกอร์สร้างขึ้น ทำให้สามารถแกะรอยตัวอย่างใหม่ๆ ได้ ปัจจุบัน ผู้โจมตีได้ซุ่มดำเนินการอย่างเงียบเชียบ ซึ่งอาจหมายถึงการหยุดพักก่อนสร้างอาวุธใหม่

วิตาลี คามลัก หัวหน้าทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าวว่า “เราเชื่อว่า กลุ่มลาซารัสจะกลับมาเร็วๆ นี้ การตั้งค่าที่ผิดพลาดเพียงเล็กน้อยอาจทำให้เกิดช่องโหว่รุกล้ำความปลอดภัยขนาดใหญ่ ซึ่งอาจเป็นเงินจำนวนหลายร้อยล้านเหรียญของบริษัทที่ตกเป็นเป้าโจมตี เราหวังว่าผู้บริหารของธนาคาร บ่อนการพนัน และบริษัทการเงินการลงทุนต่างๆ ทั่วโลกจะเริ่มรู้จักและระวัดระวังกลุ่มลาซารัสให้ดี”

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและสกัดมัลแวร์ของกลุ่มลาซารัสได้ ในชื่อดังต่อไปนี้

  • Win32.Contopee.a,
  • Win64.Agent.lo,
  • MSIL.CVE-2016-0034.b,
  • HEUR:Trojan-Banker.Win32.Alreay.gen,
  • Trojan-Banker.Win32.Agent.zvr และอื่นๆ

แคสเปอร์สกี้ แลป ได้เปิดเผยสัญญาณบ่งชี้ว่าระบบถูกแฮก หรือ Indicators of Compromise (IOC) และข้อมูลอื่นๆ เพื่อช่วยเหลือองค์กรให้สามารถแกะรอยกลุ่มที่โจมตีเน็ตเวิร์กของตนเองได้ ข้อมูลเพิ่มเติม กรุณาไปที่ Securelist.com

แคสเปอร์สกี้ แลป ขอให้องค์กรสแกนเน็ตเวิร์กของตนเองเพื่อตรวจหาตัวอย่างมัลแวร์ของกลุ่มลาซารัส และหากพบ ควรรีบทำลาย และแจ้งให้ผู้ดูแลและหน่วยงานรักษากฎหมายทราบถึงเหตุการณ์

ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีทางการเงินของกลุ่มลาซารัส กรุณาอ่านข้อมูลและดูคลิปวิดีโอที่ Securelist.com

###

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

Sophos เปิดตัว เทคโนโลยีจัดการแรนซั่มแวร์รุ่นใหม่ “CryptoGuard” ยกระดับผลิตภัณฑ์ Server Protection ขึ้นมาอีกขั้น

Sophos เปิดตัว …