Black Hat Asia 2021

[PR] เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

เมื่อเดือนกันยายน 2558 ที่ผ่านมา แพล็ตฟอร์มต่อต้านการโจมตีแบบพุ่งเป้าแคสเปอร์สกี้ แลป ( Anti-Targeted Attack Platform ) ตรวจพบสิ่งผิดปกติในเน็ตเวิร์กองค์กรของลูกค้า นักวิจัยศึกษาต่อและพบ “ProjectSauron” ( โปรเจ็คเซารอน ) ซึ่งเป็นผู้ก่อภัยคุกคามระดับชาติ มุ่งโจมตีองค์กรของรัฐโดยใช้เครื่องมือเฉพาะสำหรับเหยื่อแต่ละราย ทำให้วิธีการบ่งชี้ว่าระบบถูกแฮกนั้นเกือบสูญประโยชน์ ภัยคุกคามนี้มีเป้าหมายเพื่อเป็นการจารกรรมไซเบอร์โดยเฉพาะ

kaspersky-lab-warn-projectsauron

“ProjectSauron” สนใจช่องทางการสื่อสารที่เข้ารหัสเป็นพิเศษ ใช้แพลตฟอร์มจารกรรมไซเบอร์แบบโมดูลลาร์ขั้นสูงในการเข้าถึงช่องทาง พร้อมเครื่องมือและเทคนิคเฉพาะ กลยุทธ์ที่น่าจับตามองคือการหลบเลี่ยงแพทเทิร์นอย่างรอบคอบ “ProjectSauron” จะจัดแต่งอิมแพลนต์และอินฟราสตรักเจอร์สำหรับเหยื่อแต่ละราย และไม่มีการนำมาใช้ซ้ำ วิธีการเช่นนี้ เมื่อนำไปใช้ร่วมกับรูทหลายเส้นทางที่ใช้ส่งต่อข้อมูลที่ถูกขโมย ( เช่น ช่องทางอีเมลที่ถูกกฎหมาย และระบบโดเมนเนม หรือ DNS ) จะทำให้ “ProjectSauron” สามารถสร้างแคมเปญลับในการลักลอบสืบข้อมูลระยะยาวในเน็ตเวิร์กของเป้าหมาย

“ProjectSauron” เป็นผู้ก่อภัยคุกคามแบบดั้งเดิมที่มีประสบการณ์มาก มีความมุ่งมั่นพยายามเรียนรู้จากผู้ก่อภัยคุกคามขั้นสูงรายอื่น ๆ อย่าง Duqu, Flame, Equation และ Regin รวมถึงนำเทคนิคนวัตกรรมใหม่ ๆ มาใช้ และปรับปรุงกลยุทธ์เพื่อการพรางตัว

ประเภทของเหยื่อ

ปัจจุบันมีองค์กรตกเป็นเหยื่อของ “ProjectSauron” มากกว่า 30 ราย พบในประเทศรัสเซีย อิหร่าน รวันดา และอีกหลายประเทศที่ใช้ภาษาอิตาเลี่ยนในการสื่อสาร ผู้เชี่ยวชาญเชื่อว่ายังมีองค์กรมากมายในหลายประเทศที่ได้รับผลกระทบ นอกจากนี้ยังแบ่งประเภทขององค์กรได้แก่ รัฐบาล หน่วยงานทางทหาร ศูนย์วิจัยทางวิทยาศาสตร์ ผู้ประกอบการโทรคมนาคม และสถาบันการเงิน

การวิเคราะห์ทางนิติเวชระบุว่า “ProjectSauron” เริ่มดำเนินการตั้งแต่เดือนมิถุนายน 2011 และยังทำงานอยู่จนถึงปัจจุบัน ส่วนเว็คเตอร์ที่ใช้ในการติดเชื้อตั้งแต่แรกเริ่มนั้นเพื่อบุกรุกเน็ตเวิร์กของเหยื่อนั้นยังไม่ปรากฏแน่ชัด มีเป้าหมายหลักในการโจมตีคือการขโมยข้อมูลความลับจากองค์กรรัฐ

วิทาลี คามลัก นักวิจัยด้านซิเคียวริตี้ของแคสเปอร์สกี้ แลป กล่าวว่า “จำนวนการโจมตีแบบพุ่งเป้าจะขึ้นอยู่กับเครื่องมือต้นทุนต่ำที่พร้อมใช้งาน ProjectSauron ใช้เครื่องมือที่ทำขึ้นเองและโค้ดสคริปต์ที่ปรับแต่งได้ การใช้เทคนิคล้ำสมัยที่หยิบยืมมาจากผู้โจมตีรายอื่นนับเป็นเรื่องใหม่ ทางเดียวที่จะป้องกันตัวจากภัยคุกคามประเภทนี้ได้คือต้องมีเลเยอร์ซิเคียวริตี้หลาย ๆ ชั้น มีตัวเซ็นเซอร์ที่คอยมอนิเตอร์สิ่งผิดปกติแม้เพียงเล็กน้อยภายในระบบการทำงานขององค์กร นอกจากนี้ ยังต้องมีซอฟต์แวร์อัจฉริยะและการวิเคราะห์ภัยคุกคามทางนิติเวชเพื่อค้นหารูปแบบการโจมตี”

วิทาลี คามลัก นักวิจัยด้านซิเคียวริตี้ของแคสเปอร์สกี้ แลป
วิทาลี คามลัก นักวิจัยด้านซิเคียวริตี้ของแคสเปอร์สกี้ แลป

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป แนะนำให้องค์กรตรวจสอบเน็ตเวิร์กไอทีและเครื่องเอ็นพ้อยต์ภายในองค์กร และดำเนินมาตรการดังต่อไปนี้

  • เริ่มใช้โซลูชั่นป้องกันการโจมตีแบบพุ่งเป้าควบคู่ไปกับการป้องกันเครื่องเอ็นพ้อยต์ เนื่องจากการป้องกันเครื่องเอ็นพ้อยต์เพียงอย่างเดียวไม่สามารถป้องกันภัยคุกคามใหม่ ๆ ได้
  • เรียกผู้เชี่ยวชาญเมื่อพบสิ่งผิดปกติ โซลูชั่นซีเคียวริตี้ระดับสูงมาก ๆ จะสามารถตรวจจับการโจมตีที่เกิดขึ้น และบางครั้งเจ้าหน้าที่ด้านซีเคียวริตี้ก็สามารถวิเคราะห์ แก้ไขและบล็อกการโจมตีครั้งใหญ่ ๆ ได้อย่างมีประสิทธิภาพ
  • เสริมการปกป้องด้วยเซอร์วิสอัจฉริยะ ซึ่งจะแจ้งเตือนทีมซีเคียวริตี้เกี่ยวกับวิวัฒนาการของภัยคุกคาม แนวโน้มการโจมตี และสัญญาณเตือนเพื่อเฝ้าระวัง
  • การโจมตีครั้งใหญ่ ๆ มักเริ่มต้นจากการสเปียร์ฟิชชิ่งและการเข้าถึงพนักงานองค์กร จึงต้องจัดฝึกอบรมพนักงานให้เข้าใจและมีพฤติกรรมไซเบอร์ที่เหมาะสม

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับ “ProjectSauron” ได้ในชื่อ HEUR:Trojan.Multi.Remsec.gen

ข้อมูลเพิ่มเติม

About TechTalkThai_PR

Check Also

[Guest Post] Find the Balance สร้างสิ่งที่ใช่และ trust ในใจลูกค้า

“จากข้อมูลการออกกำลังกายตอนเช้าที่อัพโหลดลงโซเชียลมีเดีย สิ่งที่ซื้อบนระบบอีคอมเมิร์ซในช่วงพักกลางวัน หรือการสั่งอาหารทางออนไลน์ในช่วงเย็น” จะด้วยความตั้งใจหรือไม่ก็ตาม “ข้อมูล” ที่ผู้ใช้งานได้สร้างและแชร์ไว้บนแพลตฟอร์มหรือแอปพลิเคชั่นต่างๆ ได้กลายเป็น “โปรดักส์และตัวเชื่อมสำคัญ” ที่ทำให้องค์กรธุรกิจผู้เก็บรวบรวมข้อมูล “รู้จักตัวตน ความคิด ความต้องการของผู้ใช้งานมากขึ้น” พร้อมกับแบ่งปันโอกาสที่มีมูลค่านี้ไปยัง “บุคคลที่สาม” เพื่อใช้ในการขับเคลื่อนกลยุทธ์ทางการตลาด …

[BHAsia 2021] 6 ความท้าทายด้าน Cybersecurity และสิ่งที่ธุรกิจคาดหวังจากผู้ให้บริการระดับโลกโดย Omdia

ภายในงานสัมมนา Black Hat Asia 2021 ที่เพิ่งจบไป Omdia บริษัทวิจัยและที่ปรึกษาด้านเทคโนโลยีชื่อดังจากสหราชอาณาจักร ออกมาเปิดเผยถึง 6 ความท้าทายด้าน Cybersecurity ที่ทุกองค์กรทั่วโลกต่างต้องเผชิญในยุค COVID-19 รวมไปถึงสิ่งที่ธุรกิจองค์กรขนาดใหญ่ควรพิจารณาเมื่อต้องใช้บริการจาก …