Breaking News

แคสเปอร์สกี้ แลป เผย “Equation Group” กลุ่มจารชนไซเบอร์ ต้นตอ Stuxnet และ Flame [Official News]

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) ได้ค้นคว้าวิจัยและสังเกตการณ์ภัยคุกคามไซเบอร์ขั้นสูงทั่วโลกกว่า 60 ตัว ในช่วงหลายปีที่ผ่านมา และเมื่อเร็วๆนี้เอง ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบตัวการใหญ่ที่ช่ำชองและมีเทคนิคซับซ้อนกว่าภัยคุกคามใด และปฏิบัติการร้ายทั่วโลกมายาวนานเกือบ 2 ทศวรรษ – “Equation Group” (อีเควชั่น กรุ๊ป)

kaspersky_eq_timeline_4_1024

ปฏิบัติการของกลุ่ม “Equation Group” มีความโดดเด่นไม่เหมือนใคร ใช้ทูลที่พัฒนายากและมีค่าใช้จ่ายสูง ทำให้เหยื่อติดเชื้อด้วยการกู้ข้อมูลและซ่อนกิจกรรมร้ายไว้อย่างแนบเนียน และใช้ประโยชน์จากเทคนิคสอดส่องอย่างลับๆ เพื่อจู่โจมเหยื่อด้วยโทรจันหลายตัว เช่น EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny และ GrayFish นอกจากนี้ยังมีโปรแกรมฝังตัวในระบบอื่นๆ อีกมากมาย

 

ความโดดเด่นของกลุ่ม “Equation Group”

  • ความทนทานและความสามารถในการล่องหนขั้นสุดยอด

ทีมวิเคราะห์และวิจัยฯ ค้นพบโมดูล 2 โมดูลที่อนุญาตให้ตั้งโปรแกรมเฟิร์มแวร์ของฮาร์ดไดรว์มากกว่า 12 แบรนด์ดังในท้องตลาดได้ใหม่ นับเป็นทูลที่มีประสิทธิภาพสูงที่สุดของกลุ่มนี้ และเป็นมัลแวร์ตัวแรกที่สามารถแพร่กระจายสู่ฮาร์ดไดรว์ได้

  • ความสามารถในการกู้คืนข้อมูลจากเน็ตเวิร์กเดี่ยว

การโจมตีของเวิร์ม Fanny โดดเด่นกว่าการโจมตีอื่นๆ ของกลุ่ม “Equation Group” มีเป้าหมายหลักเพื่อศึกษาโทโพโลจีของเน็ตเวิร์กที่เข้าไม่ถึง และสั่งการระบบโดยใช้คอมมานด์ผ่านพอร์ต USB และกลไกควบคุมที่จะอนุญาตให้ผู้โจมตีเข้าถึงข้อมูลในเน็ตเวิร์กได้

  • วิธีการสอดแนมแบบคลาสสิคเพื่อส่งต่อมัลแวร์

นอกจากการโจมตีทางไซเบอร์ผ่านเว็บไซต์แล้ว ผู้โจมตียังใช้วิธีสากลในการแพร่กระจายมัลแวร์สู่เหยื่อเคราะห์ร้าย นั่นคือผ่านอุปกรณ์ทั่วไป อย่างเช่นแผ่นซีดี โดยการใช้เทคนิคการดักจับอุปกรณ์และแทนที่ด้วยอุปกรณ์ใหม่เพื่อทำหน้าที่โทรจัน เช่น ผู้เข้าประชุมวิทยาศาสตร์ที่เมืองฮุสตัน นำแผ่นซีดีที่ได้รับจากการประชุม กลับไปเปิดด้วยคอมพิวเตอร์ส่วนตัว กลายเป็นการติดตั้ง DoubleFantasy

kaspersky_EQ_Family

สตักซ์เน็ตและเฟลม Stuxnet and Flame

ทีมวิเคราะห์และวิจัยฯ พบการเชื่อมโยงของกลุ่ม “Equation Group” กับกลุ่มจารกรรมชื่อก้องอย่าง Stuxnet และ Flame โดยกลุ่ม “Equation Group” ได้เข้าถึงซีโร่เดย์ก่อน Stuxnet และ Flame และยังแชร์เอ็กพลอตส์ร่วมกัน

ในปี 2008 Fanny ของกลุ่ม “Equation Group” ใช้ซีโร่เดย์ 2 ตัว จากนั้นในเดือนมิถุนายน 2009 และเดือนมีนาคม 2010 Stuxnet ก็ใช้ซีโร่เดย์เช่นกัน ซึ่งซีโร่เดย์ตัวหนึ่งของ Stuxnet แท้จริงคือโมดูลของ Flame ที่สร้างช่องโหว่ลักษณะเดียวกันและสร้างจากแพลตฟอร์มของ Flame อีกด้วย

 

โครงสร้างพื้นฐานที่เกี่ยวข้อง

กลุ่ม “Equation Group” ใช้โครงสร้างเซิร์ฟเวอร์ C&C บนโดเมน 300 แห่ง บนเซิร์ฟเวอร์มากกว่า 100 ตัวในหลายประเทศทั่วโลก ทั้งสหรัฐอเมริกา สหราชอาณาจักร อิตาลี เยอรมัน เนเธอร์แลนด์ ปานามา คอสตาริก้า มาเลเซีย โคลัมเบีย และสาธารณรัฐเช็ก

 

เหยื่อการโจมตี

ตั้งแต่ปี 2001 กลุ่ม “Equation Group” ได้ปฏิบัติการโจมตีเหยื่อมากกว่าหนึ่งหมื่นรายในกว่า 30 ประเทศทั่วโลก ครอบคลุมหน่วยงานรัฐบาล สถาบันทางการทูต กลุ่มธุรกิจโทรคมนาคม อวกาศ พลังงาน การวิจัยนิวเคลียร์ น้ำมันและแก๊ส หน่วยงานทางทหาร เทคโนโลยีนาโน กลุ่มเคลื่อนไหวอิสลาม สื่อมวลชน คมนาคม สถาบันการเงิน และบริษัทพัฒนาเทคโนโลยีเอ็นคริปชั่น

ผู้เชี่ยวชาญตรวจพบเหยื่อของกลุ่ม “Equation Group” มากกว่า 30 ประเทศทั่วโลก ได้แก่ รัสเซีย ซีเรีย อัฟกานิสถาน คาซัคสถาน เบลเยี่ยม โซมาเลีย ฮ่องกง ลิเบีย สหรัฐอาหรับเอมิเรตส์ อิรัก ไนจีเรีย เอกวาดอร์ เม็กซิโก มาเลเซีย สหรัฐอเมริกา ซูดาน เลบานอน ปาเลสไตน์ ฝรั่งเศส เยอรมัน สิงคโปร์ กาตาร์ ปากีสถาน เยเมน มาลี สวิตเซอร์แลนด์ บังคลาเทศ แอฟริกาใต้ ฟิลิปปินส์ สหราชอาณาจักร อินเดีย และบราซิล

 

การตรวจจับมัลแวร์

แคสเปอร์สกี้ แลป สังเกตการณ์รูปแบบการแพร่กระจาย 7 แบบที่กลุ่ม “Equation Group” ใช้ในมัลแวร์ ในจำนวนนี้ มีสี่แบบที่ใช้ช่องโหว่ซีโร่เดย์ นอกจากนี้ยังพบรูปแบบที่อาจเป็นช่องโหว่ของ Firefox 17 ในทอร์บราวเซอร์

 

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับการพยายามโจมตีผู้ใช้งานได้ แต่ความพยายามโจมตีนั้นไร้ผล เนื่องจากถูกสกัดด้วยเทคโนโลยี Automatic Exploit Prevention ของแคสเปอร์สกี้ แลป ซึ่งทำหน้าที่ตรวจจับและบล็อกการแพร่กระจายของช่องโหว่ที่ไม่รู้จัก โดยเวิร์ม Fanny ถูกตรวจจับเป็นครั้งแรกในเดือนธันวาคม 2008

kaspersky_eq_victims_map_2014

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ติดอันดับหนึ่งในสี่ผู้ให้บริการโซลูชั่นเพื่อการปกป้องผู้ใช้คอมพิวเตอร์ที่ใหญ่ที่สุดในโลก แคสเปอร์สกี้ แลป ยังคงอยู่ในฐานะผู้นำนวัตกรรมด้านความปลอดภัยทางไอทีมายาวนานกว่า 17 ปี และนำเสนอโซลูชั่นเพื่อความปลอดภัยดิจิตอลที่มีประสิทธิภาพแก่องค์กรขนาดใหญ่ ขนาดกลาง และขนาดย่อม รวมถึงผู้ใช้งานคอมพิวเตอร์ทั่วไป แคสเปอร์สกี้ แลป จดทะเบียนบริษัทในสหราชอาณาจักร ปกป้องผู้ใช้กว่า 400 ล้านคน กว่า 200 ประเทศทั่วโลก รายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ แลป โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com

* The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2013. The rating was published in the IDC report “Worldwide Endpoint Security 2014–2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014). The report ranked software vendors according to earnings from sales of endpoint security solutions in 2013.

ติดต่อข้อมูลประชาสัมพันธ์

เจสมอนด์ ชาง

รักษาการผู้อำนวยการฝ่ายการสื่อสารองค์กร

แคสเปอร์สกี้ แลป เอเชียแปซิฟิก

jesmond.chang@kaspersky.com

Tel: 001.603.7962.5913

บูรณี จันทรปรรณิก, ณิชานันท์ ตู้จินดา

พิตอน คอมมิวนิเคชั่น

buranii@PITON.biz, nichanan@PITON.biz

Tel: 081.841.3767, 02.690.5681-4

 


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Pure Storage เปิดตัว FlashArray//C ระบบ All-Flash ความจุมหาศาล พร้อมเทคโนโลยีใหม่อีกจำนวนมาก

Pure Storage ผู้ผลิต All-Flash Storage ชั้นนำ ได้ออกมาประกาศเปิดตัว Pure Storage FlashArray//C และเทคโนโลยีใหม่ๆ อีกเป็นจำนวนมาก เพื่อตอบโจทย์ความต้องการของธุรกิจองค์กรที่หลากหลายในการจัดเก็บและเข้าถึงข้อมูลผ่าน All-Flash อย่างมีประสิทธิภาพและคุ้มค่า ดังนี้