WikiLeaks ออกมาเปิดเผยเครื่องมือที่ CIA ใช้ Hack ทั่วโลก ระบุมีทีมสร้าง Malware โดยเฉพาะ

นับเป็นเรื่องใหญ่ไม่น้อย เมื่อ WikiLeaks ได้ออกมาเปิดเผยในโครงการ Vault 7 ถึงข้อมูลที่ได้รับมาจากหน่วยงาน Central Intelligence Agency หรือ CIA เกี่ยวกับเอกสารและเครื่องมือต่างๆ ที่ทาง CIA ใช้ในการ Hack รวมไปถึง Malware ต่างๆ ที่ถูกพัฒนาขึ้นมาโดยเฉพาะด้วย และมีผู้ผลิตหลายรายที่ตกเป็นเป้าของการโจมตี ไม่ว่าจะเป็น Apple, Google, Samsung, Microsoft, Oracle, MikroTik และ Linux (คำเตือน ยาวมาก)

Credit: WikiLeaks

 

Vault 7 นี้เป็นหนึ่งในโครงการย่อยของ Year Zero ที่มีการเปิดเผยข้อมูลเอกสารและไฟล์ต่างๆ ถึง 8,761 ฉบับที่ถูกจัดเก็บอยู่ภายในหน่วยงาน Center for Cyber Intelligence (CCI) ของ CIA โดยในเดือนที่แล้ว WikiLeaks ก็ได้ออกมาเปิดเผยถึงการโจมตีพรรคการเมืองของฝรั่งเศสในระหว่างการเลือกตั้งช่วงปี 2012 ที่ผ่านมา และใน Vault 7 เองนี้ก็จะมีการมุ่งเปิดเผยถึงการโจมตีและเครื่องมือต่างๆ ที่ถูกใช้งานโดย CIA ซึ่งก็เริ่มมีบางสำนักข่าวออกมายืนยันถึงความถูกต้องของข้อมูลบางส่วนที่ถูกเปิดเผยในครั้งนี้แล้ว

ตัวอย่างของเครื่องมือที่ CIA ใช้งานและถูกเปิดเผยโดย WikiLeaks ในครั้งนี้ได้แก่

 

CIA Malware ที่มุ่งเน้นโจมตี iPhone, Android, Smart TV

CIA นั้นได้พัฒนา Weeping Angel เป็น Malware ที่โจมตี Smart TV เพื่อใช้ดักฟังเสียงผ่านทางไมโครโฟนของ Smart TV ได้ โดยตัวอย่างหนึ่งที่ถูกโจมตีไปแล้วคือ Samsung Smart TV (https://wikileaks.org/ciav7p1/cms/page_12353643.html) โดยมีระบบ Fake-Off หรือปิดแบบหลอกๆ เพื่อให้ผู้ใช้งานตายใจว่า TV ปิดอยู่ ทั้งๆ ที่จริงๆ กำลังเปิดอยู่และทำการดักฟังเสียงอยู่นั่นเอง

ถัดมาในปี 2014 CIA ก็ริเริ่มการโจมตีระบบ Vehicle Control System บนรถยนต์และรถบรรทุก โดยยังไม่ระบุวัตถุประสงค์อย่างชัดเจน ซึ่งทาง WikiLeaks ก็สันนิษฐานว่าอาจเกี่ยวพันกับการนำไปใช้ลอบสังหารได้

สำหรับการโจมตี Mobile Device นั้นมีความหลากหลายมาก (https://wikileaks.org/ciav7p1/cms/space_3276804.html) ไม่ว่าจะเป็น Apple iOS ที่มีทั้ง Malware สำหรับควบคุมและขโมยข้อมูล ไปจนถึงช่องโหว่ Zero Day ที่พัฒนาขึ้นเองหรือรับมาจาก GCHQ, NSA, FBI หรือซื้อมาจากภายนอกสำหรับใช้โจมตี ส่วนทางฝั่ง Android นั้น CIA ก็มีช่องโหว่ Zero Day ในมือ 24 รายการเลยทีเดียว ทำให้ CIA สามารถ Bypass การเข้ารหัสของ WhatsApp, Signal, Telegra, Weibo, Confide และ Cloakman เพื่อดักขโมยข้อมูลเสียงและข้อความก่อนที่จะเข้ารหัสได้

 

CIA Malware ที่มุ่งเน้นโจมตี Windows, macOS, Linux, Router

CIA สามารถโจมตี Windows ได้ผ่านทางช่องโหว่ Zero Day จำนวนมากทั้งจาก Local และ Remote, การโจมตีแบบ Hammer Drill ที่เป็นไวรัสซึ่งแพร่ขยายตัวเองได้แบบ Air Gap Jumping, ตัวแพร่กระจาย Malware ผ่านทาง USB, ระบบสำหรับซ่อนข้อมูลในรูปภาพหรือส่วนเฉพาะของ Disk ไปจนถึงระบบสำหรับทำให้ Malware ยังคงติดและทำงานบนเครื่องเป้าหมายได้อย่างต่อเนื่อง

นอกจากนี้ CIA ยังมีการพัฒนา Malware ที่ทำงานได้อย่างอัตโนมัติเช่น Assassin หรือ Medusa และมีทีมงานเฉพาะสำหรับโจมตี Web หรือ Internet โดยตรง ในขณะที่มีโครงการ HIVE และเครื่องมืออื่นๆ อย่าง Cutthroat, Swindle สำหรับใช้โจมตีหลากหลายระบบปฏิบัติการ

 

CIA กับการโจมตีด้วย Zero Day Vulnerability และ Cyberwar

หนึ่งในอาวุธหลักของ CIA นั้นคือการใช้ช่องโหว่ Zero Day ที่ไม่มีการเปิดเผยต่อผู้ผลิตในการโจมตี ทำให้การโจมตีเพื่อวัตถุประสงค์ที่สามารถเกิดขึ้นได้โดยที่เป้าหมายไม่สามารถป้องกันได้ ในขณะเดียวกันวิธีการเหล่านี้ก็ถือเป็นดาบสองคม เพราะหาก CIA เริ่มนำไปใช้งานและมีประเทศอื่นตรวจพบ ประเทศเหล่านั้นก็จะสามารถนำช่องโหว่เหล่านี้ไปใช้ในการโจมตีได้ด้วยเช่นกัน

 

วิธีการพัฒนา Malware ให้หลบเลี่ยงการตรวจจับของ Anti-virus และการตรวจสอบ

CIA นั้นมีคู่มือในการพัฒนา Malware ให้หลุดรอดจากการตรวจจับของ Anti-virus ได้ และถึงแม้จะถูกจับได้ก็ให้ทำการปลอมแปลงเสมือนเป็นการโจมตีจากประเทศอื่น โดยคู่มือนี้อยู่ที่ https://wikileaks.org/ciav7p1/cms/page_14587109.html รวมถึงยังมีมาตรฐานอื่นๆ อีกมากมาย เช่น การใช้เทคนิคการเข้ารหัสเพื่อซ่อน Malware จากการถูกตรวจจับ (https://wikileaks.org/ciav7p1/cms/files/NOD%20Cryptographic%20Requirements%20v1.1%20TOP%20SECRET.pdf), การระบุเป้าหมายและขโมยข้อมูลออกมา (https://wikileaks.org/ciav7p1/cms/files/Codex-Spec-v1-SECRET.pdf), การ Execute Payload (https://wikileaks.org/ciav7p1/cms/files/ICE-Spec-v3-final-SECRET.pdf) และการแอบซ่อนอยู่ภายในเครื่องเป้าหมายให้ได้เป็นระยะเวลานาน (https://wikileaks.org/ciav7p1/cms/files/Persisted-DLL-Spec-v2-SECRET.pdf)

นอกจากนี้ CIA ยังมีรายงานการหลบเลี่ยงการตรวจจับของ Anti-virus ค่ายต่างๆ มากมาย ตัวอย่างเช่น Comodo นั้นก็สามารถถูกหลบเลี่ยงการตรวจจับได้ด้วยการนำ Malware ไปฝังตัวใน Recycle Bin ของ Windows และ Comodo 6.x ก็ยังมีช่องโหว่อื่นๆ อีกด้วย โดยรายงานทั้งหมดสามารถอ่านได้ที่ https://wikileaks.org/ciav7p1/cms/page_2064514.htmlhttps://wikileaks.org/ciav7p1/cms/page_13762910.htmlhttps://wikileaks.org/ciav7p1/cms/page_7995642.htmlhttps://wikileaks.org/ciav7p1/cms/page_2621845.html

ไม่เพียงเท่านั้น CIA ยังมีเอกสารที่ระบุว่า NSA ทำพลาดอย่างไรให้ถูกตรวจพบ และ CIA จะหลีกเลี่ยงการถูกตรวจพบลักษณะนั้นได้อย่างไรที่ https://wikileaks.org/ciav7p1/cms/page_14588809.html อีกด้วย

 

UMBRAGE: Library เทคนิคการโจมตีที่ขโมยมาจากเหล่าผู้พัฒนา Malware

ระบบ UMBRAGE ของ CIA นี้ได้รวบรวมเอาเทคนิคการโจมตีและรูปแบบต่างๆ ของการโจมตีที่เกิดขึ้นทั่วโลกเอาไว้ เพื่อให้ทาง CIA มีฐานข้อมูลของวิธีการโจมตีที่หลากหลายสำหรับนำไปใช้งาน และทำให้ผู้ถูกโจมตีนั้นเข้าใจผิดว่าการโจมตีมาจากประเทศอื่นด้วยการนำ Fingerprint รูปแบบที่ตรวจพบในการโจมตีจากประเทศอื่นๆ ไปใช้สวมรอย ไม่ว่าจะเป็นการทำ Keylogger, Password Collection, Webcam Capture, Data Destruction, Privilege Escalation, Stealth, Anti-virus Avoidance และอื่นๆ

 

Fine Dining: ชุดแบบสอบถามว่าเจ้าหน้าที่ต้องการให้ Hack เพื่อวัตถุประสงค์อะไรและวิธีการแบบไหน

Fine Dining นี้เป็นแบบฟอร์มสำหรับให้เจ้าหน้าที่ CIA กรอก เพื่อระบุถึง Requirement ในโครงการ และให้เจ้าหน้าที่ฝ่ายเทคนิคนำไปแปลงเป็นเทคนิคการโจมตีที่ตอบโจทย์ต่อความต้องการได้

 

Improvise (JQJIMPROVISE): เครื่องมือสร้าง Malware

Improvise นี้เป็นเครื่องมือสำหรับใช้สร้าง Malware ด้วยการกำหนด Configuration, Post-processing, Payload, วิธีการแพร่กระจาย และระบบปฏิบัติการของเป้าหมาย โดยจะกำหนดค่าตามข้อมูลที่ได้มาจาก Fine Dining

 

HIVE: ชุด Multi-platform Malware ของ CIA

HIVE นี้เป็น Multi-platform Malware ของทาง CIA ที่สามารถปรับแต่งให้ฝังตัวอยู่ได้บนทั้ง Windows, Solaris, MikroTik และ Linux รวมถึงยังมีระบบ Listening Port (LP) หรือ Command and Control (C2) เพื่อทำงานร่วมกับ Malware เหล่านี้ได้อีกด้วย โดยการสื่อสารทั้งหมดจะทำผ่าน HTTPS และใช้ Certificate ในการยืนยันตัวตนว่าเครื่องที่สื่อสารเข้ามาคือเครื่องที่เป็นเป้าหมายในการโจมตีหรือไม่ ถ้าใช่ถึงค่อยทำการโจมตี แต่ถ้าไม่ใช่ก็ส่งผู้ใช้งานไปเว็บอื่นที่ไม่น่าสงสัยแทน

 

ที่มา: https://wikileaks.org/ciav7p1/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ABSS ผู้นำด้านบริการบาร์โค้ด โซลูชั่น ต่อยอดแวร์เฮ้าส์ ออโตเมชั่น โซลูชั่น เสริมทัพด้วย AI Picking ซอฟท์แวร์อัจฉริยะ พร้อมสนับสนุนผู้ประกอบการไทย

บริษัท แอดวานซ์ บิสซิเนส โซลูชั่น แอนด์ เซอร์วิสเซส จำกัด หรือABSS ผู้นำด้านบาร์โค้ด โซลูชั่นที่ได้รับการรับรองระบบจัดการคุณภาพระดับมาตรฐานสากลมาอย่างยาวนาน พร้อมให้บริการแวร์เฮ้าส์ ออโตเมชั่น โซลูชั่น (Warehouse Automation …

[Guest Post] Bitkub Chain ผ่านฉลุยเข้ารอบ 3 หมวดหมู่การแข่งขันด้านเทคโนโลยี

ณ เวทีประกวด Thailand ICT Awards (TICTA) 2022