แผนการจารกรรมที่ไม่หรูเลิศ หน้าตาน่าผิดหวัง แต่ทว่า ..
สำหรับคนทั่วไปอย่างเรา เวลาได้ยินคำว่า ‘จารกรรม’ ภาพของจารชนสุดเท่ในชุดเนี้ยบกริบพกอาวุธสุดล้ำ ทันสมัย มีให้เลือกใช้ตามสถานการณ์ ไม่ใช่ปืนกระบอกโตๆ พร้อมที่เก็บเสียง และเมื่อเติมคำว่า ‘ไซเบอร์’ เข้าไป ก็ยิ่งเพิ่มรัศมีความขลังกันเข้าไปใหญ่ และมาพร้อมกับจินตนาการเทคโนโลยีจารกรรมชั้นยอด ทั้งดักฟังและขโมยความลับเบื้องหลังการเมืองกันได้แยบยล
แต่ภาพนั้น ตรงข้ามกับกลุ่มจารกรรมไซเบอร์ ‘Dropping Elephant’ (aka Chinastrats) ที่ค่อนข้างจะน่าผิดหวังอยู่สักหน่อย ทั้งชื่อกลุ่มและวิธีการ จนกระทั่ง นั่นแหละ มาเห็นว่าปฏิบัติการที่ไม่น่าเข้าท่านี้ประสบความสำเร็จขนาดไหน แถมยังใช้เทคนิคง่ายๆ เสียอีกแน่ะ
“Dropping Elephant” มีผู้ดำเนินการที่ใช้ภาษาอินเดีย เลือกเป้าหมายในภูมิภาคเอเชียเป็นส่วนใหญ่ สนใจรัฐบาลจีน องค์กรด้านการทูต รวมทั้งสถานทูตต่างประเทศและสำนักงานด้านความสัมพันธ์ระหว่างประเทศในจีน รวมไปถึงปากีสถาน ศรีลังกา อุรุกวัย บังคลาเทศ ไต้หวัน ออสเตรเลีย และสหรัฐอเมริกา ทำงานโดยใช้ทูลเซ็ตและเทคนิคเกาะไปกับวิศวกรรมเชิงสังคม (social engineering) ที่ระบบดี หลบใช้ช่องโหว่ที่แก้ไขไปนานแล้วและหันมาใช้ซอฟต์แวร์ที่ถูกกฎหมาย
เมื่อเหยื่อพร้อมใจกันเอาคอพาดเขียงให้เชือดง่ายๆ
รูปแบบการจู่โจมของ “Dropping Elephant” ที่เป็นมาตรฐานเลยนั้นเริ่มต้นที่ฟิชชิ่งสองขั้นตอน ขั้นแรกนั้นมักเป็น อีเมลหว่านออกไป มีไฟล์เอกสารที่ดูไร้อันตรายแนบไปด้วย ซึ่งอย่างไรเสียก็มีบทบาทสำคัญในการจู่โจม เมื่อเปิดไฟล์ขึ้นมา ไฟล์ก็จะส่งสัญญาน ‘ping’ เพื่อยืนยันกลับไปยังเซิร์ฟเวอร์บังคับการของผู้บุกรุก พร้อมกับข้อมูลพื้นฐานของระบบที่โดนเจาะเข้าไป เพื่อช่วยในการระบุเป้าหมายให้ชัดเจนยิ่งขึ้น ขั้นที่สองมักเป็นอีเมลที่มีเอกสารแนบเป็น Microsoft Office ที่มีช่องโหว่รุ่นเก่าๆ (.docx or .pps) หรือลิ้งก์ที่โยงไปยังเว็บไซต์หน้าตาดูปกติดี เน้นเนื้อหาการเมือง มีข่าวการเมืองและบทความวิเคราะห์ที่น่าสนใจให้ติดตามอ่านในไฟล์ .pps หรือ Powerpoint Slideshow
เมื่อยูสเซอร์หลงเชื่ออีเมลและเว็บไซต์เหล่านั้นพากันเอาคอไปพาดเขียง เปิดไฟล์ก็จะไปกระตุ้นเพย์โหลดที่ฝังตัวอยู่ทำงาน ดาวน์โหลดและดึงทูลมาอีกจำนวนมาก เริ่มค้นหาเอกสารที่ดูว่ามีความสำคัญบนฮาร์ดไดรว์ของเหยื่อ ไม่ว่าจะเป็น Word หรือตารางใน Excel Presentation หรือไฟล์ PDF จากนั้นก็จะรวมไฟล์เหล่านี้กับข้อมูลส่วนตัวที่ดักเก็บมาได้จากบราวเซอร์ แล้วรวมเป็นมัดใหญ่ส่งไปเซิร์ฟเวอร์บังคับการของผู้ร้าย
การจู่โจมเหล่านี้และในทำนองนี้ อาศัยเซ็ตของช่องโหว่ที่เข้าใจกันว่าแก้ไขไปแล้ว คงเป็นไปไม่ได้ที่ไมโครซอฟท์จะหยั่งรู้และแก้ไขยกเลิกฟังก์ชั่นสุ่มเสี่ยงได้ทั้งหมดที่อาจพบได้ใน MS Office และเมื่อพิจารณาถึงความน่าเชื่อถือ ความสามารถในการชักจูง ล่อหลอก และความเต็มอกเต็มใจของยูสเซอร์ทั้งหลายที่จะคลิ้กตามเหยื่อล่อที่ปั้นแต่งมาอย่างดี แม้จะรู้ว่าเสี่ยงหรือจะเตือนแล้วก็ตาม ก็เท่ากับพาทั้งตนเองหรืออาจจะทั้งองค์กรเลยก็ว่าได้เดินเข้าไปสู่จุดจบ
ค่าความเสียหายจากการที่ข้อมูลถูกล่วงละเมิดดักฟัง โจรกรรมสำหรับองค์กรที่ข้อมูลมีความสำคัญและมีความเปราะบางมาก อาทิ หน่วยงานภาครัฐ/ทางการเมืองนั้นยากที่จะประเมินมูลค่า และเป้าหมายอาจจะเป็นองค์กรใดๆ นอกเหนือจากที่ว่านี้ก็ได้ วิธีการเจาะเข้าไปถึงเหยื่อเป้าหมายของ Elephant นั้น จะเป็นการอ้อมวนไปรอบๆ มาจากไกลๆ อาจจะเริ่มจากเจาะผ่านมาทางเพื่อนหรือที่ติดต่อธุรกิจที่เหยื่อไว้ใจเชื่อถือ ดังนั้น หากองค์กรของคุณมีความเกี่ยวข้อง การติดต่อ เชื่อมโยงสื่อสารกับหน่วยงานของรัฐ ทางที่ดีก็ควรจะมีระบบความปลอดภัยไว้ป้องกันตนเองให้พ้น เผื่อช้างจะแวะมาเยือนโดยไม่รู้ตัว
ไม่อยากเป็นเหยื่อ ก็จงติดเอาวุธป้องกันตน
ถือได้ว่าเทคนิคที่ “Dropping Elephant” นำมาใช้งานนั้นไม่หวือหวาเท่าใดนัก แต่ก็เหมาะเจาะต่อการนำมาใช้ประสานไปกับวิศวกรรมเชิงสังคม ทำงานได้ผล ศึกษาเหยื่อเป้าหมายมาปรุโปร่งก่อนลงมือ และสุดยอดพันธมิตรของความเสี่ยงของการถูกจารกรรมนี้อาจจะเป็นพนักงานคนในองค์กรของคุณนั่นเอง เพื่อเป็นการลดความเสี่ยงลงให้ต่ำที่สุด จึงจำเป็นต้องวางมาตรการความปลอดภัยที่มีการวางการป้องกันหลายชั้น โอเปอเรเตอร์ผู้บงการ Chinastrats อาศัยวางข้อมูลชวนเชื่อเป็นเหยื่อล่อ จึงต้องคอยเฝ้าดูอีเมลที่ไม่เข้าพวก การจัดการอบรมให้ความรู้ความเข้าใจ ดังที่แคสเปอร์สกี้ แลป จัดนั้น ก็เป็นการช่วยพัฒนามาตรการป้องกันตนเองในขั้นต้นให้แก่พนักงาน ช่วยในการสังเกตระบุชี้อุดช่องโหว่กันการจู่โจมของ Dropping Elephant
โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป เปิดเผยว่า แคสเปอร์สกี้ แลปมีการทำงานร่วมกับภาครัฐและหน่วยงานบังคับใช้กฎหมายทั่วโลก เพื่อการสืบสวนรูปแบบปฏิบัติการจู่โจมไซเบอร์ และยังสนับสนุนในการฝึกอบรมระดับมืออาชีพเพื่อสร้างความเข้าใจในรูปแบบการทำงานของระบบความปลอดภัยไซเบอร์ ตั้งแต่ขั้นพื้นฐานจนถึงระดับปรมาจารย์ขั้นสูงเพื่อวิเคราะห์มัลแวร์และกระบวนการพิสูจน์หลักฐานทางดิจิตอล คอร์สการอบรมด้านระบบความปลอดภัยไซเบอร์นี้สามารถเป็นประโยชน์ได้ทั้งต่อองค์กรภาครัฐและเอกชน และองค์กรที่สนใจตั้งศูนย์ปฏิบัติการด้านระบบความปลอดภัย
ส่วนช่องโหว่ที่คะเนกันไปได้รับการแก้ไขแล้วนั้นกลับเป็นปัญหา จึงต้องลดความผิดพลาดจากมนุษย์ด้วยเทคโนโลยี The Automatic Exploit Prevention ซึ่งมีอยู่ใน Kaspersky Endpoint Security for Business ทุกรุ่น สามารถลดปัญหา ความกังวลให้การป้องกันได้แม้กระทั่ง 0-day ผลจากการถูกเจาะระบบ
ที่สำคัญอย่างยิ่งอีกประการคือช่วงจังหวะเวลาในการอุดช่องโหว่ การบริหารช่องโหว่ข้อบกพร่องต่างๆ เป็นงานซับซ้อน ต้องเพิ่มเติมความรู้ตลอดเวลาและต้องอาศัยการทำออโตเมชั่น ซึ่งสามารถพึ่งพาตัวช่วยในการบริหารระบบที่เรียกว่า Kaspersky Lab’s Systems Management (มีติดตั้งใน Kaspersky Endpoint Security for Business Advanced และรุ่นสแตนอโลน) เป็นเทคโนโลยีที่ทำให้กระบวนการบริหารจัดการระบบเรียบง่ายขึ้น ลดความซับซ้อน ลดความกดดันจากงาน มีเวลาเหลือพอสำหรับที่จะคิดอ่านวางแผนเชิงกลยุทธ์ได้มากขึ้น
เมื่อคุณเป็นผู้พิทักษ์ความลับสำคัญ การวางแผนการป้องกันอย่างรัดกุมจึงเป็นเรื่องจำเป็นอย่างยิ่ง การติดตามร่องรอยการเปลี่ยนแปลงใดๆ ที่อาจส่งผลกระทบให้ระบบความปลอดภัยโดยอาศัยการรายงานที่แม่นยำจาก Kaspersky Lab’s Intelligence Reports and Datafeeds นั้น ถือว่าช่วยตระเตรียมขั้นตอนการป้องกันที่จำเป็นต่างๆ ก่อนเกิดเหตุร้ายได้ หรือจะใช้แพลตฟอร์มที่คอยระวังภัย ตื่นตัวรับมือกับการจู่โจมแบบมีเป้าหมาย อาทิ Kaspersky Anti Targeted Attack Platform ที่คอยเฝ้าระวังระดับชั้นต่างๆ ในโครงสร้างระบบ แม้แต่เครือข่าย เครื่องเอนด์พอยต์ที่มาต่อเชื่อม และระบบเมล ช่วยเป็นหน่วยสนับสนุนได้อย่างดียามที่ศตรูมาถึงประตูบ้านแล้ว
โปรดักส์ของแคสเปอร์สกี้ แลปตรวจหาคอมโพเน้นท์ทูลเซ็ตของ Dropping Elephant ได้ดังนี้:
Exploit.Win32.CVE-2012-0158
Exploit.MSWord.CVE-2014-1761
Trojan-Downloader.Win32.Genome
HEUR:Trojan.Win32.Generic
ข้อมูลเพิ่มเติม