แคสเปอร์สกี้ แลป เตือนภัยแฮกเกอร์ The Mask กำลังเจาะฐานข้อมูลรัฐบาลทั่วโลก

แคสเปอร์สกี้ แลป ผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ประกาสค้นพบปฏิบัติการจารกรรมไซเบอร์ล่าสุดชื่อ เดอะมาสก์ (The Mask หรือ Careto ในภาษาสเปน) ซึ่งพัวพันในปฏิบัติการร้ายระดับโลกหลายครั้งตั้งแต่ปี 2007 เดอะมาสก์เป็นชุดเครื่องมือที่มีความซับซ้อน ทั้งในรูปแบบมัลแวร์ รูตคิต บูตคิต แมคโอเอส (Mac OS) ลีนุก (Linux) และอาจรวมถึงแอนดรอยด์และไอโอเอส (iOS) ด้วย

เป้าหมายหลักของการจารกรรมนี้ คือ หน่วยงานรัฐบาล สถานกงสุล สถานทูต บริษัทพลังงาน น้ำมัน แก๊ส องค์กรวิจัยและกลุ่มเคลื่อนไหวต่างๆ ผู้เชี่ยวชาญตรวจพบเหยื่อใน 31 ประเทศทั่วโลก ครอบคลุมทวีปอเมริกา แอฟริกา ยุโรป เอเชียและตะวันออกกลาง

วัตถุประสงค์ของอาชญากรไซเบอร์ในปฏิบัติการนี้ คือการเก็บรวบรวมข้อมูลสำคัญ ไม่ว่าจะเป็นเอกสารสำนักงาน, รหัสเอ็นคริปชั่น, การตั้งค่า VPN, รหัสสำหรับ SSH Server, และไฟล์ RDP (สำหรับการรีโมทแอคเซสเพื่อเปิดช่องทางสื่อสารระหว่างเครื่องคอมพิวเตอร์)

ปีที่แล้ว ทีมนักวิจัยของแคสเปอร์สกี้ แลป ได้ค้นพบเดอะมาสก์ที่พยายามโจมตีช่องโหว่ที่ปิดไปแล้วของผลิตภัณฑ์ของบริษัท โดย exploit นี้มีมัลแวร์ที่เพิ่มความสามารถในการหลบหลีกการตรวจจับ ทำให้ทีมนักวิจัยเริ่มสังเกตและวิเคราะห์การทำงานของเดอะมาสก์ตั้งแต่นั้นเป็นต้นมา

เมื่อเดอะมาสก์แพร่กระจายเข้าสู่ระบบคอมพิวเตอร์ มันจะขัดขวางช่องทางการสื่อสารทุกช่องทาง และเลือกเก็บเฉพาะข้อมูลที่สำคัญจากเครื่อง การตรวจสอบและตรวจจับเดอะมาสก์เป็นไปได้ยาก เนื่องจากรูตคิตมีความสามารถในการหลบซ่อนสูง ลักษณะการทำงานแบบบิ้วต์-อิน และโมดูลการทำงานระดับจารกรรมไซเบอร์

ข้อมูลสำคัญ 

  • ผู้คิดค้นเดอะมาสก์น่าจะมีเชื้อสายสเปน ซึ่งไม่ค่อยพบในการโจมตีระดับ APT เช่นนี้มากนัก
  • การจารกรรมนี้มีปฏิบัติการยาวนานกว่า 5 ปีแล้ว ตั้งแต่เดือนมกราคม ปี 2007 และมีการปิดเซิร์ฟเวอร์ C&C ช่วงหนึ่งเพื่อหลบซ่อนการตรวจสอบจากแคสเปอร์สกี้ แลป
  • ผู้เชี่ยวชาญพบเหยื่อกว่า 380 ราย ในไอพีแอดเดรสกว่า 1000 รายการ ในประเทศดังต่อไปนี้ อัลจีเรีย อาร์เจนติน่า เบลเยี่ยม โบลิเวีย บราซิล จีน โคลัมเบีย คอสตาริก้า คิวบา อียิปต์ ฝรั่งเศส เยอรมัน ยิบรอลต้า กัวเตมาลา อิหร่าน อิรัก ลิเบีย มาเลเซีย เม็กซิโก โมรอกโก นอร์เวย์ ปากีสถาน โปแลนด์ แอฟริกาใต้ สเปน สวิตเซอแลนด์ ตูนิเซีย ตุรกี สหราชอาณาจักร สหรัฐอเมริกา และเวเนซูเอล่า
  • ความซับซ้อนและความแพร่หลายในระดับสากลของชุดเครื่องมือนี้ทำให้ปฏิบัติการจารกรรมไซเบอร์ครั้งนี้มีลักษณะพิเศษกว่าครั้งใดๆ ประกอบด้วย exploit ระดับสูง ทั้งในรูปแบบมัลแวร์ รูตคิต บูตคิต แมคโอเอส ลีนุก และอาจรวมถึงแอนดรอยด์และไอโอเอสด้วย
  • ในการโจมตีนี้ ส่วนหนึ่งจะใช้ exploit ช่องโหว่ของโปรแกรม Adobe Flash Player (CVE-2012-0773) ในแฟลชเพลเยอร์เวอร์ชั่นก่อนหน้ารุ่น 10.3 และ 11.2 โดย exploit นี้ถูกค้นพบโดยสถาบันวิจัย VUPEN และใช้หลบหลีกเบราเซอร์  Google Chrome Sandbox และชนะการแข่งขัน CanSecWest Pwn2Own เมื่อปี 2012 

รูปแบบการแพร่กระจายและการทำงาน 

จากรายงานของทีมงานแคสเปอร์สกี้ แลป เดอะมาสก์อาศัยฟิชชิ่งอีเมลเป็นหัวหอกนำร่องพร้อมมีลิงก์โยงเข้าเว็บไซต์หลอก ซึ่งเซ็ตไว้มี exploit จำนวนมากรออยู่เพื่อกระจายเชื้อที่ออกแบบมาให้เกาะเหยื่อที่หลุดเข้ามาได้ตามค่าคอนฟิกูเรชั่นของระบบเลยทีเดียว จากนั้นเว็บไซต์จะส่งต่อเหยื่อไปยังไซต์ที่ไม่เป็นอันตรายตามที่ปรากฏในอีเมล ซึ่งอาจจะเป็นหนังในยูทูปหรือพอร์ทัลข่าวสารก็ได้

จุดสำคัญคือเว็บไซต์ตัวล่อนี้จะไม่ปล่อยเชื้อเข้าเหยื่อโดยอัตโนมัติ แต่จะโฮสต์ exploit ไว้ในโฟลเดอร์บนเว็บไซต์ ซึ่งไม่ได้อ้างอิงหรือปรากฏในที่ใด เว้นแต่ในอีเมลที่เป็นฟิชชิ่งเท่านั้น หรือบางกรณีจะใช้ซับโดเมนที่อยู่บนเว็บไซต์เพื่อให้เหมือนจริงขึ้นไปอีก โดยเลียนแบบเซ็คชั่นย่อยตามหน้าหนังสือพิมพ์ในสเปนหรือในต่างประเทศ เช่น เดอะการ์เดี้ยนของอังกฤษ หรือ วอชิงตันโพสท์ของอเมริกา เป็นต้น

มัลแวร์จะสกัดช่องทางการสื่อสาร เก็บรวบรวมข้อมูลมีค่าจากระบบของเหยื่อ การตรวจจับนั้นทำได้ยากมาก เพราะมัลแวร์นี้มีศักยภาพในการพรางตัวถึงรูตคิต Careto จัดเป็นระบบที่มีลักษณะเป็นโมดูล่าสูง รับไฟล์ปลั๊กอินและคอนฟิกูเรชั่นได้ดี ทำให้ขอบข่ายในการทำงาน (ร้าย) สูงไปด้วย และโอเปอเรเตอร์ของมัลแวร์ตัวนี้ยังสามารถอัพโหลดโมดูลเพิ่มเติม เพื่อมาประกอบกกิจกรรมร้ายๆ ต่อได้อีกด้วย

ทั้งนี้ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและกำจัดมัลแวร์เดอะมาสก์หรือ Careto ได้ทุกเวอร์ชั่น

ท่านสามารถศึกษารายงานฉบับเต็มพร้อมรายละเอียดสถิติ ทูล จุดอ่อนเพื่อสังเกตการณ์ได้ที่

https://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

ข้อมูลถามตอบ

https://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

 

 

Latest

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

Newsletter

Don't miss

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime monitoring สมัยนี้มีหลากหลายเจ้า ปกติจะเก็บค่าบริการกันแบบ subscription รายเดือน แต่ถ้าใครไม่อยากจ่ายตังค์ วันนี้ผมมีโซลูชั่น สำหรับใครที่มีการใช้งาน NAS อยู่แล้ว เราจะเอา NAS มาทำเป็น uptime monitoring...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ ใช้มาหลอกเรา ส่งข้อความมาทาง inbox แจ้งว่าเพจทำผิดกฎ หรือ ละเมิดกฎเฟซบุ๊ก ให้กดลิงค์ เพื่อยืนยันตัวตน ไม่งั้นจะบล็อกเพจถาวร พอเรากดลิงค์เข้าไป จะเจอกับหน้าเพจ (คล้าย) เฟซบุ๊ก ซึ่งมีฟอร์มให้เราใส่ข้อมูลต่างๆ รวมถึง ชื่อเพจ อีเมล...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

LEAVE A REPLY

Please enter your comment!
Please enter your name here