แคสเปอร์สกี้ แลป เปิดโปง “Desert Falcons” กลุ่มจารชนไซเบอร์อาหรับรายแรกของโลก โจมตีเหยื่อหลายพัน [Official News]

kaspersky_logo

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) เปิดเผยการค้นพบ “เดสเสิร์ท ฟอลคอนส์” (Desert Falcon) กลุ่มจารชนไซเบอร์ที่พุ่งเป้าโจมตีองค์กรระดับสูงและบุคคลมีชื่อเสียงในประเทศแถบตะวันออกกลาง ผู้เชี่ยวชาญระบุว่า กลุ่มจารชนนี้นับเป็นกลุ่มไซเบอร์รับจ้างเชื้อสายอาหรับรายแรกที่พัฒนาและปฏิบัติการโจมตีไซเบอร์เต็มรูปแบบ

kaspersky_Desert_Falcons_APT_Geography

  • การโจมตีของ “เดสเสิร์ท ฟอลคอนส์” นี้เริ่มขึ้นในปี 2011 และเริ่มปฏิบัติการในปี 2013 แต่ภารกิจโจมตีที่ร้ายแรงเกิดขึ้นในปี 2015 นี้เอง
  • เป้าหมายใหญ่อยู่ในประเทศอียิปต์ ปาเลสไตน์ อิสราเอล และจอร์แดน
  • นอกจากประเทศในกลุ่มตะวันออกกลางแล้ว “เดสเสิร์ท ฟอลคอนส์” ยังขยายอาณาเขตไปทั่วโลก ปัจจุบันตรวจพบไฟล์ที่ถูกขโมยมากกว่าหนึ่งล้านไฟล์ มีผู้เสียหายกว่ามากกว่า 3 พันใน 50 ประเทศทั่วโลก
  • ผู้โจมตีใช้ทูลประสงค์ร้ายในการโจมตีคอมพิวเตอร์ระบบวินโดวส์และอุปกรณ์พกพาระบบแอนดรอยด์
  • ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบหลักฐานชี้ชัดหลายข้อ ทำให้เชื่อว่าผู้โจมตีมีเชื้อสายอาหรับ

เหยื่อของการโจมตีนี้ประกอบด้วย องค์กรทางทหารและรัฐบาล โดยเฉพาะพนักงานที่รับผิดชอบดูแลด้านการต่อต้านการฟอกเงิน เศรษฐกิจและสุขภาพ สื่อมวลชน สถาบันวิจัยและการศึกษา ผู้ให้บริการพลักงานและสาธารณูปโภค นักเคลื่อนไหวและผู้นำทางการเมือง บริษัทด้านความปลอดภัย และเป้าหมายอื่นๆ ที่ทำงานเกี่ยวข้องกับข้อมูลภูมิรัฐศาสตร์

นอกจากเป้าหมายหลักของปฏิบัติการอยู่ในประเทศอียิปต์ ปาเลสไตน์ อิสราเอล และจอร์แดน แล้ว ยังพบเหยื่อในประเทศการ์ต้า ซาอุดิอาระเบีย สหรัฐอาหรับเอมิเรตส์ อัลจีเรีย เลบานอน นอร์เวย์ ตุรกี สวีเดน ฝรั่งเศส สหรัฐอเมริกา รัสเซีย และประเทศอื่นๆ มากกว่า 50 ประเทศทั่วโลก

การแพร่กระจาย การติดเชื้อ การสอดแนม

kaspersky_Desert_Falcons_APT_stolen_files

กลุ่ม “เดสเสิร์ท ฟอลคอนส์” ใช้วิธีสเปียร์ฟิชชิ่งผ่านอีเมล โซเชียลเน็ตเวิร์ก และข้อความแชท เป็นวิธีการหลักในการแพร่กระจายมัลแวร์ ข้อความฟิชชิ่งจะมาพร้อมไฟล์หรือลิ้งก์มุ่งร้ายที่แฝงตัวเป็นเอกสารหรือแอพพลิเคชั่นต่างๆ และอีกวิธีคือการใช้เทคนิคที่เรียกว่า “กลเปลี่ยนชื่อไฟล์จากขวาไปซ้าย”

วิธีการนี้จะใช้ประโยชน์จากคาแรกเตอร์พิเศษในยูนิโค้ดเพื่อกลับลำดับของคาแรกเตอร์ในชื่อไฟล์ ซ่อนส่วนขยายชื่อไฟล์ที่อันตรายไว้ตรงกลางชื่อไฟล์ และใส่นามสกุลที่ดูไร้พิษภัยไว้ตอนท้าย วิธีการนี้ ไฟล์อย่าง .exe / .scr / .pdf จะดูปลอดภัยไม่มีอันตราย แม้แต่ผู้ใช้คอมพิวเตอร์ที่รอบคอบยังถูกหลอกได้ง่าย

ตัวอย่าง: ไฟล์มัลแวร์ที่ลงท้ายด้วย .fdp.scr จะถูกกลับเป็น .rcs.pdf

หลังจากที่เหยื่อได้รับการแพร่และติดเชื้อเรียบร้อย “เดสเสิร์ท ฟอลคอนส์” จะเลือกใช้แบ็คดอร์ตัวใดตัวหนึ่งระหว่างโทรจันหลักและแบ็คดอร์ DHS

ทูลมุ่งร้ายนี้มีฟังก์ชั่นการทำงานของแบ็คดอร์อย่างสมบูรณ์แบบ คือ ความสามารถในการถ่ายภาพหน้าจอ ล็อกแป้นพิมพ์ อัพโหลดหรือดาวน์โหลดไฟล์ เก็บข้อมูลไฟล์เวิร์ดและเอ็กเซลจากฮาร์ดดิสหรืออุปกรณ์ USB บันทึกเสียง และขโมยรหัสที่เก็บไว้ในระบบรีจิสทรี นอกจากนี้ ผู้เชี่ยวชาญยังพบมัลแวร์ที่เป็นแบ็คดอร์ของแอนดรอยด์ที่สามารถโทรออกได้เองและเก็บข้อมูลการรับส่งข้อความ

ตามล่ากลุ่ม  “เดสเสิร์ท ฟอลคอนส์”

kaspersky_Desert_Falcons_APT_timeline

นักวิจัยของแคสเปอร์สกี้ แลป คาดว่ากลุ่ม “เดสเสิร์ท ฟอลคอนส์” นี้ทำงานร่วมกันอย่างน้อย 30 คน แบ่งเป็น 3 ทีม และแยกโจมตีแต่ละประเทศ

“บุคคลที่อยู่เบื้องหลังปฏิบัติการนี้ มีความมุ่งมั่นและมีความรู้ด้านเทคนิค การเมืองและวัฒนธรรมค่อนข้างดี การใช้เพียงฟิชชิ่งอีเมล โซเชียลเอ็นจิเนียริ่ง ทูลทั่วไปและแบ็คดอร์ ก็สามารถโจมตีเหยื่อรายสำคัญได้มากมายหลายร้อยคนในตะวันออกกลาง เราคาดว่าปฏิบัติการนี้จะพัฒนาโทรจันและเทคนิคขั้นสูงอื่นๆ อีก และเมื่อมีงบประมาณเพียงพอ กลุ่มจารชนนี้จะเร่งพัฒนาการโจมตีให้มีประสิทธิภาพมากยิ่งขึ้น” ดิมิทรี เบสทูเซฟ ผู้เชี่ยวชาญด้านความปลอดภัย ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป กล่าว

ผลิตภัณฑ์เพื่อความปลอดภับของแคสเปอร์สกี้ แลป สามารถตรวจจับและสกัดการทำงานของมัลแวร์ของกลุ่ม “เดสเสิร์ท ฟอลคอนส์” ได้ครบถ้วน

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ติดอันดับหนึ่งในสี่ผู้ให้บริการโซลูชั่นเพื่อการปกป้องผู้ใช้คอมพิวเตอร์ที่ใหญ่ที่สุดในโลก แคสเปอร์สกี้ แลป ยังคงอยู่ในฐานะผู้นำนวัตกรรมด้านความปลอดภัยทางไอทีมายาวนานกว่า 17 ปี และนำเสนอโซลูชั่นเพื่อความปลอดภัยดิจิตอลที่มีประสิทธิภาพแก่องค์กรขนาดใหญ่ ขนาดกลาง และขนาดย่อม รวมถึงผู้ใช้งานคอมพิวเตอร์ทั่วไป แคสเปอร์สกี้ แลป จดทะเบียนบริษัทในสหราชอาณาจักร ปกป้องผู้ใช้กว่า 400 ล้านคน กว่า 200 ประเทศทั่วโลก รายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ แลป โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com

* The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2013. The rating was published in the IDC report “Worldwide Endpoint Security 2014–2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014). The report ranked software vendors according to earnings from sales of endpoint security solutions in 2013.

ติดต่อข้อมูลประชาสัมพันธ์

เจสมอนด์ ชาง

รักษาการผู้อำนวยการฝ่ายการสื่อสารองค์กร

แคสเปอร์สกี้ แลป เอเชียแปซิฟิก

jesmond.chang@kaspersky.com

Tel: 001.603.7962.5913

บูรณี จันทรปรรณิก, ณิชานันท์ ตู้จินดา

พิตอน คอมมิวนิเคชั่น

buranii@PITON.biz, nichanan@PITON.biz

Tel: 081.841.3767, 02.690.5681-4


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] งานแถลงข่าวกลุ่มย่อย ในหัวข้อ “The Culture of Innovation” การสร้างวัฒนธรรมของสตาร์ทอัพ กุญแจสู่การสร้างวัฒนธรรมด้านนวัตกรรม ของ อะเมซอน เว็บ เซอร์วิสเซส (ประเทศไทย)

วันที่ 28 มิถุนายน 2565 : Amazon เป็นแพลตฟอร์มที่สร้างสตาร์ทอัพที่ประสบความสำเร็จระดับโลกมากมาย เช่น Netflix, Stripe และ Airbnb ไปจนถึงสตาร์ทอัพในภูมิภาคเอเชียแปซิฟิค ไม่ว่าจะเป็น Grab, …

Effortless: เทรนด์ใหม่ที่เหนือกว่าแค่คำว่าง่าย ในการบริหารจัดการ Enterprise Storage

การบริหารจัดการระบบ IT ได้อย่างง่ายดายนั้นถือเป็นสิ่งที่จะสามารถช่วยให้ผู้ดูแลระบบ IT สามารถทำงานได้อย่างมีประสิทธิภาพมากยิ่งขึ้น แต่นิยามคำว่าง่ายของผู้พัฒนาเทคโนโลยีนั้นก็แตกต่างกันออกไป ทำให้หลายครั้งถึงแม้ว่าระบบ IT หนึ่งๆ จะดูเหมือนว่าสามารถบริหารจัดการได้ง่าย แต่เมื่อใช้งานจริงแล้วกลับต้องพบกับอุปสรรคอย่างมากมาย Pure Storage ในฐานะของผู้นำทางด้านเทคโนโลยี All …