แคมเปญใหม่ของแฮ็คเกอร์ตุรกี ร่วมยิง DDoS สะสมแต้ม แลกของรางวัล

Forcepoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยไซเบอร์แบบครบวงจร ออกมาเปิดเผยถึงแคมเปญใหม่ล่าสุดของแฮ็คเกอร์ชาวตุรกี ซึ่งเชื้อเชิญให้แฮ็คเกอร์หรือบุคคลอื่นที่สนใจเข้าร่วม DDoS-for-Points Platform เพื่อช่วยยิง DDoS ไปยังเป้าหมายที่กำหนด เพื่อสะสมแต้มแล้วนำไปแลกของรางวัล

DDoS-for-Points Platform ดังกล่าวมีชื่อว่า Sath-ı Müdafaa ซึ่งหมายถึง Surface Defense ในภาษาอังกฤษ แพลทฟอร์มดังกล่าวถูกโปรโมตในเว็บบอร์ดเกี่ยวกับการแฮ็คในตุรกี เช่น Turkhackteam และ Root Developer เพื่อเชิญชวนให้แฮ็คเกอร์คนอื่นลงทะเบียนและร่วมโจมตีเว็บไซต์ที่เกี่ยวกับการเมืองโดยใช้ DDoS Tool ที่ชื่อว่า Balyoz ซึ่งแปลว่า Sledgehammer

ยิง DDoS 10 นาทีได้ 1 แต้ม

แฮ็คเกอร์ที่สนใจสามารถดาวน์โหลด Surface Defense Collaboration Software จากเว็บบอร์ดมาติดตั้งเพื่อลงทะเบียนเข้าร่วมแคมเปญได้ หลังจากลงทะเบียนแล้ว โปรแกรมดังกล่าวจะทำการดาวน์โหลด Balyoz DDoS Tool มาติดตั้งเพื่อเริ่มโจมตีเป้าหมายที่ต้องการ Balyoz จะยิง DDoS โดยการ Flood ทราฟฟิคผ่านทางเครือข่าย Tor เพื่อล่มระบบ โดยทุกๆ 10 นาทีที่โจมตีเว็บไซต์ ผู้เข้าร่วมแคมเปญจะได้รับคะแนน 1 แต้ม

เมื่อสะสมแต้มได้ครบตามจำนวนที่กำหนด ผู้เข้าร่วมแคมเปญสามารถนำแต้มไปแลก Balyoz DDoS Tool เวอร์ชันอัปเกรดที่ทรงพลังกว่าเดิม หรือนำไปแลก Click-fraud Bot สำหรับใช้ปั๊มเงินจากการกดแบนเนอร์โฆษณาอัตโนมัติ หรือมัลแวร์อื่นๆ ที่สนใจได้

แอบฝัง Backdoor ผู้เข้าร่วมแคมเปญโดยไม่บอกกล่าว

จากการตรวจสอบของ Forcepoint พบว่ามีการฝัง Backdoor ไว้บน Surface Defense Software ซึ่งช่วยให้แฮ็คเกอร์เจ้าของแคมเปญสามารถแฮ็คอุปกรณ์ของผู้ที่เข้าร่วมได้

“Backdoor ที่ว่านี้เป็นโทรจันขนาดเล็ก ซึ่งมีจุดประสงค์หลักคือ ดาวน์โหลด แตกไฟล์ และรัน .NET ที่ประกอบร่างมาจากรูปภาพแบบ Bitmap … Backdoor นี้ยังทำการดาวน์โหลด “ตัวคุ้มกัน” ซึ่งจะถูกติดตั้งเป็น Service บนเครื่อง “ตัวคุ้มกัน” นี้ทำให้มั่นใจว่า ถ้า Backdoor ถูกลบออกจากเครื่อง มันจะทำการดาวน์โหลดและติดตั้ง Backdoor เข้ามาใหม่โดยอัตโนมัติ” — นักวิจัยจาก Forcepoint อธิบาย

โจมตีแบบ DDoS เพื่อหวังผลทางการเมือง

เป้าหมายหลักของการโจมตี DDoS นี้ คือ เว็บไซต์ของเคอร์ดิสถาน ได้แก่ พรรคแรงงานเคอร์ดิสถาน (PKK), กองทัพ People’s Defense Force (HPG) ของพรรคดังกล่าว, องค์กรที่เป็นสมาชิกของ NATO, สถานีโทรทัศน์และวิทยุของเคอร์ดิสถาน และอื่นๆ นอกจากนี้ ยังมีเป้าหมายทางการเมืองอื่นอีก เช่น เว็บไซต์ของ Armenian Genocide, German Christian Democratic Party และเว็บไซต์อิสราเอล

Forcepoint ได้พยายามติดตามหมายเลข IP ของ Surface Defense Software เข้าไปยัง Dark Web ซึ่งช่วยให้ทราบเบาะแสของแฮ็คเกอร์ที่อยู่เบื้องหลัง DDoS-for-points Platform ดังกล่าว เบื้องต้นทราบว่าแฮ็คเกอร์ใช้นามปากกาว่า “Mehmet” ซึ่งเป็นคนเดียวกับผู้ที่โฆษณา Balyos DDoS Tool บน YouTube และฐานที่มั่นอยู่ในเมือง Eskisehir ประเทศตุรกี

สำหรับรายละเอียดเชิงเทคนิค สามารถอ่านรายงานของ Forcepoint ได้ผ่านทาง “Sledgehammer – Gamification of DDoS attacks (for ideology, profit & mischief).” [PDF]

ที่มา: http://thehackernews.com/2016/12/ddos-attack-game.html