Black Hat Asia 2021

[PR] แคสเปอร์สกี้ แลป เผย “Dropping Elephant” จารกรรมไซเบอร์ที่ไม่หวือหวา แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชีย

แผนการจารกรรมที่ไม่หรูเลิศ หน้าตาน่าผิดหวัง แต่ทว่า ..

สำหรับคนทั่วไปอย่างเรา เวลาได้ยินคำว่า ‘จารกรรม’ ภาพของจารชนสุดเท่ในชุดเนี้ยบกริบพกอาวุธสุดล้ำ ทันสมัย มีให้เลือกใช้ตามสถานการณ์ ไม่ใช่ปืนกระบอกโต ๆ พร้อมที่เก็บเสียง และเมื่อเติมคำว่า ‘ไซเบอร์’ เข้าไป ก็ยิ่งเพิ่มรัศมีความขลังกันเข้าไปใหญ่ และมาพร้อมกับจินตนาการเทคโนโลยีจารกรรมชั้นยอด ทั้งดักฟังและขโมยความลับเบื้องหลังการเมืองกันได้แยบยล

แต่ภาพนั้น ตรงข้ามกับกลุ่มจารกรรมไซเบอร์ ‘Dropping Elephant’ ( aka Chinastrats ) ที่ค่อนข้างจะน่าผิดหวังอยู่สักหน่อย ทั้งชื่อกลุ่มและวิธีการ จนกระทั่ง นั่นแหละ มาเห็นว่าปฏิบัติการที่ไม่น่าเข้าท่านี้ประสบความสำเร็จขนาดไหน แถมยังใช้เทคนิคง่าย ๆ เสียอีกแน่ะ

kaspersky-lab-dropping-elephant

“Dropping Elephant” มีผู้ดำเนินการที่ใช้ภาษาอินเดีย เลือกเป้าหมายในภูมิภาคเอเชียเป็นส่วนใหญ่ สนใจรัฐบาลจีน องค์กรด้านการทูต รวมทั้งสถานทูตต่างประเทศและสำนักงานด้านความสัมพันธ์ระหว่างประเทศในจีน รวมไปถึงปากีสถาน ศรีลังกา อุรุกวัย บังคลาเทศ ไต้หวัน ออสเตรเลีย และสหรัฐอเมริกา ทำงานโดยใช้ทูลเซ็ตและเทคนิคเกาะไปกับวิศวกรรมเชิงสังคม ( social engineering ) ที่ระบบดี หลบใช้ช่องโหว่ที่แก้ไขไปนานแล้วและหันมาใช้ซอฟต์แวร์ที่ถูกกฎหมาย

เมื่อเหยื่อพร้อมใจกันเอาคอพาดเขียงให้เชือดง่าย ๆ

รูปแบบการจู่โจมของ “Dropping Elephant” ที่เป็นมาตรฐานเลยนั้นเริ่มต้นที่ฟิชชิ่งสองขั้นตอน ขั้นแรกนั้นมักเป็น อีเมลหว่านออกไป มีไฟล์เอกสารที่ดูไร้อันตรายแนบไปด้วย ซึ่งอย่างไรเสียก็มีบทบาทสำคัญในการจู่โจม เมื่อเปิดไฟล์ขึ้นมา ไฟล์ก็จะส่งสัญญาน ‘ping’ เพื่อยืนยันกลับไปยังเซิร์ฟเวอร์บังคับการของผู้บุกรุก พร้อมกับข้อมูลพื้นฐานของระบบที่โดนเจาะเข้าไป เพื่อช่วยในการระบุเป้าหมายให้ชัดเจนยิ่งขึ้น ขั้นที่สองมักเป็นอีเมลที่มีเอกสารแนบเป็น Microsoft Office ที่มีช่องโหว่รุ่นเก่า ๆ ( .docx or .pps ) หรือลิ้งก์ที่โยงไปยังเว็บไซต์หน้าตาดูปกติดี เน้นเนื้อหาการเมือง มีข่าวการเมืองและบทความวิเคราะห์ที่น่าสนใจให้ติดตามอ่านในไฟล์ .pps หรือ Powerpoint Slideshow

เมื่อยูสเซอร์หลงเชื่ออีเมลและเว็บไซต์เหล่านั้นพากันเอาคอไปพาดเขียง เปิดไฟล์ก็จะไปกระตุ้นเพย์โหลดที่ฝังตัวอยู่ทำงาน ดาวน์โหลดและดึงทูลมาอีกจำนวนมาก เริ่มค้นหาเอกสารที่ดูว่ามีความสำคัญบนฮาร์ดไดรว์ของเหยื่อ ไม่ว่าจะเป็น Word หรือตารางใน Excel Presentation หรือไฟล์ PDF จากนั้นก็จะรวมไฟล์เหล่านี้กับข้อมูลส่วนตัวที่ดักเก็บมาได้จากบราวเซอร์ แล้วรวมเป็นมัดใหญ่ส่งไปเซิร์ฟเวอร์บังคับการของผู้ร้าย

การจู่โจมเหล่านี้และในทำนองนี้ อาศัยเซ็ตของช่องโหว่ที่เข้าใจกันว่าแก้ไขไปแล้ว คงเป็นไปไม่ได้ที่ไมโครซอฟท์จะหยั่งรู้และแก้ไขยกเลิกฟังก์ชั่นสุ่มเสี่ยงได้ทั้งหมดที่อาจพบได้ใน MS Office และเมื่อพิจารณาถึงความน่าเชื่อถือ ความสามารถในการชักจูง ล่อหลอก และความเต็มอกเต็มใจของยูสเซอร์ทั้งหลายที่จะคลิ้กตามเหยื่อล่อที่ปั้นแต่งมาอย่างดี แม้จะรู้ว่าเสี่ยงหรือจะเตือนแล้วก็ตาม ก็เท่ากับพาทั้งตนเองหรืออาจจะทั้งองค์กรเลยก็ว่าได้เดินเข้าไปสู่จุดจบ

ค่าความเสียหายจากการที่ข้อมูลถูกล่วงละเมิดดักฟัง โจรกรรมสำหรับองค์กรที่ข้อมูลมีความสำคัญและมีความเปราะบางมาก อาทิ หน่วยงานภาครัฐ/ทางการเมืองนั้นยากที่จะประเมินมูลค่า และเป้าหมายอาจจะเป็นองค์กรใด ๆ นอกเหนือจากที่ว่านี้ก็ได้ วิธีการเจาะเข้าไปถึงเหยื่อเป้าหมายของ Elephant นั้น จะเป็นการอ้อมวนไปรอบ ๆ มาจากไกล ๆ อาจจะเริ่มจากเจาะผ่านมาทางเพื่อนหรือที่ติดต่อธุรกิจที่เหยื่อไว้ใจเชื่อถือ ดังนั้น หากองค์กรของคุณมีความเกี่ยวข้อง การติดต่อ เชื่อมโยงสื่อสารกับหน่วยงานของรัฐ ทางที่ดีก็ควรจะมีระบบความปลอดภัยไว้ป้องกันตนเองให้พ้น เผื่อช้างจะแวะมาเยือนโดยไม่รู้ตัว

ไม่อยากเป็นเหยื่อ ก็จงติดเอาวุธป้องกันตน

ถือได้ว่าเทคนิคที่ “Dropping Elephant” นำมาใช้งานนั้นไม่หวือหวาเท่าใดนัก แต่ก็เหมาะเจาะต่อการนำมาใช้ประสานไปกับวิศวกรรมเชิงสังคม ทำงานได้ผล ศึกษาเหยื่อเป้าหมายมาปรุโปร่งก่อนลงมือ และสุดยอดพันธมิตรของความเสี่ยงของการถูกจารกรรมนี้อาจจะเป็นพนักงานคนในองค์กรของคุณนั่นเอง เพื่อเป็นการลดความเสี่ยงลงให้ต่ำที่สุด จึงจำเป็นต้องวางมาตรการความปลอดภัยที่มีการวางการป้องกันหลายชั้น โอเปอเรเตอร์ผู้บงการ Chinastrats อาศัยวางข้อมูลชวนเชื่อเป็นเหยื่อล่อ จึงต้องคอยเฝ้าดูอีเมลที่ไม่เข้าพวก การจัดการอบรมให้ความรู้ความเข้าใจ ดังที่แคสเปอร์สกี้ แลป จัดนั้น ก็เป็นการช่วยพัฒนามาตรการป้องกันตนเองในขั้นต้นให้แก่พนักงาน ช่วยในการสังเกตระบุชี้อุดช่องโหว่กันการจู่โจมของ Dropping Elephant

โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป เปิดเผยว่า แคสเปอร์สกี้ แลปมีการทำงานร่วมกับภาครัฐและหน่วยงานบังคับใช้กฎหมายทั่วโลก เพื่อการสืบสวนรูปแบบปฏิบัติการจู่โจมไซเบอร์ และยังสนับสนุนในการฝึกอบรมระดับมืออาชีพเพื่อสร้างความเข้าใจในรูปแบบการทำงานของระบบความปลอดภัยไซเบอร์ ตั้งแต่ขั้นพื้นฐานจนถึงระดับปรมาจารย์ขั้นสูงเพื่อวิเคราะห์มัลแวร์และกระบวนการพิสูจน์หลักฐานทางดิจิตอล คอร์สการอบรมด้านระบบความปลอดภัยไซเบอร์นี้สามารถเป็นประโยชน์ได้ทั้งต่อองค์กรภาครัฐและเอกชน และองค์กรที่สนใจตั้งศูนย์ปฏิบัติการด้านระบบความปลอดภัย

โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป
โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป

ส่วนช่องโหว่ที่คะเนกันไปได้รับการแก้ไขแล้วนั้นกลับเป็นปัญหา จึงต้องลดความผิดพลาดจากมนุษย์ด้วยเทคโนโลยี The Automatic Exploit Prevention ซึ่งมีอยู่ใน Kaspersky Endpoint Security for Business ทุกรุ่น สามารถลดปัญหา ความกังวลให้การป้องกันได้แม้กระทั่ง 0-day ผลจากการถูกเจาะระบบ

ที่สำคัญอย่างยิ่งอีกประการคือช่วงจังหวะเวลาในการอุดช่องโหว่ การบริหารช่องโหว่ข้อบกพร่องต่าง ๆ เป็นงานซับซ้อน ต้องเพิ่มเติมความรู้ตลอดเวลาและต้องอาศัยการทำออโตเมชั่น ซึ่งสามารถพึ่งพาตัวช่วยในการบริหารระบบที่เรียกว่า Kaspersky Lab’s Systems Management ( มีติดตั้งใน Kaspersky Endpoint Security for Business Advanced และรุ่นสแตนอโลน ) เป็นเทคโนโลยีที่ทำให้กระบวนการบริหารจัดการระบบเรียบง่ายขึ้น ลดความซับซ้อน ลดความกดดันจากงาน มีเวลาเหลือพอสำหรับที่จะคิดอ่านวางแผนเชิงกลยุทธ์ได้มากขึ้น

เมื่อคุณเป็นผู้พิทักษ์ความลับสำคัญ การวางแผนการป้องกันอย่างรัดกุมจึงเป็นเรื่องจำเป็นอย่างยิ่ง การติดตามร่องรอยการเปลี่ยนแปลงใด ๆ ที่อาจส่งผลกระทบให้ระบบความปลอดภัยโดยอาศัยการรายงานที่แม่นยำจาก Kaspersky Lab’s Intelligence Reports and Datafeeds นั้น ถือว่าช่วยตระเตรียมขั้นตอนการป้องกันที่จำเป็นต่าง ๆ ก่อนเกิดเหตุร้ายได้ หรือจะใช้แพลตฟอร์มที่คอยระวังภัย ตื่นตัวรับมือกับการจู่โจมแบบมีเป้าหมาย อาทิ Kaspersky Anti Targeted Attack Platform ที่คอยเฝ้าระวังระดับชั้นต่าง ๆ ในโครงสร้างระบบ แม้แต่เครือข่าย เครื่องเอนด์พอยต์ที่มาต่อเชื่อม และระบบเมล ช่วยเป็นหน่วยสนับสนุนได้อย่างดียามที่ศตรูมาถึงประตูบ้านแล้ว

โปรดักส์ของแคสเปอร์สกี้ แลปตรวจหาคอมโพเน้นท์ทูลเซ็ตของ Dropping Elephant ได้ดังนี้:

Exploit.Win32.CVE-2012-0158

Exploit.MSWord.CVE-2014-1761

Trojan-Downloader.Win32.Genome

HEUR:Trojan.Win32.Generic

 

ข้อมูลเพิ่มเติม

 

เกี่ยวกับแคสเปอร์สกี้ แลป

kaspersky_logo

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270, 000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com

About TechTalkThai_PR

Check Also

Gartner ออก Magic Quadrant ด้าน Endpoint Protection Platforms ประจำปี 2021

Gartner, Inc. บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quarrant ทางด้าน Endpoint Protection Platforms ฉบับล่าสุดปี 2021 ผลปรากฏว่ามี Vendor ถึง …

Metro Systems Corporation ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ “Microsoft Teams เป็นมากกว่า Online Meeting”

Metro Systems Corporation ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Microsoft Teams เป็นมากกว่า Online Meeting” เพื่อรู้จักกับการใช้งาน Microsoft Teams ในหลากหลายแง่มุมที่ทำให้การทำงานขององค์กรเป็นไปได้อบ่างมีประสิทธิภาพ โดยงานจะจัดขึ้นในวันพุธที่ 2 …