[BHAsia 2018] นักวิจัยชี้ กลุ่มแฮ็กเกอร์ระดับชาติเริ่มหันไปโจมตีเพื่อเงินมากขึ้น

Chi-en Shen และ Kyoung-ju Kwak นักวิจัยด้านความมั่นคงปลอดภัยจากสถาบันด้านความมั่นคงทางการเงิน (FSEC) จากเกาหลีออกมาแจ้งเตือนถึงกลุ่มแฮ็กเกอร์ระดับชาติอย่าง Lazarus, Bluenoroff และ Andariel เริ่มเปลี่ยนเป้าหมายจากการโจรกรรมข้อมูลไปเป็นการโจมตีเพื่อเงินมากขึ้น สถาบันการเงินและธนาคารทั่วโลกเริ่มตกอยู่ในความเสี่ยง

Shen และ Kwak ระบุว่า ในอดีต กลุ่มแฮ็กเกอร์ชื่อดังอย่าง Lazarus, Bluenoroff, Andariel และ Reaper เริ่มเปลี่ยนวัตถุประสงค์การโจมตี จากการเป็น Nation-state Attacker ที่ทำการโจรกรรมข้อมูลลับ (Cyber-espionage) เพื่อสร้างความปั่นป่วน หรือโชว์ความสามารถของตนเองให้เป็นที่ประจักษ์ ไปเป็นอาชญากรรมไซเบอร์ที่ทำการโจมตีผลประโยชน์ด้านการเงินมากขึ้น ดังที่ปรากฏในพาดหัวข่าว ไม่ว่าจะเป็นการจารกรรมธนาคารกลางบังคลาเทศ การแฮ็กตู้ ATM, Bithumb และ Korbit Bitcoin Exchange ในเกาหลีใต้, การแพร่ระบาดของ WannaCry หรือการโจมตีผ่านช่องโหว่ Zero-day รหัส CVE-2018-4878 ของสถาบันการเงิน เป็นต้น

จากการตรวจสอบแคมเปญการโจมตีของกลุ่มแฮ็กเกอร์เหล่านี้ พบว่าส่วนใหญ่ทำการโจมตีหรือลอบส่งมัลแวร์มายังเครื่องของเหยื่อผ่านทางการโจมตีแบบ Spear Phishing โดยมัลแวร์ส่วนใหญ่จะมีการพัฒนามาจากโค้ด Open-source ต่างๆ และมีการแชร์โค้ดหรือนำโค้ดไปใช้ใหม่ในแคมเปญอื่นๆ ด้วย นอกจากนี้ยังมีการใช้มัลแวร์แบบ Multi-stage Payload คือเมื่อมัลแวร์ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการดาวน์โหลด Payload ใหม่เข้ามาเพื่อดำเนินกิจกรรมอย่างหนึ่ง แล้ว Payload ใหม่ก็จะดาวน์โหลดอีก Payload หนึ่งเข้ามาเป็นทอดๆ ส่งผลให้แฮ็กเกอร์สามารถทำการโจมตีได้หลายรูปแบบ อย่างไรก็ตาม การที่จะกระทำแบบนี้ได้ หมายความว่ากลุ่มแฮ็กเกอร์ต้องมีโครงข่าย C&C Server ที่แข็งแกร่ง

Shen ยังตั้งข้อสังเกตอีกว่า แฮ็กเกอร์บางรายอย่าง Andariel เริ่มวาง C&C Server ไว้กับผู้ให้บริการ Hosting ที่ชำระเงินผ่าน Bitcoin ส่งผลให้แม้แต่บริษัทโฮสติงท์เองก็ไม่ทราบถึงตัวตนที่แท้จริงของผู้ใช้บริการเช่นกัน ทำให้การสืบสวนและตามรอยทำได้ยากมากยิ่งขึ้น ในขณะที่บางรายทำการศึกษาระบบของเป้าหมายอย่างลึกซึ้ง (เช่น ระบบ Swift) จนถึงขั้นพัฒนาการโจมตีแบบ Zero-day สำหรับเป้าหมายนั้นๆ โดยเฉพาะได้อีกด้วย

สำหรับเป้าหมายของการโจมตีในอนาคต Shen และ Kwak ให้ความเห็นว่า สถาบันการเงินและธนาคารกำลังจะตกเป็นเป้าหมายหลักของแฮ็กเกอร์ระดับชาติมากขึ้น โดยเฉพาะระบบ Swift ที่แฮ็กเกอร์มักชื่นชอบเป็นพิเศษ นอกจากนี้ ยังพบว่าแฮ็กเกอร์ส่วนใหญ่หลังจากเจาะเข้าระบบของเป้าหมายได้แล้ว มักจะหลบซ่อนตัวอยู่เป็นเวลานานก่อนที่จะเริ่มดำเนินการขโมยเงินออกมา




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ธนาคารอินเดียถูก Hacker โจมตี สูญเงินกว่า 400 ล้านบาทในเวลาเพียง 3 วัน

Cosmos Bank ธนาคารที่ใหญ่ที่สุดเป็นอันดับที่ 2 ของอินเดีย ได้ออกมาแถลงถึงการที่ระบบ Server ของธนาคารถูกโจมตีในช่วงวันหยุดสุดสัปดาห์ และถูกขโมยเงินไปกว่า 13.5 ล้านเหรียญหรือราวๆ 432 ล้านบาทภายในเวลาเพียงแค่ 3 วัน

นักวิจัยสามารถ Decrypt ทราฟฟิค HTTP ในการเชื่อมต่อ VPN ได้ด้วยการโจมตีแบบ ‘VORACLE’

ในงาน DEF CON ที่ ลาส เวกัส นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ Ahamed Nafeez ได้นำเสนอวิธีการโจมตีที่สามารถ​ Decrypt​ ทราฟฟิค HTTP ที่ถูกเข้ารหัสภายใต้การเชื่อมต่อ VPN …