ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team) ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool (RAT) ซึ่งเป็นมัลแวร์โปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ หรือเป็นที่รู้จักกันในชื่ออื่นๆ อาทิ AlienSpy, Frutas, Unrecom, Sockrat, JSocket และ jRat มัลแวร์โปรแกรมเหล่านี้แพร่กระจายผ่านแพลตฟอร์มเดี่ยว malware-as-a-service platform จากผลของการตรวจสอบระหว่างปี 2013- 2016 พบมัลแวร์ Adwind หลากหลายเวอร์ชั่นได้ถูกนำมาใช้ในการจู่โจมผู้ใช้ส่วนบุคคลถึงอย่างน้อย 443,000 ราย องค์กรทั่วไปและองค์กรธุรกิจทั่วโลก ทั้งแพลตฟอร์มและมัลแวร์ยังคงปฏิบัติการอยู่
เมื่อปลายปี 2015 นักวิจัยของแคสเปอร์สกี้ แลปได้พบมัลแวร์โปรแกรมแปลกๆ ในระหว่างความพยายามของปฏิบัติการจู่โจมแบบมีเป้าหมายรุกเข้าธนาคารแห่งหนึ่งที่สิงคโปร์ พบไฟล์ JAR แนบมาในอีเมลที่ทำหน้าที่เป็น spear-phishing email ส่งเข้ามาหาพนักงานที่เป็นเหยื่อเป้าหมายภายในธนาคาร มัลแวร์นี้มีสมรรถนะในการโจมตีสูง สามารถทำงานได้บนแพลตฟอร์มหลากหลาย และสามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสโซลูชั่นได้ จึงเป็นที่จับตาของนักวิจัยในทันที
Adwind RAT
พบว่ามีองค์กรที่ถูกจู่โจมโดย Adwind RAT ซึ่งเป็นแบคดอร์ที่เขียนด้วยภาษา Java ทั้งหมดและมีไว้ขาย ซึ่งทำให้มีสมรรถนะทำงานข้ามแพลตฟอร์มได้นั่นเอง ไม่ว่าจะเป็น Windows, OS X, Linux หรือ Android จึงสามารถที่จะปฏิบัติการแบบควบคุมจากระยะไกล เก็บรวบรวมข้อมูล การรั่วไหลของข้อมูลและอื่นๆ หากผู้ใช้ที่เป็นเหยื่อเป้าหมายเปิดไฟล์ JAR ที่แนบมา มัลแวร์จะทำการติดตั้งตัวเอง และพยายามสื่อสารกับเซิร์ฟเวอร์คอมมานด์และคอนโทรล รายการฟังก์ชั่นของมัลแวร์นี้ ได้แก่:
- เก็บรวบรวมการเคาะแป้นพิมพ์
- ขโมยพาสเวิร์ดแคช และจับข้อมูลจากแบบฟอร์มบนเว็บ
- จับรูปภาพถ่ายหน้าจอ
- ถ่ายรูปและบันทึกวิดีโอจากเว็บแคม
- บันทึกเสียงจากไมโครโฟน
- ส่งต่อไฟล์
- เก็บรวบรวมข้อมูลทั่วไปของระบบและของผู้ใช้
- ขโมยคีย์ผ่านเข้ากระเป๋าสตางค์ cryptocurrency
- จัดการ SMS (สำหรับ Android)
- ขโมยใบรับรอง VPN
แม้จะถูกใช้อยู่บ่อยในหมู่พวกที่ชอบฉวยโอกาสและใช้วิธีแพร่กระจายผ่านสแปมเคมเปญขนาดใหญ่ แต่ก็มีกรณีที่ใช้ Adwind ในการจู่โจมแบบมีเป้าหมาย เมื่อเดือนสิงหาคมปี 2015 ที่ผ่านมา Adwind กลายเป็นข่าวเกี่ยวพันกับการก่อจารกรรมไซเบอร์กับอัยการชาวอาร์เจนติน่าผู้ถูกพบเสียชีวิตเมื่อเดือนมกราคมปี 2015 กรณีของธนาคารที่สิงคโปร์ตกเป็นเป้าหมายนั้นเป็นอีกตัวอย่างหนึ่งของการจู่โจมแบบมีเป้าหมาย และไม่ใช่เป็นเพียงเป้าหมายเดียวของการใช้ Adwind RAT เป็นเครื่องมือ
เป้าหมายที่อาชญากรจับจ้อง
ระหว่างการตรวจสอบ นักวิจัยของแคสเปอร์สกี้ แลปยังได้ทำการวิเคราะห์เกือบ 200 ตัวอย่างของการจู่โจมแบบ spear-phishing ที่ดำเนินการโดยอาชญากรที่ยังไม่เป็นที่เปิดเผย แพร่กระจายมัลแวร์ Adwind และยังได้ระบุกลุ่มอุตสาหกรรมที่มีเหยื่อเป้าหมายส่วนมากทำงานอยู่:
- อุตสาหกรรมการผลิต
- การเงิน
- วิศวกรรม
- การออกแบบ
- การค้าปลีก
- หน่วยงานภาครัฐ
- การขนส่งสินค้าทางเรือ
- โทรคมนาคม
- ซอฟต์แวร์
- การศึกษา
- การผลิตอาหาร
- การดูแลสุขภาพ
- สื่อ
- พลังงาน
อ้างอิงจากข้อมูลของระบบเครือข่ายความปลอดภัยของแคสเปอร์สกี้ แลปหรือ Kaspersky Security Network พบว่าการจู่โจมผ่านอีเมลแบบ spear-phishing จากตัวอย่าง 200 รายการที่เฝ้าสังเกตในช่วงหกเดือนระหว่างเดือนสิงหาคม 2015 ถึงเดือนมกราคม 2016 นั้นมีมัลแวร์ Adwind RAT ที่ส่งผลกระทบต่อเหยื่อมากกว่า 680,000 ราย
อ้างอิงจากข้อมูลสัณฐานของเหยื่อเป้าหมายที่ถูกระบุไว้ได้นั้น นักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าพอจะจัดแบ่งกลุ่มลูกค้าของแพลตฟอร์ม Adwind ได้เป็นหมวดหมู่ดังต่อไปนี้: สแกมเมอร์ที่ต้องการขยับขยายขึ้นไปขั้นสูงกว่า (โดยใช้มัลแวร์ในการสร้างกลโกงที่ซับซ้อนยิ่งขึ้นไปอีก) คู่แข่งที่เล่นไม่ซื่อ ทหารไซเบอร์รับจ้าง (สายลับรับจ้าง) และบุคคลที่มีความต้องการสอดแนมเรื่องบุคคลอื่นที่ตนรู้จัก
Threat-as-a-Service
หนึ่งในฟีเจอร์หลักที่แยกให้ Adwind RAT โดดเด่นออกมาจากมัลแวร์ที่วางขายแบบคอมเมอร์เชียลตัวอื่นคือ ถูกแพร่กระจายอย่างเปิดเผยในรูปแบบการซื้อบริการ ซึ่ง “ลูกค้า” จ่ายค่าธรรมเนียมเพื่อแลกกับการใช้งานโปรแกรมวายร้ายนี้ อ้างอิงการตรวจสอบกิจกรรมการใช้งานของยูสเซอร์บนกระดานข้อความภายใน และการสังเกตการณ์รูปแบบต่างๆ นักวิจัยของแคสเปอร์สกี้ แลปกะประมาณจำนวนผู้ใช้ในระบบถึงประมาณ 1,800 รายเมื่อสิ้นปี 2015 จึงกลายเป็นหนึ่งในมัลแวร์แพลตฟอร์มที่ใหญ่ที่สุดที่ยังคงออกอาละวาดอยู่ในทุกวันนี้
“ด้วยสมรรถนะของแพลตฟอร์ม Adwind ในปัจจุบันนี้ ทำให้คนที่อยากจะเข้ามาเป็นอาชญากรไซเบอร์ไม่จำเป็นต้องมีความรู้พื้นฐานขั้นต่ำสูงมากมายแต่อย่างใด สิ่งที่เราสามารถพูดได้โดยอ้างอิงข้อมูลที่พบจากการตรวจสอบการจู่โจมธนาคารในสิงคโปร์ คือ อาชญากรผู้อยู่เบื้องหลังนั้นห่างไกลจากการเป็นแฮคเกอร์มืออาชีพอย่างมาก และเราคิดว่าลูกค้าของแพลตฟอร์ม Adwind ส่วนมากแล้วก็จะมีพื้นฐานความรู้ด้านคอมพิวเตอร์ในระดับเท่าๆ กัน ซึ่งเป็นทิศทางพัฒนาการที่น่าเป็นห่วงอย่างมากทีเดียว” อเล็กซานเดอร์ กอสเตฟ หัวหน้าทีมงานผู้เชี่ยวชาญความปลอดภัยของแคสเปอร์สกี้ แลป กล่าว
“แม้จะมีรายงานหลายฉบับเกี่ยวกับเจเนเรชั่นต่างกันไปของทูลนี้ ตามที่ซีเคียวริตี้เวนเดอร์หลายรายได้ออกรายงานในช่วงหลายปีที่ผ่านมา แพลตฟอร์มนี้ก็ยังคงปฏิบัติการอยู่ต่อเนื่อง และครองใจอาชญากรประเภทต่างๆ เราได้ทำการวิจัยนี้ขึ้นมาเพื่อดึงความสนใจของกลุ่มคนด้านซีเคียวริตี้และหน่วยงานผู้บังคับใช้กฎหมาย และเพื่อดำเนินขั้นตอนที่จำเป็นในการหยุดยั้งทูลนี้อย่างสิ้นเชิง” วิตาลี คามลัค ผู้อำนวยการทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าว
แคสเปอร์สกี้ แลป รายงานข้อมูลที่ค้นพบเกี่ยวกับแพลตฟอร์ม Adwind ไปยังหน่วยงานผู้บังคับใช้กฎหมายด้วยเช่นกัน เพื่อเป็นการป้องกันตนเองและองค์กรให้พ้นจากภัยคุกคามเช่นนี้ แคสเปอร์สกี้ แลปขอแนะนำให้พิจารณาวัตถุประสงค์ของการใช้แพลตฟอร์ม Java และเพื่อพิจารณายกเลิกการใช้งานกับแหล่งที่ไม่ได้รับอนุญาต
อ่านเพิ่มเติมเกี่ยวกับแพลตฟอร์ม Adwind คือ Malware-as-a-Service platform ได้จาก Securelist.com
- เรียนรู้วิธีการตรวจสอบการจู่โจมแบบมีเป้าหมายอันซับซ้อน:
https://www.youtube.com/watch?v=FzPYGRO9LsA
- อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการจารกรรมไซเบอร์