[PR] แคสเปอร์สกี้ แลปเปิดโปง เดอะ โพไซดอน กรุ๊ป: ร้านค้าขายมัลแวร์ มีปฏิบัติการทั้งบนบก อากาศ และทางทะเล

ทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ประกาศการค้นพบ เดอะ โพไซดอน กรุ๊ป ( the Poseidon Group ) ตัวการภัยจารกรรมไซเบอร์ขั้นแอดว้านซ์ที่ป่วนทั่วโลกออกปฏิบัติการมาตั้งแต่ปี 2005 วางตัวเชิงพานิชย์สามารถซื้อขายได้ ทำให้เดอะโพไซดอนกรุ๊ปโดดเด่นกว่ากลุ่มอื่น ๆ สามารถปรับแต่งมัลแวร์ สร้างลายเซ็นดิจิตอล พร้อมใบรับรองที่ปลอมขึ้นมาอย่างแนบเนียนจนสามารถที่จะเล็ดลอดไปโจรกรรมข้อมูลลับสำคัญ ๆ จากเหยื่อเป้าหมายเพื่อขู่กรรโชกบังคับให้ทำธุรกิจด้วยตามที่ต้องการ นอกจากนั้น มัลแวร์นี้ออกแบบให้ทำงานบนเครื่องที่ลงวินโดวส์เวอร์ชั่นอังกฤษและบราซิลเลี่ยน-โปรตุเกสโดยเฉพาะ ถือเป็นภัยคุกคามแบบมีเป้าหมายตัวแรกเลยทีเดียว

พบองค์กรที่ตกเป็นเป้าหมาย อย่างน้อยถึง 35 ราย ทั้งภาคการเงินและหน่วยงานของรัฐ โทรคมนาคม ภาคการผลิต พลังงานและบริษัทบริการสาธารณูปโภค รวมทั้งบริษัทสื่อและประชาสัมพันธ์ ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลปยังได้ตรวจพบการบุกจู่โจมบริษัทที่ให้บริการแก่ลูกค้าที่เป็นผู้บริหารขององค์กรระดับสูงซึ่งเหยื่อระดับนี้พบในประเทศเหล่านี้:

  • สหรัฐอเมริกา
  • ฝรั่งเศส
  • คาซัคสถาน
  • อาหรับเอมิเรตส์
  • อินเดีย
  • รัสเซีย

kaspersky-lab-poseidon-group-2

อย่างไรก็ตาม การแพร่กระจายหาเหยื่อจะเอนเอียงมาจากบราซิลเสียส่วนมาก เนื่องจากเหยื่อส่วนมากมีการร่วมทุนหรือทำธุรกิจลักษณะเป็นพาร์ตเนอร์กัน

ลักษณะพิเศษเฉพาะตัวอย่างหนึ่งของเดอะโพไซดอนกรุ๊ปคือ การสำรวจหาระบบเครือข่ายของคอร์ปอเรทแบบโดเมนเบส ( domain-based corporate networks ) จากรายงานการวิเคราะห์ของแคสเปอร์สกี้ แลป เดอะโพไซดอนกรุ๊ปอาศัยสเปียร์ฟิชชิ่งอีเมล์ด้วยไฟล์ RTF/DOC และมักจะเป็นไฟล์หลอกล่อเรื่องเกี่ยวกับทรัพยากรบุคคล ( usually with a human resources lure ) ที่จะแอบหยอดไบนารี่ร้ายกาจเข้าสู่ระบบของเหยื่อเมื่อเหยื่อคลิกไฟล์นั้น อีกหนึ่งอย่างที่ค้นพบ คือ สตริงในเวอร์ชั่นภาษาบราซิลเลี่ยน-โปรตุเกส จากข้อมูลที่ค้นพบ กรุ๊ปนี้ชื่นชอบระบบเวอร์ชั่นภาษาบราซิลเลี่ยนมากเป็นพิเศษ ซึ่งเป็นรูปแบบที่ยังไม่เคยพบมาก่อน

เมื่อเครื่องคอมพิวเตอร์ติดเชื้อมัลแวร์ จะทำการรายงานตัวไปยังเซิร์ฟเวอร์คอมมานด์และคอนโทรลก่อนที่จะเริ่มปฏิบัติการที่มีความซับซ้อนเชิงคู่ขนาน ในเฟสแรกของการบุกรุกนี้มักจะใช้เครื่องมือที่สามารถดักเก็บข้อมูลประเภทต่าง ๆ ได้รุนแรงในแบบอัตโนมัติ ไม่ว่าจะเป็นข้อมูลสำคัญส่วนตัว นโยบายบริหาร แม้แต่ข้อมูลการล็อคเข้าระบบเพื่อนำมาใช้ประโยชน์ในการแอบซ่อนกลับเข้ามายังระบบได้ดียิ่งขึ้นกว่าเดิม และเพื่อให้การทำงานของมัลแวร์ดียิ่งขึ้นไปอีกนั่นเอง ด้วยพฤติกรรมเช่นนี้ ผู้บุกรุกมักจะรู้แอพพลิเคชั่นหรือคอมมานด์ที่ตนสามารถจะใช้ก่อการร้ายได้โดยไม่ทำให้ผู้ดูแลระบบรู้ตัวเสียก่อน ทั้งในระหว่างปฏิบัติการคู่ขนานและการคัดกรอง

kaspersky-lab-poseidon-group

ข้อมูลที่รวบรวมดักเก็บมาได้นั้นจะถูกนำมาใช้งานโดยธุรกิจบังหน้าเพื่อล่อหลอกบริษัทเหยื่อเป้าหมายให้ทำสัญญากับเดอะโพไซดอนกรุ๊ป แต่งตั้งให้เป็นที่ปรึกษาด้านระบบความปลอดภัย ภายใต้การข่มขู่ว่าหากไม่ยินยอมตาม ก็จะนำข้อมูลการติดต่อธุรกิจที่มีลับลมคมในที่ดักเก็บไปได้เหล่านั้นมาใช้เล่นงานเพื่อให้เกิดประโยชน์แก่ทางโพไซดอนเอง

“เดอะโพไซดอนกรุ๊ปเป็นทีมที่ปฏิบัติการมานานและทำงานได้บนโดเมนทุกแบบ: บนบก อากาศ และทางน้ำ ศูนย์คอมมานด์และคอนโทรลบางศูนย์ถูกพบว่าซุกซ่อนอยู่ในผู้ให้บริการอินเทอร์เน็ตที่ให้บริการอินเตอร์เน็ตแก่เรือเดินสมุทร การติดต่อสื่อสารไร้สาย รวมทั้งซ่อนอยู่ในผู้ให้บริการสื่อสารทั่วไปอีกด้วย” ดิมิทรี เบสตูเชฟ ผู้อำนวยการ ทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ภูมิภาคละตินอเมริกา กล่าว “นอกจากนี้ ยังพบการฝังตัวแอบซ่อนหลายที่ที่มีช่วงเวลาการทำงานเพียงสั้น ๆ ซึ่งมีส่วนช่วยสนับสนุนปฏิบัติการของกรุ๊ปในการทำงานในต่อเนื่องระยะยาวและไม่ถูกตรวจจับได้นั่นเอง”

เนื่องจากเดอะโพไซดอนกรุ๊ปปฏิบัติการอาละวาดก่อความเดือดร้อนมากว่าสิบปีแล้ว เทคนิคที่ใช้ออกแบบการฝังตัวมีการพัฒนามาจนเป็นการยากมากที่นักวิจัยจะหาตัวเชื่อมโยงเพื่อระบุตัวตน และปะติดปะต่อภาพรวมทั้งหมดได้ อย่างไรก็ตาม จากหลักฐานที่เก็บรวบรวมมาอย่างระมัดระวังโดยตลอด และทำงานร่วมกับผู้เชี่ยวชาญในการออกแบบภัยคุกคามไซเบอร์ รวมทั้งสร้างตารางเวลาเลียนแบบศึกษาพฤติกรรมของผู้ร้ายขึ้นมาใหม่นั้น ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลปจึงสามารถที่จะตรวจจับร่องรอยที่ไม่เคบพบมาก่อนได้เมื่อกลางปี 2015 ซึ่งเป็นร่องรอยของผู้ออกแบบภัยคุกคามกลุ่มเดียวกัน นั่นคือ เดอะโพไซดอนกรุ๊ป นั่นเอ

ผลิตภัณฑ์จากแคสเปอร์สกี้ แลปสามารถตรวจจับและลบคอมโพเน้นท์ที่ได้ตรวจพบแล้วของเดอะโพไซดอนกรุ๊ปได้ทุกเวอร์ชั่น

  • ศึกษาเกี่ยวกับการคุกคามที่มีเป้าหมายชัดเจนที่กำลังตรวจสอบอยู่ได้ที่:
    http://www.youtube.com/watch?v=FzPYGRO9LsA
  • อ่านเกี่ยวกับปฏิบัติการจารกรรมไซเบอร์ได้ที่: https://apt.securelist.com/

 

เกี่ยวกับแคสเปอร์สกี้ แลป

kaspersky_logo

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Windows เถื่อน ระบาดหนักขึ้นในรัสเซีย

จากข้อมูลการค้นหาใน Google เกี่ยวกับวิธีการเปิดใช้งาน “Windows 10 Activate” เพิ่มขึ้นมากถึง 250% สำหรับในช่วงเวลาแค่สามเดือนที่ผ่านมาเท่านั้น ซึ่งเป็นวิถีของการเอาตัวรอดจากการโดน Microsoft คว่ำบาตรล่าสุด  

Dynatrace Webinar: เตรียมรับความท้าทายด้าน Observability เมื่อ Cloud Native กลายเป็นตัวหลักในระบบ IT

DPM Thailand ร่วมกับ Dynatrace ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมงานสัมมนาออนไลน์เรื่อง "เตรียมรับความท้าทายด้าน Observability เมื่อ Cloud Native กลายเป็นตัวหลักในระบบ IT" ในวันพุธที่ 6 กรกฎาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี