TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) เปิดเผยการค้นพบ “เดสเสิร์ท ฟอลคอนส์” (Desert Falcon) กลุ่มจารชนไซเบอร์ที่พุ่งเป้าโจมตีองค์กรระดับสูงและบุคคลมีชื่อเสียงในประเทศแถบตะวันออกกลาง ผู้เชี่ยวชาญระบุว่า กลุ่มจารชนนี้นับเป็นกลุ่มไซเบอร์รับจ้างเชื้อสายอาหรับรายแรกที่พัฒนาและปฏิบัติการโจมตีไซเบอร์เต็มรูปแบบ
- การโจมตีของ “เดสเสิร์ท ฟอลคอนส์” นี้เริ่มขึ้นในปี 2011 และเริ่มปฏิบัติการในปี 2013 แต่ภารกิจโจมตีที่ร้ายแรงเกิดขึ้นในปี 2015 นี้เอง
- เป้าหมายใหญ่อยู่ในประเทศอียิปต์ ปาเลสไตน์ อิสราเอล และจอร์แดน
- นอกจากประเทศในกลุ่มตะวันออกกลางแล้ว “เดสเสิร์ท ฟอลคอนส์” ยังขยายอาณาเขตไปทั่วโลก ปัจจุบันตรวจพบไฟล์ที่ถูกขโมยมากกว่าหนึ่งล้านไฟล์ มีผู้เสียหายกว่ามากกว่า 3 พันใน 50 ประเทศทั่วโลก
- ผู้โจมตีใช้ทูลประสงค์ร้ายในการโจมตีคอมพิวเตอร์ระบบวินโดวส์และอุปกรณ์พกพาระบบแอนดรอยด์
- ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบหลักฐานชี้ชัดหลายข้อ ทำให้เชื่อว่าผู้โจมตีมีเชื้อสายอาหรับ
เหยื่อของการโจมตีนี้ประกอบด้วย องค์กรทางทหารและรัฐบาล โดยเฉพาะพนักงานที่รับผิดชอบดูแลด้านการต่อต้านการฟอกเงิน เศรษฐกิจและสุขภาพ สื่อมวลชน สถาบันวิจัยและการศึกษา ผู้ให้บริการพลักงานและสาธารณูปโภค นักเคลื่อนไหวและผู้นำทางการเมือง บริษัทด้านความปลอดภัย และเป้าหมายอื่นๆ ที่ทำงานเกี่ยวข้องกับข้อมูลภูมิรัฐศาสตร์
นอกจากเป้าหมายหลักของปฏิบัติการอยู่ในประเทศอียิปต์ ปาเลสไตน์ อิสราเอล และจอร์แดน แล้ว ยังพบเหยื่อในประเทศการ์ต้า ซาอุดิอาระเบีย สหรัฐอาหรับเอมิเรตส์ อัลจีเรีย เลบานอน นอร์เวย์ ตุรกี สวีเดน ฝรั่งเศส สหรัฐอเมริกา รัสเซีย และประเทศอื่นๆ มากกว่า 50 ประเทศทั่วโลก
การแพร่กระจาย การติดเชื้อ การสอดแนม
กลุ่ม “เดสเสิร์ท ฟอลคอนส์” ใช้วิธีสเปียร์ฟิชชิ่งผ่านอีเมล โซเชียลเน็ตเวิร์ก และข้อความแชท เป็นวิธีการหลักในการแพร่กระจายมัลแวร์ ข้อความฟิชชิ่งจะมาพร้อมไฟล์หรือลิ้งก์มุ่งร้ายที่แฝงตัวเป็นเอกสารหรือแอพพลิเคชั่นต่างๆ และอีกวิธีคือการใช้เทคนิคที่เรียกว่า “กลเปลี่ยนชื่อไฟล์จากขวาไปซ้าย”
วิธีการนี้จะใช้ประโยชน์จากคาแรกเตอร์พิเศษในยูนิโค้ดเพื่อกลับลำดับของคาแรกเตอร์ในชื่อไฟล์ ซ่อนส่วนขยายชื่อไฟล์ที่อันตรายไว้ตรงกลางชื่อไฟล์ และใส่นามสกุลที่ดูไร้พิษภัยไว้ตอนท้าย วิธีการนี้ ไฟล์อย่าง .exe / .scr / .pdf จะดูปลอดภัยไม่มีอันตราย แม้แต่ผู้ใช้คอมพิวเตอร์ที่รอบคอบยังถูกหลอกได้ง่าย
ตัวอย่าง: ไฟล์มัลแวร์ที่ลงท้ายด้วย .fdp.scr จะถูกกลับเป็น .rcs.pdf
หลังจากที่เหยื่อได้รับการแพร่และติดเชื้อเรียบร้อย “เดสเสิร์ท ฟอลคอนส์” จะเลือกใช้แบ็คดอร์ตัวใดตัวหนึ่งระหว่างโทรจันหลักและแบ็คดอร์ DHS
ทูลมุ่งร้ายนี้มีฟังก์ชั่นการทำงานของแบ็คดอร์อย่างสมบูรณ์แบบ คือ ความสามารถในการถ่ายภาพหน้าจอ ล็อกแป้นพิมพ์ อัพโหลดหรือดาวน์โหลดไฟล์ เก็บข้อมูลไฟล์เวิร์ดและเอ็กเซลจากฮาร์ดดิสหรืออุปกรณ์ USB บันทึกเสียง และขโมยรหัสที่เก็บไว้ในระบบรีจิสทรี นอกจากนี้ ผู้เชี่ยวชาญยังพบมัลแวร์ที่เป็นแบ็คดอร์ของแอนดรอยด์ที่สามารถโทรออกได้เองและเก็บข้อมูลการรับส่งข้อความ
ตามล่ากลุ่ม “เดสเสิร์ท ฟอลคอนส์”
นักวิจัยของแคสเปอร์สกี้ แลป คาดว่ากลุ่ม “เดสเสิร์ท ฟอลคอนส์” นี้ทำงานร่วมกันอย่างน้อย 30 คน แบ่งเป็น 3 ทีม และแยกโจมตีแต่ละประเทศ
“บุคคลที่อยู่เบื้องหลังปฏิบัติการนี้ มีความมุ่งมั่นและมีความรู้ด้านเทคนิค การเมืองและวัฒนธรรมค่อนข้างดี การใช้เพียงฟิชชิ่งอีเมล โซเชียลเอ็นจิเนียริ่ง ทูลทั่วไปและแบ็คดอร์ ก็สามารถโจมตีเหยื่อรายสำคัญได้มากมายหลายร้อยคนในตะวันออกกลาง เราคาดว่าปฏิบัติการนี้จะพัฒนาโทรจันและเทคนิคขั้นสูงอื่นๆ อีก และเมื่อมีงบประมาณเพียงพอ กลุ่มจารชนนี้จะเร่งพัฒนาการโจมตีให้มีประสิทธิภาพมากยิ่งขึ้น” ดิมิทรี เบสทูเซฟ ผู้เชี่ยวชาญด้านความปลอดภัย ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป กล่าว
ผลิตภัณฑ์เพื่อความปลอดภับของแคสเปอร์สกี้ แลป สามารถตรวจจับและสกัดการทำงานของมัลแวร์ของกลุ่ม “เดสเสิร์ท ฟอลคอนส์” ได้ครบถ้วน
เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ติดอันดับหนึ่งในสี่ผู้ให้บริการโซลูชั่นเพื่อการปกป้องผู้ใช้คอมพิวเตอร์ที่ใหญ่ที่สุดในโลก แคสเปอร์สกี้ แลป ยังคงอยู่ในฐานะผู้นำนวัตกรรมด้านความปลอดภัยทางไอทีมายาวนานกว่า 17 ปี และนำเสนอโซลูชั่นเพื่อความปลอดภัยดิจิตอลที่มีประสิทธิภาพแก่องค์กรขนาดใหญ่ ขนาดกลาง และขนาดย่อม รวมถึงผู้ใช้งานคอมพิวเตอร์ทั่วไป แคสเปอร์สกี้ แลป จดทะเบียนบริษัทในสหราชอาณาจักร ปกป้องผู้ใช้กว่า 400 ล้านคน กว่า 200 ประเทศทั่วโลก รายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ แลป โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com
* The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2013. The rating was published in the IDC report “Worldwide Endpoint Security 2014–2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014). The report ranked software vendors according to earnings from sales of endpoint security solutions in 2013.
ติดต่อข้อมูลประชาสัมพันธ์
| เจสมอนด์ ชาง
รักษาการผู้อำนวยการฝ่ายการสื่อสารองค์กร แคสเปอร์สกี้ แลป เอเชียแปซิฟิก jesmond.chang@kaspersky.com Tel: 001.603.7962.5913 |
บูรณี จันทรปรรณิก, ณิชานันท์ ตู้จินดา
พิตอน คอมมิวนิเคชั่น buranii@PITON.biz, nichanan@PITON.biz Tel: 081.841.3767, 02.690.5681-4 |
