แคสเปอร์สกี้ แลป ( Kaspersky Lab ) ร่วมกับโนเว็ตต้า ( Novetta ) และพาร์ตเนอร์ในวงการอื่น ๆ มีความภาคภูมิในการแถลงถึงความร่วมมือและการมีส่วนร่วมกันใน Operation Blockbuster ซึ่งมีเป้าหมายเพื่อขจัด กิจกรรมก่อการร้ายของลาซารัสกรุ๊ป ( Lazarus Group ) ซึ่งเป็นกลุ่มวายร้ายที่รับผิดชอบต่อการทำลายล้างข้อมูลครั้งใหญ่ รวมทั้งการก่อจารกรรมไซเบอร์ต่อบริษัทใหญ่ ๆ ทั่วโลกหลายบริษัทด้วยกัน เชื่อกันว่าเป็นผู้อยู่เบื้องหลังการจู่โจมโซนี่พิคเจอร์สเอนเตอร์เทนเม้นท์เมื่อปี 2014 และปฏิบัติการ DarkSeoul ที่พุ่งเป้าไปยังสื่อและสถาบันการเงินเมื่อปี 2013
หลังการจู่โจมสร้างความเสียหายให้แก่บริษัทผลิตภาพยนตร์โด่งดัง Sony Pictures Entertainment ( SPE ) เมื่อปี 2014 ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ( Global Research and Analysis Team หรือ GReAT ) ได้เริ่มการสืบสวนวิเคราะห์ตัวอย่างของมัลแวร์ Destover ที่รู้กันว่าเป็นตัวที่ถูกใช้ในการจู่โจม นำไปสู่การวิจัยที่กว้างขวาง และเข้าไปยังคลัสเตอร์ที่เกี่ยวโยงกับการก่อจารกรรมไซเบอร์ และเคมเปญวินาศกรรมไซเบอร์ที่มีเป้าหมายเป็นสถาบันการเงิน สื่อ และธุรกิจอุตสาหกรรมการผลิตก็รวมอยู่ด้วย
ผู้เชี่ยวชาญของบริษัทสามารถจัดกลุ่มรูปแบบการจู่โจมเข้าด้วยกันได้หลายกลุ่ม โดยอิงจากลักษณะเฉพาะตัวของมัลแวร์ ที่แม้จะต่างกลุ่มกันก็ต้องมีส่วนที่เหมือนกัน จึงตัดสินได้ว่าทั้งหมดนี้เป็นมัลแวร์ที่มี แอ็คเตอร์หรือตัวกระตุ้นกิจกรรมภัยไซเบอร์ตัวเดียวกัน ผู้ที่เข้าร่วมปฏิบัติการ Operation Blockbuster ทุกรายต่างก็ยืนยันเช่นเดียวกันจากการวิเคราะห์ของเขาเหล่านั้น
แอ็คเตอร์หรือตัวกระตุ้นการเริ่มการจู่โจม ( threat actor ) ของลาซารัสกรุ๊ปทำงานมาหลายปีก่อนเกิดเหตุการณ์ SPE และยังทำงานต่อมาอีกหลังจากนั้น แคสเปอร์สกี้ แลปและผู้เข้าร่วมการวิจัยค้นคว้าใน Operation Blockbuster ยืนยันความเชื่อมโยงระหว่างมัลแวร์ที่ใช้ในหลาย ๆ เคมเปญ เช่น Operation DarkSeoul ที่จู่โจมธนาคารและธุรกิจสื่อในกรุงโซล หรือ Operation Troy ที่พุ่งเป้ามาที่การทหารของเกาหลีใต้ รวมทั้งโซนี่พิคเจอร์ส
ระหว่างการสืบสวนค้นคว้า นักวิจัยของแคสเปอร์สกี้ แลปได้แลกเปลี่ยนการผลการวิจัยเบื้องต้นกับ เอเลี่ยนโวล์ท แลปซึ่งต่อมาภายหลังทั้งสองห้องปฏิบัติการได้รวมพลังกันดำเนินการสืบสวนค้นคว้าด้วยกัน และบริษัทอื่น ๆ ก็ทำการสืบสาวเรื่องราวกิจกรรมของลาซารัสกรุ๊ปในเวลาเดียวกัน รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยต่างก็ค้นคว้าวิจัยกันอย่างหนัก หนึ่งในบริษัทเหล่านี้ ได้แก่ โนเว็ตต้าซึ่งได้ริเริ่มการตีพิมพ์เผยแพร่ข้อมูลสำคัญเกี่ยวกับกิจกรรมของลาซารัสกรุ๊ปที่ค้นพบจากการวิจัยโดยละเอียด ซึ่งต่อมา ในฐานะที่เป็นส่วนหนึ่งของ Operation Blockbuster ทั้งโนเว็ตต้า เอเลี่ยนโวล์ท แลป และพาร์ตเนอร์ผู้ร่วมงานอื่น ๆ ในวงการ รวมทั้งแคสเปอร์สกี้ แลป ต่างก็เผยแพร่ผลการค้นคว้าที่ได้มาเพื่อให้เป็นประโยชน์ต่อสาธารณชนทั่วไปเช่นกัน
งมเข็มในกองฟาง
จากการวิเคราะห์ตัวอย่างมัลแวร์เป็นจำนวนมากที่พบในเหตุจู่โจมระบบความปลอดภัยไซเบอร์ต่าง ๆ และจากการสร้างกฎการตรวจหาแบบพิเศษ ทำให้แคสเปอร์สกี้ แลป เอเลี่ยนโวล์ท และผู้เชี่ยวชาญอื่น ๆ ที่เข้าร่วม Operation Blockbuster สามารถระบุการจู่โจมที่มีลาซารัสกรุ๊ปอยู่เบื้องหลังได้
การวิเคราะห์วิธีการที่ตัวแอ็คเตอร์ใช้ทำงานจากตัวอย่างต่าง ๆ พบว่าล้วนโยงกลับไปยังกลุ่มเดียว โดย เฉพาะอย่างยิ่ง พบด้วยว่าผู้บุกรุกได้นำโค้ด – ยืมบางส่วนมาจากโปรแกรมประสงค์ร้ายอันหนึ่งมาใช้ใหม่ในโปรแกรมอื่น ๆ
นอกจากนั้น นักวิจัยสามารถที่จะจับความคล้ายคลึงในลักษณะวิธีการทำงานของผู้บุกรุก ระหว่างการวิเคราะห์สิ่งแปลกปลอมของการจู่โจมแต่ละครั้ง พบว่า droppers – ไฟล์พิเศษที่ใช้ติดตั้งค่าที่ผันแปรที่บรรจุส่วนที่ประสงค์ร้ายที่ต่างออกไป– ทั้งหมดจะเก็บเป็น ZIP ไฟล์เข้ารหัส ซึ่งรหัสสำหรับใช้ในเคมเปญต่าง ๆ นั้นจะเหมือนกัน และถูก hardcode อยู่ใน dropper มีการติดตั้งการป้องกันรหัสผ่านเพื่อมิให้ระบบทำการถอดและวิเคราะห์ข้อมูลที่เก็บไว้โดยอัตโนมัติ แต่ในความเป็นจริง กลับช่วยให้นักวิจัยระบุกรุ๊ปได้
วิธีการพิเศษที่อาชญากรไซเบอร์พยายามใช้ลบร่องรอยอาชญากรรมของตนออกจากระบบที่ติดเชื้อ รวมทั้งเทคนิคอื่น ๆ ที่ใช้หลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์แอนตี้ไวรัสนั้น เปิดช่องทางให้นักวิจัยมีช่องทางเพิ่มขึ้นในการจับกลุ่มการจู่โจมที่มีความเชื่อมโยงกัน ในที่สุด ก็สามารถระบุความเชื่อมโยงของการจู่โจมแบบมีเป้าหมายเหล่านั้นได้ ซึ่งแต่เดิมไม่สามารถระบุผู้อยู่เบื้องหลังได้ว่าแท้จริงแล้วโยงกลับมายังแอ็คเตอร์เดียวนั้นเอง
สภาพภูมิศาสตร์ของปฏิบัติการก่อการร้าย
จากการวิเคราะห์วันที่รวบรวมตัวอย่างมัลแวร์ พบว่าการเก็บตัวอย่างครั้งแรกเริ่มที่สุดอาจจะเป็นตั้งแต่ปี 2009 นับเป็นเวลา 5 ปีก่อนการจู่โจมโซนี่อันโด่งดัง มีตัวอย่างใหม่ ๆ เกิดขึ้นมากมายตั้งแต่ปี 2010 จึงจัดได้ว่าลาซารัสกรุ๊ปนี้เป็นแอ็คเตอร์ที่มีความมั่นคง ยืนยงตัวหนึ่งทีเดียว จากเมต้าดาต้าที่ถอดมาจากตัวอย่างที่นำมาวิเคราะห์สืบสวน พบว่าโปรแกรมประสงค์ร้ายส่วนมากที่ลาซารัสกรุ๊ปใช้งานนั้นมักจะถูกเก็บรวบรวมช่วงระหว่างชั่วโมงทำงานในไทม์โซน GMT+8 – GMT+9
“ดังเช่นที่เราได้คาดการณ์ไว้ จำนวนการจู่โจมแบบลบล้างข้อมูล ( wiper attacks ) นั้นได้ขยายตัวอย่างต่อเนื่อง เพราะมัลแวร์ประเภทนี้ใช้เป็นอาวุธไซเบอร์ที่มีประสิทธิภาพทำลายล้างสูง พลังอำนาจในการล้างคอมพิวเตอร์ได้เป็นพัน ๆ เครื่องได้เพียงแค่กดปุ่มเดียวนั้น จึงเป็นรางวัลชั้นเยี่ยมสำหรับทีมผู้ร้ายที่คอยหาประโยชน์จากระบบเครือข่าย ( Computer Network Exploitation team ) ที่มีหน้าที่ในการบิดเบือนข้อมูลและหยุดการทำงานของเอ็นเตอร์ไพร้ซ์ที่เป็นเหยื่อเป้าหมาย มูลค่าในฐานะที่เป็นส่วนหนึ่งของการดำเนินสงครามแบบไฮบริดลูกผสม ( hybrid warfare ) ที่การจู่โจมแบบล้างข้อมูล จะมาคู่กับการจู่โจมเพื่อชะงักการเคลื่อนไหว ( kinetic attacks ) คือการทำให้โครงสร้างพื้นฐานของประเทศหนึ่ง ๆ หยุดชะงักนั้นเป็นการทดลองที่น่าสนใจ และใกล้เคียงความเป็นจริงมากเกินกว่าที่เราจะทำตัวสบาย ๆ กับเรื่องเหล่านี้ได้ แคสเปอร์สกี้ แลป ร่วมกับพาร์ตเนอร์ในวงการอุตสาหกรรม ล้วนภาคภูมิใจที่สามารถสร้างความคืบหน้าและเจาะเข้าปฏิบัติการของแอ็คเตอร์ก่อการร้ายที่ไร้สำนึกผิดชอบชั่วดี ที่คอยจ้องหาทางใช้เทคนิคที่มีผลทำลายล้างร้ายกาจเช่นนี้ได้” ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว

“แอ็คเตอร์นี้มีทักษะที่จำเป็น และมีความมุ่งมั่นในการก่อวินาศกรรมไซเบอร์ วัตถุประสงค์คือการโจรกรรมข้อมูล หรือก่อให้เกิดความสูญเสีย เสียหาย เมื่อผนวกกับการใช้เทคนิคบิดเบือนข้อมูลและล่อลวงในช่วงหลายปีที่ผ่านมา อาชญากรสามารถก่อการร้ายได้เป็นผลสำเร็จอยู่หลายครั้ง ปฏิบัติการ Operation Blockbuster เป็นตัวอย่างของการแบ่งปันข้อมูลทั่ววงการ และความร่วมมือสามารถยกมาตรฐานให้สูงขึ้น และป้องกันแอ็คเตอร์ตัวนี้จากการออกอาละวาดต่อไปภายภาคหน้า” เจมี่ บลาสโค หัวหน้าฝ่ายนักวิทยาศาสตร์ เอเลี่ยนโวล์ท กล่าว
“ทั้งโนเว็ตต้า แคสเปอร์สกี้ แลป และพาร์ตเนอร์อื่น ๆ ยังคงความพยายามในการระบุหาวิธีการในการทำลายล้างกลุ่มที่ออกปฏิบัติการจู่โจมไปทั่วโลก รวมทั้งพยายามที่จะขจัด และลดความสามารถในการก่อการร้ายลงโดยผ่าน Operation Blockbuster” อังเดร ลุดวิก ผู้อำนวยการฝ่ายเทคนิคอาวุโส กลุ่มวิจัยและการห้ามการลักลอบ บริษัท โนเว็ตต้า กล่าว “ระดับความลึกของการวิเคราะห์เชิงเทคนิคของ Operation Blockbuster นั้นเป็นสิ่งที่หายากมาก และการแบ่งปันผลการวิจัยค้นคว้ากับพาร์ตเนอร์ในวงการเดียวกันนั้นก็หาได้ยากเช่นกัน ดังนั้น เราทุกคนจึงได้รับประโยชน์ ได้รับความเข้าใจที่แจ่มชัดยิ่งขึ้น ซึ่งยิ่งหายากยิ่งไปกว่า”
- ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยแคสเปอร์สกี้ แลป สามารถอ่านได้ที่ https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed
- ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยโนเว็ตต้า สามารถอ่านได้ที่ OperationBlockbuster.com
เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270, 000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com