ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ( Global Research and Analysis Team ) ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool ( RAT ) ซึ่งเป็นมัลแวร์โปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ หรือเป็นที่รู้จักกันในชื่ออื่น ๆ อาทิ AlienSpy, Frutas, Unrecom, Sockrat, JSocket และ jRat มัลแวร์โปรแกรมเหล่านี้แพร่กระจายผ่านแพลตฟอร์มเดี่ยว malware-as-a-service platform จากผลของการตรวจสอบระหว่างปี 2013- 2016 พบมัลแวร์ Adwind หลากหลายเวอร์ชั่นได้ถูกนำมาใช้ในการจู่โจมผู้ใช้ส่วนบุคคลถึงอย่างน้อย 443,000 ราย องค์กรทั่วไปและองค์กรธุรกิจทั่วโลก ทั้งแพลตฟอร์มและมัลแวร์ยังคงปฏิบัติการอยู่
เมื่อปลายปี 2015 นักวิจัยของแคสเปอร์สกี้ แลปได้พบมัลแวร์โปรแกรมแปลก ๆ ในระหว่างความพยายามของปฏิบัติการจู่โจมแบบมีเป้าหมายรุกเข้าธนาคารแห่งหนึ่งที่สิงคโปร์ พบไฟล์ JAR แนบมาในอีเมลที่ทำหน้าที่เป็น spear-phishing email ส่งเข้ามาหาพนักงานที่เป็นเหยื่อเป้าหมายภายในธนาคาร มัลแวร์นี้มีสมรรถนะในการโจมตีสูง สามารถทำงานได้บนแพลตฟอร์มหลากหลาย และสามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสโซลูชั่นได้ จึงเป็นที่จับตาของนักวิจัยในทันที
Adwind RAT
พบว่ามีองค์กรที่ถูกจู่โจมโดย Adwind RAT ซึ่งเป็นแบคดอร์ที่เขียนด้วยภาษา Java ทั้งหมดและมีไว้ขาย ซึ่งทำให้มีสมรรถนะทำงานข้ามแพลตฟอร์มได้นั่นเอง ไม่ว่าจะเป็น Windows, OS X, Linux หรือ Android จึงสามารถที่จะปฏิบัติการแบบควบคุมจากระยะไกล เก็บรวบรวมข้อมูล การรั่วไหลของข้อมูลและอื่น ๆ หากผู้ใช้ที่เป็นเหยื่อเป้าหมายเปิดไฟล์ JAR ที่แนบมา มัลแวร์จะทำการติดตั้งตัวเอง และพยายามสื่อสารกับเซิร์ฟเวอร์คอมมานด์และคอนโทรล รายการฟังก์ชั่นของมัลแวร์นี้ ได้แก่:
- เก็บรวบรวมการเคาะแป้นพิมพ์
- ขโมยพาสเวิร์ดแคช และจับข้อมูลจากแบบฟอร์มบนเว็บ
- จับรูปภาพถ่ายหน้าจอ
- ถ่ายรูปและบันทึกวิดีโอจากเว็บแคม
- บันทึกเสียงจากไมโครโฟน
- ส่งต่อไฟล์
- เก็บรวบรวมข้อมูลทั่วไปของระบบและของผู้ใช้
- ขโมยคีย์ผ่านเข้ากระเป๋าสตางค์ cryptocurrency
- จัดการ SMS ( สำหรับ Android )
- ขโมยใบรับรอง VPN
แม้จะถูกใช้อยู่บ่อยในหมู่พวกที่ชอบฉวยโอกาสและใช้วิธีแพร่กระจายผ่านสแปมเคมเปญขนาดใหญ่ แต่ก็มีกรณีที่ใช้ Adwind ในการจู่โจมแบบมีเป้าหมาย เมื่อเดือนสิงหาคมปี 2015 ที่ผ่านมา Adwind กลายเป็นข่าวเกี่ยวพันกับการก่อจารกรรมไซเบอร์กับอัยการชาวอาร์เจนติน่าผู้ถูกพบเสียชีวิตเมื่อเดือนมกราคมปี 2015 กรณีของธนาคารที่สิงคโปร์ตกเป็นเป้าหมายนั้นเป็นอีกตัวอย่างหนึ่งของการจู่โจมแบบมีเป้าหมาย และไม่ใช่เป็นเพียงเป้าหมายเดียวของการใช้ Adwind RAT เป็นเครื่องมือ
เป้าหมายที่อาชญากรจับจ้อง
ระหว่างการตรวจสอบ นักวิจัยของแคสเปอร์สกี้ แลปยังได้ทำการวิเคราะห์เกือบ 200 ตัวอย่างของการจู่โจมแบบ spear-phishing ที่ดำเนินการโดยอาชญากรที่ยังไม่เป็นที่เปิดเผย แพร่กระจายมัลแวร์ Adwind และยังได้ระบุกลุ่มอุตสาหกรรมที่มีเหยื่อเป้าหมายส่วนมากทำงานอยู่:
- อุตสาหกรรมการผลิต
- การเงิน
- วิศวกรรม
- การออกแบบ
- การค้าปลีก
- หน่วยงานภาครัฐ
- การขนส่งสินค้าทางเรือ
- โทรคมนาคม
- ซอฟต์แวร์
- การศึกษา
- การผลิตอาหาร
- การดูแลสุขภาพ
- สื่อ
- พลังงาน
อ้างอิงจากข้อมูลของระบบเครือข่ายความปลอดภัยของแคสเปอร์สกี้ แลปหรือ Kaspersky Security Network พบว่าการจู่โจมผ่านอีเมลแบบ spear-phishing จากตัวอย่าง 200 รายการที่เฝ้าสังเกตในช่วงหกเดือนระหว่างเดือนสิงหาคม 2015 ถึงเดือนมกราคม 2016 นั้นมีมัลแวร์ Adwind RAT ที่ส่งผลกระทบต่อเหยื่อมากกว่า 680,000 ราย
การแพร่กระจายทางภูมิศาสตร์ที่พบจากผู้ใช้ที่ถูกจู่โจมและลงทะเบียนไว้กับ KSN ในช่วงนี้แสดงให้เห็นว่า กว่าครึ่งของเหยื่อ ( 49% ) มีถิ่นพำนักอยู่ในประเทศต่าง ๆ ดังนี้: สหรัฐอาหรับเอมิเรตส์ เยอรมัน อินเดีย สหรัฐอเมริกา อิตาลี รัสเซีย เวียตนาม ฮ่องกง ตุรกี และไต้หวัน
อ้างอิงจากข้อมูลสัณฐานของเหยื่อเป้าหมายที่ถูกระบุไว้ได้นั้น นักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าพอจะจัดแบ่งกลุ่มลูกค้าของแพลตฟอร์ม Adwind ได้เป็นหมวดหมู่ดังต่อไปนี้: สแกมเมอร์ที่ต้องการขยับขยายขึ้นไปขั้นสูงกว่า ( โดยใช้มัลแวร์ในการสร้างกลโกงที่ซับซ้อนยิ่งขึ้นไปอีก ) คู่แข่งที่เล่นไม่ซื่อ ทหารไซเบอร์รับจ้าง ( สายลับรับจ้าง ) และบุคคลที่มีความต้องการสอดแนมเรื่องบุคคลอื่นที่ตนรู้จัก
Threat-as-a-Service
หนึ่งในฟีเจอร์หลักที่แยกให้ Adwind RAT โดดเด่นออกมาจากมัลแวร์ที่วางขายแบบคอมเมอร์เชียลตัวอื่นคือ ถูกแพร่กระจายอย่างเปิดเผยในรูปแบบการซื้อบริการ ซึ่ง “ลูกค้า” จ่ายค่าธรรมเนียมเพื่อแลกกับการใช้งานโปรแกรมวายร้ายนี้ อ้างอิงการตรวจสอบกิจกรรมการใช้งานของยูสเซอร์บนกระดานข้อความภายใน และการสังเกตการณ์รูปแบบต่าง ๆ นักวิจัยของแคสเปอร์สกี้ แลปกะประมาณจำนวนผู้ใช้ในระบบถึงประมาณ 1,800 รายเมื่อสิ้นปี 2015 จึงกลายเป็นหนึ่งในมัลแวร์แพลตฟอร์มที่ใหญ่ที่สุดที่ยังคงออกอาละวาดอยู่ในทุกวันนี้
“ด้วยสมรรถนะของแพลตฟอร์ม Adwind ในปัจจุบันนี้ ทำให้คนที่อยากจะเข้ามาเป็นอาชญากรไซเบอร์ไม่จำเป็นต้องมีความรู้พื้นฐานขั้นต่ำสูงมากมายแต่อย่างใด สิ่งที่เราสามารถพูดได้โดยอ้างอิงข้อมูลที่พบจากการตรวจสอบการจู่โจมธนาคารในสิงคโปร์ คือ อาชญากรผู้อยู่เบื้องหลังนั้นห่างไกลจากการเป็นแฮคเกอร์มืออาชีพอย่างมาก และเราคิดว่าลูกค้าของแพลตฟอร์ม Adwind ส่วนมากแล้วก็จะมีพื้นฐานความรู้ด้านคอมพิวเตอร์ในระดับเท่า ๆ กัน ซึ่งเป็นทิศทางพัฒนาการที่น่าเป็นห่วงอย่างมากทีเดียว” อเล็กซานเดอร์ กอสเตฟ หัวหน้าทีมงานผู้เชี่ยวชาญความปลอดภัยของแคสเปอร์สกี้ แลป กล่าว
“แม้จะมีรายงานหลายฉบับเกี่ยวกับเจเนเรชั่นต่างกันไปของทูลนี้ ตามที่ซีเคียวริตี้เวนเดอร์หลายรายได้ออกรายงานในช่วงหลายปีที่ผ่านมา แพลตฟอร์มนี้ก็ยังคงปฏิบัติการอยู่ต่อเนื่อง และครองใจอาชญากรประเภทต่าง ๆ เราได้ทำการวิจัยนี้ขึ้นมาเพื่อดึงความสนใจของกลุ่มคนด้านซีเคียวริตี้และหน่วยงานผู้บังคับใช้กฎหมาย และเพื่อดำเนินขั้นตอนที่จำเป็นในการหยุดยั้งทูลนี้อย่างสิ้นเชิง” วิตาลี คามลัค ผู้อำนวยการทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าว
แคสเปอร์สกี้ แลป รายงานข้อมูลที่ค้นพบเกี่ยวกับแพลตฟอร์ม Adwind ไปยังหน่วยงานผู้บังคับใช้กฎหมายด้วยเช่นกัน เพื่อเป็นการป้องกันตนเองและองค์กรให้พ้นจากภัยคุกคามเช่นนี้ แคสเปอร์สกี้ แลปขอแนะนำให้พิจารณาวัตถุประสงค์ของการใช้แพลตฟอร์ม Java และเพื่อพิจารณายกเลิกการใช้งานกับแหล่งที่ไม่ได้รับอนุญาต
อ่านเพิ่มเติมเกี่ยวกับแพลตฟอร์ม Adwind คือ Malware-as-a-Service platform ได้จาก Securelist.com
- เรียนรู้วิธีการตรวจสอบการจู่โจมแบบมีเป้าหมายอันซับซ้อน:
http://www.youtube.com/watch?v=FzPYGRO9LsA
- อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการจารกรรมไซเบอร์
เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com