แคสเปอร์สกี้ แลป ผนึกกำลังพาร์ตเนอร์ ร่วมทำลายล้างกลุ่มก่อการร้าย Lazarus Group ตัวการสร้างภัยร้ายไซเบอร์ใหญ่หลายครั้ง

แคสเปอร์สกี้ แลป (Kaspersky Lab) ร่วมกับโนเว็ตต้า (Novetta) และพาร์ตเนอร์ในวงการอื่นๆ มีความภาคภูมิในการแถลงถึงความร่วมมือและการมีส่วนร่วมกันใน Operation Blockbuster ซึ่งมีเป้าหมายเพื่อขจัด กิจกรรมก่อการร้ายของลาซารัสกรุ๊ป (Lazarus Group) ซึ่งเป็นกลุ่มวายร้ายที่รับผิดชอบต่อการทำลายล้างข้อมูลครั้งใหญ่ รวมทั้งการก่อจารกรรมไซเบอร์ต่อบริษัทใหญ่ๆ ทั่วโลกหลายบริษัทด้วยกัน เชื่อกันว่าเป็นผู้อยู่เบื้องหลังการจู่โจมโซนี่พิคเจอร์สเอนเตอร์เทนเม้นท์เมื่อปี 2014 และปฏิบัติการ DarkSeoul ที่พุ่งเป้าไปยังสื่อและสถาบันการเงินเมื่อปี 2013

หลังการจู่โจมสร้างความเสียหายให้แก่บริษัทผลิตภาพยนตร์โด่งดัง Sony Pictures Entertainment (SPE) เมื่อปี 2014 ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team หรือ GReAT) ได้เริ่มการสืบสวนวิเคราะห์ตัวอย่างของมัลแวร์ Destover ที่รู้กันว่าเป็นตัวที่ถูกใช้ในการจู่โจม นำไปสู่การวิจัยที่กว้างขวาง และเข้าไปยังคลัสเตอร์ที่เกี่ยวโยงกับการก่อจารกรรมไซเบอร์ และเคมเปญวินาศกรรมไซเบอร์ที่มีเป้าหมายเป็นสถาบันการเงิน สื่อ และธุรกิจอุตสาหกรรมการผลิตก็รวมอยู่ด้วย

ผู้เชี่ยวชาญของบริษัทสามารถจัดกลุ่มรูปแบบการจู่โจมเข้าด้วยกันได้หลายกลุ่ม โดยอิงจากลักษณะเฉพาะตัวของมัลแวร์ ที่แม้จะต่างกลุ่มกันก็ต้องมีส่วนที่เหมือนกัน จึงตัดสินได้ว่าทั้งหมดนี้เป็นมัลแวร์ที่มี แอ็คเตอร์หรือตัวกระตุ้นกิจกรรมภัยไซเบอร์ตัวเดียวกัน ผู้ที่เข้าร่วมปฏิบัติการ Operation Blockbuster ทุกรายต่างก็ยืนยันเช่นเดียวกันจากการวิเคราะห์ของเขาเหล่านั้น

แอ็คเตอร์หรือตัวกระตุ้นการเริ่มการจู่โจม (threat actor) ของลาซารัสกรุ๊ปทำงานมาหลายปีก่อนเกิดเหตุการณ์ SPE และยังทำงานต่อมาอีกหลังจากนั้น แคสเปอร์สกี้ แลปและผู้เข้าร่วมการวิจัยค้นคว้าใน Operation Blockbuster ยืนยันความเชื่อมโยงระหว่างมัลแวร์ที่ใช้ในหลายๆ เคมเปญ เช่น Operation DarkSeoul ที่จู่โจมธนาคารและธุรกิจสื่อในกรุงโซล หรือ Operation Troy ที่พุ่งเป้ามาที่การทหารของเกาหลีใต้ รวมทั้งโซนี่พิคเจอร์ส

ระหว่างการสืบสวนค้นคว้า นักวิจัยของแคสเปอร์สกี้ แลปได้แลกเปลี่ยนการผลการวิจัยเบื้องต้นกับ เอเลี่ยนโวล์ท แลปซึ่งต่อมาภายหลังทั้งสองห้องปฏิบัติการได้รวมพลังกันดำเนินการสืบสวนค้นคว้าด้วยกัน และบริษัทอื่นๆ ก็ทำการสืบสาวเรื่องราวกิจกรรมของลาซารัสกรุ๊ปในเวลาเดียวกัน รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยต่างก็ค้นคว้าวิจัยกันอย่างหนัก หนึ่งในบริษัทเหล่านี้ ได้แก่ โนเว็ตต้าซึ่งได้ริเริ่มการตีพิมพ์เผยแพร่ข้อมูลสำคัญเกี่ยวกับกิจกรรมของลาซารัสกรุ๊ปที่ค้นพบจากการวิจัยโดยละเอียด ซึ่งต่อมา ในฐานะที่เป็นส่วนหนึ่งของ Operation Blockbuster ทั้งโนเว็ตต้า เอเลี่ยนโวล์ท แลป และพาร์ตเนอร์ผู้ร่วมงานอื่นๆ ในวงการ รวมทั้งแคสเปอร์สกี้ แลป ต่างก็เผยแพร่ผลการค้นคว้าที่ได้มาเพื่อให้เป็นประโยชน์ต่อสาธารณชนทั่วไปเช่นกัน

งมเข็มในกองฟางblockbuster_en_4

จากการวิเคราะห์ตัวอย่างมัลแวร์เป็นจำนวนมากที่พบในเหตุจู่โจมระบบความปลอดภัยไซเบอร์ต่างๆ และจากการสร้างกฎการตรวจหาแบบพิเศษ ทำให้แคสเปอร์สกี้ แลป เอเลี่ยนโวล์ท และผู้เชี่ยวชาญอื่นๆ ที่เข้าร่วม Operation Blockbuster สามารถระบุการจู่โจมที่มีลาซารัสกรุ๊ปอยู่เบื้องหลังได้

การวิเคราะห์วิธีการที่ตัวแอ็คเตอร์ใช้ทำงานจากตัวอย่างต่างๆ พบว่าล้วนโยงกลับไปยังกลุ่มเดียว โดย เฉพาะอย่างยิ่ง พบด้วยว่าผู้บุกรุกได้นำโค้ด – ยืมบางส่วนมาจากโปรแกรมประสงค์ร้ายอันหนึ่งมาใช้ใหม่ในโปรแกรมอื่นๆ

นอกจากนั้น นักวิจัยสามารถที่จะจับความคล้ายคลึงในลักษณะวิธีการทำงานของผู้บุกรุก ระหว่างการวิเคราะห์สิ่งแปลกปลอมของการจู่โจมแต่ละครั้ง พบว่า droppers – ไฟล์พิเศษที่ใช้ติดตั้งค่าที่ผันแปรที่บรรจุส่วนที่ประสงค์ร้ายที่ต่างออกไป– ทั้งหมดจะเก็บเป็น ZIP ไฟล์เข้ารหัส ซึ่งรหัสสำหรับใช้ในเคมเปญต่างๆ นั้นจะเหมือนกัน และถูก hardcode อยู่ใน dropper มีการติดตั้งการป้องกันรหัสผ่านเพื่อมิให้ระบบทำการถอดและวิเคราะห์ข้อมูลที่เก็บไว้โดยอัตโนมัติ แต่ในความเป็นจริง กลับช่วยให้นักวิจัยระบุกรุ๊ปได้

วิธีการพิเศษที่อาชญากรไซเบอร์พยายามใช้ลบร่องรอยอาชญากรรมของตนออกจากระบบที่ติดเชื้อ รวมทั้งเทคนิคอื่นๆ ที่ใช้หลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์แอนตี้ไวรัสนั้น เปิดช่องทางให้นักวิจัยมีช่องทางเพิ่มขึ้นในการจับกลุ่มการจู่โจมที่มีความเชื่อมโยงกัน ในที่สุด ก็สามารถระบุความเชื่อมโยงของการจู่โจมแบบมีเป้าหมายเหล่านั้นได้ ซึ่งแต่เดิมไม่สามารถระบุผู้อยู่เบื้องหลังได้ว่าแท้จริงแล้วโยงกลับมายังแอ็คเตอร์เดียวนั้นเองblockbuster_en_5

สภาพภูมิศาสตร์ของปฏิบัติการก่อการร้าย

จากการวิเคราะห์วันที่รวบรวมตัวอย่างมัลแวร์ พบว่าการเก็บตัวอย่างครั้งแรกเริ่มที่สุดอาจจะเป็นตั้งแต่ปี 2009 นับเป็นเวลา 5 ปีก่อนการจู่โจมโซนี่อันโด่งดัง มีตัวอย่างใหม่ๆ เกิดขึ้นมากมายตั้งแต่ปี 2010 จึงจัดได้ว่าลาซารัสกรุ๊ปนี้เป็นแอ็คเตอร์ที่มีความมั่นคง ยืนยงตัวหนึ่งทีเดียว จากเมต้าดาต้าที่ถอดมาจากตัวอย่างที่นำมาวิเคราะห์สืบสวน พบว่าโปรแกรมประสงค์ร้ายส่วนมากที่ลาซารัสกรุ๊ปใช้งานนั้นมักจะถูกเก็บรวบรวมช่วงระหว่างชั่วโมงทำงานในไทม์โซน GMT+8 – GMT+9

“ดังเช่นที่เราได้คาดการณ์ไว้ จำนวนการจู่โจมแบบลบล้างข้อมูล (wiper attacks) นั้นได้ขยายตัวอย่างต่อเนื่อง เพราะมัลแวร์ประเภทนี้ใช้เป็นอาวุธไซเบอร์ที่มีประสิทธิภาพทำลายล้างสูง พลังอำนาจในการล้างคอมพิวเตอร์ได้เป็นพันๆ เครื่องได้เพียงแค่กดปุ่มเดียวนั้น จึงเป็นรางวัลชั้นเยี่ยมสำหรับทีมผู้ร้ายที่คอยหาประโยชน์จากระบบเครือข่าย (Computer Network Exploitation team) ที่มีหน้าที่ในการบิดเบือนข้อมูลและหยุดการทำงานของเอ็นเตอร์ไพร้ซ์ที่เป็นเหยื่อเป้าหมาย มูลค่าในฐานะที่เป็นส่วนหนึ่งของการดำเนินสงครามแบบไฮบริดลูกผสม (hybrid warfare) ที่การจู่โจมแบบล้างข้อมูล จะมาคู่กับการจู่โจมเพื่อชะงักการเคลื่อนไหว (kinetic attacks) คือการทำให้โครงสร้างพื้นฐานของประเทศหนึ่งๆ หยุดชะงักนั้นเป็นการทดลองที่น่าสนใจ และใกล้เคียงความเป็นจริงมากเกินกว่าที่เราจะทำตัวสบายๆ กับเรื่องเหล่านี้ได้ แคสเปอร์สกี้ แลป ร่วมกับพาร์ตเนอร์ในวงการอุตสาหกรรม ล้วนภาคภูมิใจที่สามารถสร้างความคืบหน้าและเจาะเข้าปฏิบัติการของแอ็คเตอร์ก่อการร้ายที่ไร้สำนึกผิดชอบชั่วดี ที่คอยจ้องหาทางใช้เทคนิคที่มีผลทำลายล้างร้ายกาจเช่นนี้ได้” ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว

“แอ็คเตอร์นี้มีทักษะที่จำเป็น และมีความมุ่งมั่นในการก่อวินาศกรรมไซเบอร์ วัตถุประสงค์คือการโจรกรรมข้อมูล หรือก่อให้เกิดความสูญเสีย เสียหาย เมื่อผนวกกับการใช้เทคนิคบิดเบือนข้อมูลและล่อลวงในช่วงหลายปีที่ผ่านมา อาชญากรสามารถก่อการร้ายได้เป็นผลสำเร็จอยู่หลายครั้ง ปฏิบัติการ Operation Blockbuster เป็นตัวอย่างของการแบ่งปันข้อมูลทั่ววงการ และความร่วมมือสามารถยกมาตรฐานให้สูงขึ้น และป้องกันแอ็คเตอร์ตัวนี้จากการออกอาละวาดต่อไปภายภาคหน้า” เจมี่ บลาสโค หัวหน้าฝ่ายนักวิทยาศาสตร์ เอเลี่ยนโวล์ท กล่าว

“ทั้งโนเว็ตต้า แคสเปอร์สกี้ แลป และพาร์ตเนอร์อื่นๆ ยังคงความพยายามในการระบุหาวิธีการในการทำลายล้างกลุ่มที่ออกปฏิบัติการจู่โจมไปทั่วโลก รวมทั้งพยายามที่จะขจัด และลดความสามารถในการก่อการร้ายลงโดยผ่าน Operation Blockbuster” อังเดร ลุดวิก ผู้อำนวยการฝ่ายเทคนิคอาวุโส กลุ่มวิจัยและการห้ามการลักลอบ บริษัท โนเว็ตต้า กล่าว “ระดับความลึกของการวิเคราะห์เชิงเทคนิคของ Operation Blockbuster นั้นเป็นสิ่งที่หายากมาก และการแบ่งปันผลการวิจัยค้นคว้ากับพาร์ตเนอร์ในวงการเดียวกันนั้นก็หาได้ยากเช่นกัน ดังนั้น เราทุกคนจึงได้รับประโยชน์ ได้รับความเข้าใจที่แจ่มชัดยิ่งขึ้น ซึ่งยิ่งหายากยิ่งไปกว่า”

  • ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยแคสเปอร์สกี้ แลป สามารถอ่านได้ที่ https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed
  • ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยโนเว็ตต้า สามารถอ่านได้ที่ OperationBlockbuster.com

 

Latest

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Newsletter

Don't miss

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์ 2567 – บริษัท เอเซอร์ คอมพิวเตอร์ จำกัด ตอบโจทย์ยุค AI PC ยกระดับประสบการณ์ให้ทุกการใช้งาน เปิดตัวโน้ตบุ๊ก Acer Swift Series รุ่นล่าสุด...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime monitoring สมัยนี้มีหลากหลายเจ้า ปกติจะเก็บค่าบริการกันแบบ subscription รายเดือน แต่ถ้าใครไม่อยากจ่ายตังค์ วันนี้ผมมีโซลูชั่น สำหรับใครที่มีการใช้งาน NAS อยู่แล้ว เราจะเอา NAS มาทำเป็น uptime monitoring...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ ใช้มาหลอกเรา ส่งข้อความมาทาง inbox แจ้งว่าเพจทำผิดกฎ หรือ ละเมิดกฎเฟซบุ๊ก ให้กดลิงค์ เพื่อยืนยันตัวตน ไม่งั้นจะบล็อกเพจถาวร พอเรากดลิงค์เข้าไป จะเจอกับหน้าเพจ (คล้าย) เฟซบุ๊ก ซึ่งมีฟอร์มให้เราใส่ข้อมูลต่างๆ รวมถึง ชื่อเพจ อีเมล...

LEAVE A REPLY

Please enter your comment!
Please enter your name here