Breaking News

[PR] แคสเปอร์สกี้ แลป ผนึกกำลังพาร์ตเนอร์ ร่วมทำลายล้างกลุ่มก่อการร้าย Lazarus Group ตัวการสร้างภัยร้ายไซเบอร์ใหญ่หลายครั้ง

แคสเปอร์สกี้ แลป ( Kaspersky Lab ) ร่วมกับโนเว็ตต้า ( Novetta ) และพาร์ตเนอร์ในวงการอื่น ๆ มีความภาคภูมิในการแถลงถึงความร่วมมือและการมีส่วนร่วมกันใน Operation Blockbuster ซึ่งมีเป้าหมายเพื่อขจัด กิจกรรมก่อการร้ายของลาซารัสกรุ๊ป ( Lazarus Group ) ซึ่งเป็นกลุ่มวายร้ายที่รับผิดชอบต่อการทำลายล้างข้อมูลครั้งใหญ่ รวมทั้งการก่อจารกรรมไซเบอร์ต่อบริษัทใหญ่ ๆ ทั่วโลกหลายบริษัทด้วยกัน เชื่อกันว่าเป็นผู้อยู่เบื้องหลังการจู่โจมโซนี่พิคเจอร์สเอนเตอร์เทนเม้นท์เมื่อปี 2014 และปฏิบัติการ DarkSeoul ที่พุ่งเป้าไปยังสื่อและสถาบันการเงินเมื่อปี 2013

kaspersky-lab-lazarus

หลังการจู่โจมสร้างความเสียหายให้แก่บริษัทผลิตภาพยนตร์โด่งดัง Sony Pictures Entertainment ( SPE ) เมื่อปี 2014 ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ( Global Research and Analysis Team หรือ GReAT ) ได้เริ่มการสืบสวนวิเคราะห์ตัวอย่างของมัลแวร์ Destover ที่รู้กันว่าเป็นตัวที่ถูกใช้ในการจู่โจม นำไปสู่การวิจัยที่กว้างขวาง และเข้าไปยังคลัสเตอร์ที่เกี่ยวโยงกับการก่อจารกรรมไซเบอร์ และเคมเปญวินาศกรรมไซเบอร์ที่มีเป้าหมายเป็นสถาบันการเงิน สื่อ และธุรกิจอุตสาหกรรมการผลิตก็รวมอยู่ด้วย

ผู้เชี่ยวชาญของบริษัทสามารถจัดกลุ่มรูปแบบการจู่โจมเข้าด้วยกันได้หลายกลุ่ม โดยอิงจากลักษณะเฉพาะตัวของมัลแวร์ ที่แม้จะต่างกลุ่มกันก็ต้องมีส่วนที่เหมือนกัน จึงตัดสินได้ว่าทั้งหมดนี้เป็นมัลแวร์ที่มี แอ็คเตอร์หรือตัวกระตุ้นกิจกรรมภัยไซเบอร์ตัวเดียวกัน ผู้ที่เข้าร่วมปฏิบัติการ Operation Blockbuster ทุกรายต่างก็ยืนยันเช่นเดียวกันจากการวิเคราะห์ของเขาเหล่านั้น

แอ็คเตอร์หรือตัวกระตุ้นการเริ่มการจู่โจม ( threat actor ) ของลาซารัสกรุ๊ปทำงานมาหลายปีก่อนเกิดเหตุการณ์ SPE และยังทำงานต่อมาอีกหลังจากนั้น แคสเปอร์สกี้ แลปและผู้เข้าร่วมการวิจัยค้นคว้าใน Operation Blockbuster ยืนยันความเชื่อมโยงระหว่างมัลแวร์ที่ใช้ในหลาย ๆ เคมเปญ เช่น Operation DarkSeoul ที่จู่โจมธนาคารและธุรกิจสื่อในกรุงโซล หรือ Operation Troy ที่พุ่งเป้ามาที่การทหารของเกาหลีใต้ รวมทั้งโซนี่พิคเจอร์ส

ระหว่างการสืบสวนค้นคว้า นักวิจัยของแคสเปอร์สกี้ แลปได้แลกเปลี่ยนการผลการวิจัยเบื้องต้นกับ เอเลี่ยนโวล์ท แลปซึ่งต่อมาภายหลังทั้งสองห้องปฏิบัติการได้รวมพลังกันดำเนินการสืบสวนค้นคว้าด้วยกัน และบริษัทอื่น ๆ ก็ทำการสืบสาวเรื่องราวกิจกรรมของลาซารัสกรุ๊ปในเวลาเดียวกัน รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยต่างก็ค้นคว้าวิจัยกันอย่างหนัก หนึ่งในบริษัทเหล่านี้ ได้แก่ โนเว็ตต้าซึ่งได้ริเริ่มการตีพิมพ์เผยแพร่ข้อมูลสำคัญเกี่ยวกับกิจกรรมของลาซารัสกรุ๊ปที่ค้นพบจากการวิจัยโดยละเอียด ซึ่งต่อมา ในฐานะที่เป็นส่วนหนึ่งของ Operation Blockbuster ทั้งโนเว็ตต้า เอเลี่ยนโวล์ท แลป และพาร์ตเนอร์ผู้ร่วมงานอื่น ๆ ในวงการ รวมทั้งแคสเปอร์สกี้ แลป ต่างก็เผยแพร่ผลการค้นคว้าที่ได้มาเพื่อให้เป็นประโยชน์ต่อสาธารณชนทั่วไปเช่นกัน

งมเข็มในกองฟาง

จากการวิเคราะห์ตัวอย่างมัลแวร์เป็นจำนวนมากที่พบในเหตุจู่โจมระบบความปลอดภัยไซเบอร์ต่าง ๆ และจากการสร้างกฎการตรวจหาแบบพิเศษ ทำให้แคสเปอร์สกี้ แลป เอเลี่ยนโวล์ท และผู้เชี่ยวชาญอื่น ๆ ที่เข้าร่วม Operation Blockbuster สามารถระบุการจู่โจมที่มีลาซารัสกรุ๊ปอยู่เบื้องหลังได้

การวิเคราะห์วิธีการที่ตัวแอ็คเตอร์ใช้ทำงานจากตัวอย่างต่าง ๆ พบว่าล้วนโยงกลับไปยังกลุ่มเดียว โดย เฉพาะอย่างยิ่ง พบด้วยว่าผู้บุกรุกได้นำโค้ด – ยืมบางส่วนมาจากโปรแกรมประสงค์ร้ายอันหนึ่งมาใช้ใหม่ในโปรแกรมอื่น ๆ

นอกจากนั้น นักวิจัยสามารถที่จะจับความคล้ายคลึงในลักษณะวิธีการทำงานของผู้บุกรุก ระหว่างการวิเคราะห์สิ่งแปลกปลอมของการจู่โจมแต่ละครั้ง พบว่า droppers – ไฟล์พิเศษที่ใช้ติดตั้งค่าที่ผันแปรที่บรรจุส่วนที่ประสงค์ร้ายที่ต่างออกไป– ทั้งหมดจะเก็บเป็น ZIP ไฟล์เข้ารหัส ซึ่งรหัสสำหรับใช้ในเคมเปญต่าง ๆ นั้นจะเหมือนกัน และถูก hardcode อยู่ใน dropper มีการติดตั้งการป้องกันรหัสผ่านเพื่อมิให้ระบบทำการถอดและวิเคราะห์ข้อมูลที่เก็บไว้โดยอัตโนมัติ แต่ในความเป็นจริง กลับช่วยให้นักวิจัยระบุกรุ๊ปได้

วิธีการพิเศษที่อาชญากรไซเบอร์พยายามใช้ลบร่องรอยอาชญากรรมของตนออกจากระบบที่ติดเชื้อ รวมทั้งเทคนิคอื่น ๆ ที่ใช้หลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์แอนตี้ไวรัสนั้น เปิดช่องทางให้นักวิจัยมีช่องทางเพิ่มขึ้นในการจับกลุ่มการจู่โจมที่มีความเชื่อมโยงกัน ในที่สุด ก็สามารถระบุความเชื่อมโยงของการจู่โจมแบบมีเป้าหมายเหล่านั้นได้ ซึ่งแต่เดิมไม่สามารถระบุผู้อยู่เบื้องหลังได้ว่าแท้จริงแล้วโยงกลับมายังแอ็คเตอร์เดียวนั้นเอง

สภาพภูมิศาสตร์ของปฏิบัติการก่อการร้าย

จากการวิเคราะห์วันที่รวบรวมตัวอย่างมัลแวร์ พบว่าการเก็บตัวอย่างครั้งแรกเริ่มที่สุดอาจจะเป็นตั้งแต่ปี 2009 นับเป็นเวลา 5 ปีก่อนการจู่โจมโซนี่อันโด่งดัง มีตัวอย่างใหม่ ๆ เกิดขึ้นมากมายตั้งแต่ปี 2010 จึงจัดได้ว่าลาซารัสกรุ๊ปนี้เป็นแอ็คเตอร์ที่มีความมั่นคง ยืนยงตัวหนึ่งทีเดียว จากเมต้าดาต้าที่ถอดมาจากตัวอย่างที่นำมาวิเคราะห์สืบสวน พบว่าโปรแกรมประสงค์ร้ายส่วนมากที่ลาซารัสกรุ๊ปใช้งานนั้นมักจะถูกเก็บรวบรวมช่วงระหว่างชั่วโมงทำงานในไทม์โซน GMT+8 – GMT+9

“ดังเช่นที่เราได้คาดการณ์ไว้ จำนวนการจู่โจมแบบลบล้างข้อมูล ( wiper attacks ) นั้นได้ขยายตัวอย่างต่อเนื่อง เพราะมัลแวร์ประเภทนี้ใช้เป็นอาวุธไซเบอร์ที่มีประสิทธิภาพทำลายล้างสูง พลังอำนาจในการล้างคอมพิวเตอร์ได้เป็นพัน ๆ เครื่องได้เพียงแค่กดปุ่มเดียวนั้น จึงเป็นรางวัลชั้นเยี่ยมสำหรับทีมผู้ร้ายที่คอยหาประโยชน์จากระบบเครือข่าย ( Computer Network Exploitation team ) ที่มีหน้าที่ในการบิดเบือนข้อมูลและหยุดการทำงานของเอ็นเตอร์ไพร้ซ์ที่เป็นเหยื่อเป้าหมาย มูลค่าในฐานะที่เป็นส่วนหนึ่งของการดำเนินสงครามแบบไฮบริดลูกผสม ( hybrid warfare ) ที่การจู่โจมแบบล้างข้อมูล จะมาคู่กับการจู่โจมเพื่อชะงักการเคลื่อนไหว ( kinetic attacks ) คือการทำให้โครงสร้างพื้นฐานของประเทศหนึ่ง ๆ หยุดชะงักนั้นเป็นการทดลองที่น่าสนใจ และใกล้เคียงความเป็นจริงมากเกินกว่าที่เราจะทำตัวสบาย ๆ กับเรื่องเหล่านี้ได้ แคสเปอร์สกี้ แลป ร่วมกับพาร์ตเนอร์ในวงการอุตสาหกรรม ล้วนภาคภูมิใจที่สามารถสร้างความคืบหน้าและเจาะเข้าปฏิบัติการของแอ็คเตอร์ก่อการร้ายที่ไร้สำนึกผิดชอบชั่วดี ที่คอยจ้องหาทางใช้เทคนิคที่มีผลทำลายล้างร้ายกาจเช่นนี้ได้” ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว

ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้
ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้

 

“แอ็คเตอร์นี้มีทักษะที่จำเป็น และมีความมุ่งมั่นในการก่อวินาศกรรมไซเบอร์ วัตถุประสงค์คือการโจรกรรมข้อมูล หรือก่อให้เกิดความสูญเสีย เสียหาย เมื่อผนวกกับการใช้เทคนิคบิดเบือนข้อมูลและล่อลวงในช่วงหลายปีที่ผ่านมา อาชญากรสามารถก่อการร้ายได้เป็นผลสำเร็จอยู่หลายครั้ง ปฏิบัติการ Operation Blockbuster เป็นตัวอย่างของการแบ่งปันข้อมูลทั่ววงการ และความร่วมมือสามารถยกมาตรฐานให้สูงขึ้น และป้องกันแอ็คเตอร์ตัวนี้จากการออกอาละวาดต่อไปภายภาคหน้า” เจมี่ บลาสโค หัวหน้าฝ่ายนักวิทยาศาสตร์ เอเลี่ยนโวล์ท กล่าว

“ทั้งโนเว็ตต้า แคสเปอร์สกี้ แลป และพาร์ตเนอร์อื่น ๆ ยังคงความพยายามในการระบุหาวิธีการในการทำลายล้างกลุ่มที่ออกปฏิบัติการจู่โจมไปทั่วโลก รวมทั้งพยายามที่จะขจัด และลดความสามารถในการก่อการร้ายลงโดยผ่าน Operation Blockbuster” อังเดร ลุดวิก ผู้อำนวยการฝ่ายเทคนิคอาวุโส กลุ่มวิจัยและการห้ามการลักลอบ บริษัท โนเว็ตต้า กล่าว “ระดับความลึกของการวิเคราะห์เชิงเทคนิคของ Operation Blockbuster นั้นเป็นสิ่งที่หายากมาก และการแบ่งปันผลการวิจัยค้นคว้ากับพาร์ตเนอร์ในวงการเดียวกันนั้นก็หาได้ยากเช่นกัน ดังนั้น เราทุกคนจึงได้รับประโยชน์ ได้รับความเข้าใจที่แจ่มชัดยิ่งขึ้น ซึ่งยิ่งหายากยิ่งไปกว่า”

  • ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยแคสเปอร์สกี้ แลป สามารถอ่านได้ที่ https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed
  • ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยโนเว็ตต้า สามารถอ่านได้ที่ OperationBlockbuster.com

 

เกี่ยวกับแคสเปอร์สกี้ แลป

kaspersky-lab-logo

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270, 000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

IBM เผยสร้าง Quantum Safe Tape Drive สำเร็จแล้ว

IBM ได้ออกมาเผยถึงผลงานจากทีม IBM Research ที่ Switzerland ร่วมกับทีม IBM Tape Developer ที่ได้ใช้เวลา 10 เดือนในการพัฒนาเทคโนโลยี Quantum Safe Tape Drive ซึ่งเข้ารหัสข้อมูลบน Tape ด้วยวิธีการที่ทนทานต่อพลังประมวลผลของ Quantum Computer ในอนาคตได้สำเร็จ

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า