ADPT

[Guest Post] แคสเปอร์สกี้พบความเชื่อมโยงการโจมตี SolarWinds กับแบ็คดอร์ Kazuar

เมื่อวันที่ 13 ธันวาคมที่ผ่านมา ทาง FireEye, Microsoft และ SolarWinds แจ้งข่าวการค้นพบการโจมตีซัพพลายเชนด้วยมัลแวร์ที่ไม่เคยพบมาก่อนชื่อว่า “Sunburst” เป็นปฏิบัติการขนาดใหญ่และมีความซับซ้อนที่เข้าโจมตีลูกค้าของ SolarWinds’ Orion IT โดยผู้เชี่ยวชาญของแคสเปอร์สกี้ตรวจพบความคล้ายคลึงหลายจุดในโค้ดของ Sunburst กับแบ็คดอร์ที่รู้จักอยู่แล้วของ Kazuar ซึ่งเป็นมัลแวร์ที่ยึดเครื่องและใช้งานจากระยะไกล การคันพบในจุดนี้ให้ข้อมูลเชิงลึกหลายประการที่เป็นประโยชน์แก่นักวิจัยในการสืบสวนเกี่ยวกับการโจมตีครั้งนี้ให้กระจ่างแจ้งต่อไป

 

ทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบสิ่งหนึ่งขณะศึกษาแบ็คดอร์ Sunburst นั่นคือ ฟีเจอร์จำนวนหนึ่งที่ทับซ้อนคาบเกี่ยว (overlap) กับฟีเจอร์ในแบ็คดอร์ที่ถูกพบมาแล้วที่ชื่อ Kazuar ซึ่งใช้ .NET framework เขียนขึ้นมาก่อน ตามที่ Palo Alto ได้รายงานไว้เมื่อปี 2560 และใช้ในการก่อจารกรรมทั่วโลก ความคล้ายคลึงที่พบในโค้ดหลายจุดบ่งชี้ความเชื่อมโยงระหว่าง Kazuar และ Sunburst แม้ว่าจะยังไม่ชัดเจนในเรื่องการทำงานก็ตาม

ฟีเจอร์ที่มีความเหมือนกันระหว่าง Sunburst และ Kazuar นี้รวมเหยื่อ UID generation algorithm ด้วย ซึ่งเป็นอัลกอริธึ่ม ที่ไม่เคลื่อนไหว และการใช้ต่อยอดของ FNV-1a hash ตามที่ผู้เชี่ยวชาญพบ ชิ้นส่วนของโค้ดเหล่านี้ไม่เหมือนกันทั้งหมด 100% บ่งชี้ว่ามีความเป็นไปได้ที่ Kazuar และ Sunburst มีความเกี่ยวข้องกัน แม้รายละเอียดจะยังไม่ชัดเจน

หลังจากที่มัลแวร์ Sunburst ถูกนำออกมาใช้งานครั้งแรกเมื่อเดือนกุมภาพันธ์ ปี 2563 นั้น Kazuar ก็วิวัฒนาการเปลี่ยนแปลงมาอย่างต่อเนื่องและต่อมาในปีเดียวกันก็พบ variants หลายตัวที่มีความคล้ายคลึงกับหลายส่วนของ Sunburst มากยิ่งขึ้น

โดยรวม ระหว่างช่วงที่ Kazuar ดำเนินการแปลงกายอยู่นั้น ผู้เชี่ยวชาญก็ได้สังเกตุวิวัฒนาการหลายจุดในฟีเจอร์ และพบความคล้ายคลึงกับ Sunburst ในฟีเจอร์สำคัญ อาจเป็นเพราะ Sunburst ถูกพัฒนาขึ้นโดยกลุ่มเดียวกับกลุ่มที่พัฒนา Kazuar ผู้พัฒนา Sunburst ใช้ Kazuar เป็นแรงส่งไปจุดต่อไป การที่ผู้พัฒนาย้ายทีม หรือทั้งสองกลุ่มอาจใช้มัลแวร์จากแหล่งเดียวกันก็เป็นได้

 

 

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า ความเกี่ยวข้องเชื่อมโยงที่ระบุพบมิได้ชี้ว่าใครเป็นผู้อยู่เบื้องหลังการโจมตี SolarWinds อย่างไรก็ตาม ก็ได้รับรู้ข้อมูลเชิงลึกเพิ่มมากขึ้นที่เป็นตัวสนับสนุนการทำงานสืบสวนของทีมนักวิจัย เราเชื่อว่าเป็นเรื่องสำคัญที่นักวิจัยทั่วโลกร่วมกันสืบสวนความคล้ายคลึงเหล่านี้ และมุ่งมั่นที่จะสืบค้นเบื้องหลังเกี่ยวกับ Kazuar และที่มาของ Sunburst มัลแวร์ที่ใช้ในการละเมิดกรณี SolarWinds เมื่อพิจารณาจากประสบการณ์ในอดีต เช่น กรณี WannaCry ในช่วงแรกจะมีข้อมูลน้อยมากที่เชื่อมโยงไปยังกลุ่มลาซารัส ต่อมา จึงปรากฎหลักฐานเพิ่มขึ้นจนทำให้ทีมงานของเราและของอีกหลายหน่วยงานสามารถเชื่อมโยงทั้งสองส่วน เข้าด้วยกันได้ความมั่นใจ และการทำวิจัยเจาะลึกในเรื่องนี้ถือว่ามีความสำคัญอย่างยิ่งต่อการจับต้นชนปลายเรื่องราวทั้งหมดเข้าด้วยกัน”

 

ข้อมูลเพิ่มเติม

  • รายละเอียดทางเทคนิคของความคล้ายคลึงระหว่าง Sunburst และ Kazuar

https://securelist.com/sunburst-backdoor-kazuar/99981/

  • งานค้นคว้าวิจัยของแคสเปอร์สกี้เกี่ยวกับ Sunburst

https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/

  • วิธีการที่แคสเปอร์สกี้ป้องกันลูกค้าให้พ้นจาก Sunburst

https://securelist.com/how-we-protect-against-sunburst-backdoor/99959/

 

คำแนะนำจากแคสเปอร์สกี้เพื่อเลี่ยงความเสี่ยงจากการติดเชื้อมัลแวร์ เช่น Sunburst

  • สนับสนุนทีม SOC ของคุณด้วยข้อมูลวิเคราะห์ล่าสุดเกี่ยวกับภัยไซเบอร์ พอร์ทัลของแคสเปอร์สกี้ Kaspersky Threat Intelligence Portal เปิดโอกาสให้บริษัทหน่วยงานองค์กรเข้ามาเรียกดูข้อมูล TI ได้ โดยจะมีข้อมูลการโจมตีไซเบอร์และข้อมูลวิเคราะห์ที่แคสเปอร์สกี้ได้รวบรวมไว้มากกว่า 20 ปี โดยไม่มีค่าใช้จ่าย และสามารถที่ตรวจสอบไฟล์, URLs และ IP addresses https://opentip.kaspersky.com/
  • หน่วยงานที่ต้องการดำเนินการสืบสวนกรณีต่างๆ ของตนเอง จะได้รับประโยชน์จาก Kaspersky Threat Attribution Engine เอ็นจินนี้จะทำการจับคู่เทียบโค้ดไม่พึงประสงค์ที่พบกับฐานข้อมูลมัลแวร์ เทียบหาความเหมือนในโค้ด ว่าเคยพบหรือโยงไปยังเคสเปญ APT ที่เคยพบมาก่อน

 


About Maylada

Check Also

[Guest Post] IBM Data Integration เป็น solution ที่รวบรวมข้อมูลที่ทันสมัยและน่าเชื่อถือ ทำให้องค์กรสามารถนำข้อมูลไปใช้ในการวิเคราะห์ได้อย่างมีประสิทธิภาพ

หากคุณกำลังมองหา solution ในการรวบรวมข้อมูลที่ทันสมัยและต้องการให้คุณภาพของข้อมูลในองค์กรมีความน่าเชื่อถือ เพิ่มความรวดเร็วในการเคลื่อนย้ายข้อมูล ทำให้องค์กรสามารถนำข้อมูลไปใช้ในการวิเคราะห์ได้มีประสิทธิภาพ IBM Data Integration คือคำตอบของคุณ

[Guest Post] เหตุใดบริษัทจึงควรสำรองข้อมูลบริการคลาวด์สาธารณะ? SMEs จะวางแผนการป้องกันด้วยงบประมาณด้านไอทีที่จำกัดได้อย่างไร?

การระบาดของ COVID-19 ทำให้องค์กรปรับการทำงานเป็น Remote Working ส่งผลให้ธุรกิจและองค์กรต่าง ๆ ต้องปรับใช้บริการ SaaS (Software-as-a-Service) หรือระบบการทำงานร่วมกันบนคลาวด์ อย่าง Microsoft 365 และ …