ตามรอยการโจมตีไซเบอร์งานโอลิมปิก PyeongChang 2018

เมื่อวันที่ 9 กุมภาพันธ์ที่ผ่านมาเว็บไซต์ของงานโอลิมปิกที่จัดขึ้น ณ เมือง PyeongChang ประเทศเกาหลีใต้ได้หยุดทำงานลง ผู้ชมไม่สามารถเข้าถึงบัญชีได้ ไม่สามารถดาวน์โหลดตั๋วเข้าชมเกมมาปริ้น รวมถึงสัญญานไวไฟแย่ลงชั่วคราวและระบบโทรทัศน์ด้วยเช่นกัน เป็นเวลากว่า 12 ชั่วโมงกว่าทีมงานด้านความมั่นคงปลอดภัยจะนำระบบกลับมาได้ หลังจากนั้นผู้จัดงานจึงได้ออกมายอมรับว่าเกิดปัญหาขึ้นจริงระหว่างการเปิดงานและส่งผลกระทบกับหลายระบบ

credit : Sportinsights.com

มัลแวร์ตั้งใจทำลายล้างเท่านั้นและไม่มีการขโมยข้อมูลออกไป

Cisco Talos หรือทีมวิจัยด้านภัยคุกคามของ Cisco ได้วิเคราะห์ถึงการโจมตีครั้งนี้พบว่ามัลแวร์ตั้งใจเข้ามาทำลายล้างเท่านั้น ไม่ปรากฏการขโมยข้อมูลออกไปแต่อย่างใด โดยนักวิจัยนาย Warren Mercer และ Paul Rascagneres กล่าวว่า “มัลแวร์ตัวนี้มุ่งทำให้เครื่องใช้งานไม่ได้โดยลบ Shadow copies, Event Logs และใช้ PsEXE (คำสั่งที่ช่วย Execute Process บนระบบอื่นโดยไม่ต้องติดตั้งซอฟต์แวร์ Client) และ WMI (การบริหารจัดการข้อมูลและปฏิบัติการของ Windows ซึ่งสามารถเขียน Script เพื่อดึงข้อมูลระบบที่ต้องการมาได้ด้วย) เพื่อหาข้อมูลในสภาพแวดล้อมนั้นต่อไป ซึ่งตรงนี้เองมีความคล้ายคลึงกันกับวิธีของ BadRabbit และ Nyetya

ขั้นตอนการทำงานของมัลแวร์ ‘Olympic Destroyer’

  • แฮ็กเกอร์ปล่อย Olympic Destroyer เข้าไปในระบบ
  • Olympic Destroyer ติดตั้ง 2 ไฟล์เพื่อขโมย Credentials ของ Browser และในระบบ
  • ขโมย Credentials ใน Browser เช่น Chrome, Firefox และ IE
  • ขโมยข้อมูลใน Window LSASS (Local Security Authority Subsubsystem Service)
  • Olympic Destroyer ดู ARP Table ของโฮสต์
  • Olympic Destroyer ใช้ WMI เพื่อหาโฮสต์อื่นในเครือข่าย
  • Olympic Destroyer ใช้ Credentials ที่ขโมยมาได้ฝังไปในไบนารีไฟล์และกระจายไปยังเครื่ออื่น (ใช้เครื่องมือ PsExec ช่วย)
  • ใช้ VSSAdmin ลบสำเนา Shadow volumn ทิ้ง (ป้องกันการ Recovery ข้อมูล)
  • Olympic Destroyer ใช้ cmd.exe และ WBAdmin.exe ลบ Catalog การสำรองข้อมูลของระบบปฏิบัติการ (ป้องกันการ Recovery ข้อมูล)
  • Olympic Destroyer ใช้ cmd.exe และ BCEdit.exe ปิดคอนโซลการ Recovery ข้อมูลในขั้นตอนก่อนโหลด Window ทำให้ไม่สามารถซ่อมตัวเองได้
  • Olympic Destroyer ลบ Event Log ของระบบและความมั่นคงปลอดภัยบน Windows เพื่อปิดบังร่องรอย
  • ปิดทุก Services บน Windows
  • สั่งปิดเครื่องซึ่งจะไม่สามารถกลับมาทำงานได้เพราะ Services ถูกปิดหมด

แม้ว่ายังคงสรุปไม่ได้ว่าเป็นฝีมือของใครเพราะยังมีความเห็นแตกต่างกันหลายด้านบ้างว่าเป็นของเกาหลีเหนือเพราะเป็นภาวะสงครามอยู่แล้ว มีอีกหลายฝ่ายคาดว่าอาจเป็นรัสเซียเนื่องจากถูกคณะกรรมการโอลิมปิกสั่งแบนนักกีฬาจากรัสเซียไม่ให้เข้าร่วมในหลายรายการถือเป็นการแก้แค้น อีกทั้งมีความคล้ายกับวิธีปฏิบัติการของ Bad Rabbit ที่มีการฝัง Hard-coded Credentials แต่ก็มีผู้เชี่ยวชาญบางคนกล่าวว่าโค้ดของมัลแวร์มีความเชื่อมโยงกับแฮ็กเกอร์ชาวจีนเช่นกัน อย่างไรก็ดีคงต้องรอให้ทีมงานสืบสวนเพื่อหาข้อมูลในเชิงลึกต่อไป

ที่มา : https://www.bleepingcomputer.com/news/security/destructive-malware-wreaks-havoc-at-pyeongchang-2018-winter-olympics/ และ https://www.scmagazine.com/2018-winter-olympic-games-hit-with-destroyer-malware-during-opening-ceremony/article/743811/ และ https://www.forbes.com/sites/leemathews/2018/02/12/hackers-attacked-the-olympics-during-the-opening-ceremonies/#64912e265a5e


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

“ฟอร์ติเน็ตจับมือมหาวิทยาลัยศรีปทุม” เพื่อลดช่องว่างด้านทักษะ เพื่อต่อสู้ภัยไซเบอร์ของบุคลากรไทย [Guest Post]

“เปิดโอกาสให้บุคลากรไทยเข้าถึงหลักสูตรความรู้ด้านความปลอดภัยไซเบอร์ระดับโลกล่าสุดของฟอร์ติเน็ต เพื่อปั้นผู้เชี่ยวชาญมืออาชีพรุ่นเน็กซ์เจนเนอเรชั่น” ฟอร์ติเน็ต ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจร ได้ลงนามในบันทึกความเข้าใจ (MOU) กับมหาวิทยาลัยศรีปทุม เพื่อจัดหลักสูตรการฝึกอบรมและออกประกาศนียบัตรด้านความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในอุตสาหกรรมระดับโลกให้นักศึกษาของไทย ความร่วมมือครั้งสำคัญนี้จะช่วยให้นักศึกษาของมหาวิทยาลัยศรีปทุมเพิ่มทักษะด้านการรักษาความปลอดภัยไซเบอร์ที่ตรงกับความต้องการขององค์กรในประเทศไทยจากหลักสูตรที่ได้รับรางวัลของฟอร์ติเน็ต เพื่อเตรียมให้นักศึกษาพร้อมเป็นผู้เชี่ยวชาญ ลดช่องว่างด้านทักษะ ช่วยสร้างโลกดิจิทัลของไทยให้ปลอดภัย

เดลล์ เทคโนโลยีส์ ประกาศเสริมความแข็งแกร่งในการเตรียมพร้อมเพื่อการรับมือกับภัยคุกคามไซเบอร์ด้วยนวัตกรรมด้านความปลอดภัยและการปกป้องข้อมูลบนมัลติคลาวด์ [Guest Post]

ซอฟต์แวร์ที่ทำงานด้วยพลังของ AI จากเดลล์ และความสามารถในการดูแลรักษาความปลอดภัยในการปฏิบัติงานช่วยขับเคลื่อนการทำงานแบบ Zero Trust ที่ปกป้องทั้งข้อมูล พร้อมลดความเสี่ยงจากการโจมตีทางไซเบอร์