แคสเปอร์สกี้ แลป เผย “Dropping Elephant” จารกรรมไซเบอร์ที่ไม่หวือหวา แต่เป็นภัยร้ายใกล้ตัวคุณ เน้นโจมตีเป้าหมายในเอเชีย

แผนการจารกรรมที่ไม่หรูเลิศ หน้าตาน่าผิดหวัง แต่ทว่า ..

สำหรับคนทั่วไปอย่างเรา เวลาได้ยินคำว่า ‘จารกรรม’ ภาพของจารชนสุดเท่ในชุดเนี้ยบกริบพกอาวุธสุดล้ำ ทันสมัย มีให้เลือกใช้ตามสถานการณ์ ไม่ใช่ปืนกระบอกโตๆ พร้อมที่เก็บเสียง และเมื่อเติมคำว่า ‘ไซเบอร์’ เข้าไป ก็ยิ่งเพิ่มรัศมีความขลังกันเข้าไปใหญ่ และมาพร้อมกับจินตนาการเทคโนโลยีจารกรรมชั้นยอด ทั้งดักฟังและขโมยความลับเบื้องหลังการเมืองกันได้แยบยล

แต่ภาพนั้น ตรงข้ามกับกลุ่มจารกรรมไซเบอร์ ‘Dropping Elephant’ (aka Chinastrats) ที่ค่อนข้างจะน่าผิดหวังอยู่สักหน่อย ทั้งชื่อกลุ่มและวิธีการ จนกระทั่ง นั่นแหละ มาเห็นว่าปฏิบัติการที่ไม่น่าเข้าท่านี้ประสบความสำเร็จขนาดไหน แถมยังใช้เทคนิคง่ายๆ เสียอีกแน่ะ

“Dropping Elephant” มีผู้ดำเนินการที่ใช้ภาษาอินเดีย เลือกเป้าหมายในภูมิภาคเอเชียเป็นส่วนใหญ่ สนใจรัฐบาลจีน องค์กรด้านการทูต รวมทั้งสถานทูตต่างประเทศและสำนักงานด้านความสัมพันธ์ระหว่างประเทศในจีน รวมไปถึงปากีสถาน ศรีลังกา อุรุกวัย บังคลาเทศ ไต้หวัน ออสเตรเลีย และสหรัฐอเมริกา ทำงานโดยใช้ทูลเซ็ตและเทคนิคเกาะไปกับวิศวกรรมเชิงสังคม (social engineering) ที่ระบบดี หลบใช้ช่องโหว่ที่แก้ไขไปนานแล้วและหันมาใช้ซอฟต์แวร์ที่ถูกกฎหมาย

เมื่อเหยื่อพร้อมใจกันเอาคอพาดเขียงให้เชือดง่ายๆ

รูปแบบการจู่โจมของ “Dropping Elephant” ที่เป็นมาตรฐานเลยนั้นเริ่มต้นที่ฟิชชิ่งสองขั้นตอน ขั้นแรกนั้นมักเป็น อีเมลหว่านออกไป มีไฟล์เอกสารที่ดูไร้อันตรายแนบไปด้วย ซึ่งอย่างไรเสียก็มีบทบาทสำคัญในการจู่โจม เมื่อเปิดไฟล์ขึ้นมา ไฟล์ก็จะส่งสัญญาน ‘ping’ เพื่อยืนยันกลับไปยังเซิร์ฟเวอร์บังคับการของผู้บุกรุก พร้อมกับข้อมูลพื้นฐานของระบบที่โดนเจาะเข้าไป เพื่อช่วยในการระบุเป้าหมายให้ชัดเจนยิ่งขึ้น ขั้นที่สองมักเป็นอีเมลที่มีเอกสารแนบเป็น Microsoft Office ที่มีช่องโหว่รุ่นเก่าๆ (.docx or .pps) หรือลิ้งก์ที่โยงไปยังเว็บไซต์หน้าตาดูปกติดี เน้นเนื้อหาการเมือง มีข่าวการเมืองและบทความวิเคราะห์ที่น่าสนใจให้ติดตามอ่านในไฟล์ .pps หรือ Powerpoint Slideshow

เมื่อยูสเซอร์หลงเชื่ออีเมลและเว็บไซต์เหล่านั้นพากันเอาคอไปพาดเขียง เปิดไฟล์ก็จะไปกระตุ้นเพย์โหลดที่ฝังตัวอยู่ทำงาน ดาวน์โหลดและดึงทูลมาอีกจำนวนมาก เริ่มค้นหาเอกสารที่ดูว่ามีความสำคัญบนฮาร์ดไดรว์ของเหยื่อ ไม่ว่าจะเป็น Word หรือตารางใน Excel Presentation หรือไฟล์ PDF จากนั้นก็จะรวมไฟล์เหล่านี้กับข้อมูลส่วนตัวที่ดักเก็บมาได้จากบราวเซอร์ แล้วรวมเป็นมัดใหญ่ส่งไปเซิร์ฟเวอร์บังคับการของผู้ร้าย

การจู่โจมเหล่านี้และในทำนองนี้ อาศัยเซ็ตของช่องโหว่ที่เข้าใจกันว่าแก้ไขไปแล้ว คงเป็นไปไม่ได้ที่ไมโครซอฟท์จะหยั่งรู้และแก้ไขยกเลิกฟังก์ชั่นสุ่มเสี่ยงได้ทั้งหมดที่อาจพบได้ใน MS Office และเมื่อพิจารณาถึงความน่าเชื่อถือ ความสามารถในการชักจูง ล่อหลอก และความเต็มอกเต็มใจของยูสเซอร์ทั้งหลายที่จะคลิ้กตามเหยื่อล่อที่ปั้นแต่งมาอย่างดี แม้จะรู้ว่าเสี่ยงหรือจะเตือนแล้วก็ตาม ก็เท่ากับพาทั้งตนเองหรืออาจจะทั้งองค์กรเลยก็ว่าได้เดินเข้าไปสู่จุดจบ

ค่าความเสียหายจากการที่ข้อมูลถูกล่วงละเมิดดักฟัง โจรกรรมสำหรับองค์กรที่ข้อมูลมีความสำคัญและมีความเปราะบางมาก อาทิ หน่วยงานภาครัฐ/ทางการเมืองนั้นยากที่จะประเมินมูลค่า และเป้าหมายอาจจะเป็นองค์กรใดๆ นอกเหนือจากที่ว่านี้ก็ได้ วิธีการเจาะเข้าไปถึงเหยื่อเป้าหมายของ Elephant นั้น จะเป็นการอ้อมวนไปรอบๆ มาจากไกลๆ อาจจะเริ่มจากเจาะผ่านมาทางเพื่อนหรือที่ติดต่อธุรกิจที่เหยื่อไว้ใจเชื่อถือ ดังนั้น หากองค์กรของคุณมีความเกี่ยวข้อง การติดต่อ เชื่อมโยงสื่อสารกับหน่วยงานของรัฐ ทางที่ดีก็ควรจะมีระบบความปลอดภัยไว้ป้องกันตนเองให้พ้น เผื่อช้างจะแวะมาเยือนโดยไม่รู้ตัวOleg Gorobets

ไม่อยากเป็นเหยื่อ ก็จงติดเอาวุธป้องกันตน

ถือได้ว่าเทคนิคที่ “Dropping Elephant” นำมาใช้งานนั้นไม่หวือหวาเท่าใดนัก แต่ก็เหมาะเจาะต่อการนำมาใช้ประสานไปกับวิศวกรรมเชิงสังคม ทำงานได้ผล ศึกษาเหยื่อเป้าหมายมาปรุโปร่งก่อนลงมือ และสุดยอดพันธมิตรของความเสี่ยงของการถูกจารกรรมนี้อาจจะเป็นพนักงานคนในองค์กรของคุณนั่นเอง เพื่อเป็นการลดความเสี่ยงลงให้ต่ำที่สุด จึงจำเป็นต้องวางมาตรการความปลอดภัยที่มีการวางการป้องกันหลายชั้น โอเปอเรเตอร์ผู้บงการ Chinastrats อาศัยวางข้อมูลชวนเชื่อเป็นเหยื่อล่อ จึงต้องคอยเฝ้าดูอีเมลที่ไม่เข้าพวก การจัดการอบรมให้ความรู้ความเข้าใจ ดังที่แคสเปอร์สกี้ แลป จัดนั้น ก็เป็นการช่วยพัฒนามาตรการป้องกันตนเองในขั้นต้นให้แก่พนักงาน ช่วยในการสังเกตระบุชี้อุดช่องโหว่กันการจู่โจมของ Dropping Elephant

โอเลก โกโรเบต ผู้จัดการกลุ่มกำหนดเทคโนโลยี แคสเปอร์สกี้ แลป เปิดเผยว่า แคสเปอร์สกี้ แลปมีการทำงานร่วมกับภาครัฐและหน่วยงานบังคับใช้กฎหมายทั่วโลก เพื่อการสืบสวนรูปแบบปฏิบัติการจู่โจมไซเบอร์ และยังสนับสนุนในการฝึกอบรมระดับมืออาชีพเพื่อสร้างความเข้าใจในรูปแบบการทำงานของระบบความปลอดภัยไซเบอร์ ตั้งแต่ขั้นพื้นฐานจนถึงระดับปรมาจารย์ขั้นสูงเพื่อวิเคราะห์มัลแวร์และกระบวนการพิสูจน์หลักฐานทางดิจิตอล คอร์สการอบรมด้านระบบความปลอดภัยไซเบอร์นี้สามารถเป็นประโยชน์ได้ทั้งต่อองค์กรภาครัฐและเอกชน และองค์กรที่สนใจตั้งศูนย์ปฏิบัติการด้านระบบความปลอดภัย

ส่วนช่องโหว่ที่คะเนกันไปได้รับการแก้ไขแล้วนั้นกลับเป็นปัญหา จึงต้องลดความผิดพลาดจากมนุษย์ด้วยเทคโนโลยี The Automatic Exploit Prevention ซึ่งมีอยู่ใน Kaspersky Endpoint Security for Business ทุกรุ่น สามารถลดปัญหา ความกังวลให้การป้องกันได้แม้กระทั่ง 0-day ผลจากการถูกเจาะระบบ

ที่สำคัญอย่างยิ่งอีกประการคือช่วงจังหวะเวลาในการอุดช่องโหว่ การบริหารช่องโหว่ข้อบกพร่องต่างๆ เป็นงานซับซ้อน ต้องเพิ่มเติมความรู้ตลอดเวลาและต้องอาศัยการทำออโตเมชั่น ซึ่งสามารถพึ่งพาตัวช่วยในการบริหารระบบที่เรียกว่า Kaspersky Lab’s Systems Management (มีติดตั้งใน Kaspersky Endpoint Security for Business Advanced และรุ่นสแตนอโลน) เป็นเทคโนโลยีที่ทำให้กระบวนการบริหารจัดการระบบเรียบง่ายขึ้น ลดความซับซ้อน ลดความกดดันจากงาน มีเวลาเหลือพอสำหรับที่จะคิดอ่านวางแผนเชิงกลยุทธ์ได้มากขึ้น

เมื่อคุณเป็นผู้พิทักษ์ความลับสำคัญ การวางแผนการป้องกันอย่างรัดกุมจึงเป็นเรื่องจำเป็นอย่างยิ่ง การติดตามร่องรอยการเปลี่ยนแปลงใดๆ ที่อาจส่งผลกระทบให้ระบบความปลอดภัยโดยอาศัยการรายงานที่แม่นยำจาก Kaspersky Lab’s Intelligence Reports and Datafeeds นั้น ถือว่าช่วยตระเตรียมขั้นตอนการป้องกันที่จำเป็นต่างๆ ก่อนเกิดเหตุร้ายได้ หรือจะใช้แพลตฟอร์มที่คอยระวังภัย ตื่นตัวรับมือกับการจู่โจมแบบมีเป้าหมาย อาทิ Kaspersky Anti Targeted Attack Platform ที่คอยเฝ้าระวังระดับชั้นต่างๆ ในโครงสร้างระบบ แม้แต่เครือข่าย เครื่องเอนด์พอยต์ที่มาต่อเชื่อม และระบบเมล ช่วยเป็นหน่วยสนับสนุนได้อย่างดียามที่ศตรูมาถึงประตูบ้านแล้ว

โปรดักส์ของแคสเปอร์สกี้ แลปตรวจหาคอมโพเน้นท์ทูลเซ็ตของ Dropping Elephant ได้ดังนี้:

Exploit.Win32.CVE-2012-0158

Exploit.MSWord.CVE-2014-1761

Trojan-Downloader.Win32.Genome

HEUR:Trojan.Win32.Generic

ข้อมูลเพิ่มเติม

Latest

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

Newsletter

Don't miss

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime monitoring สมัยนี้มีหลากหลายเจ้า ปกติจะเก็บค่าบริการกันแบบ subscription รายเดือน แต่ถ้าใครไม่อยากจ่ายตังค์ วันนี้ผมมีโซลูชั่น สำหรับใครที่มีการใช้งาน NAS อยู่แล้ว เราจะเอา NAS มาทำเป็น uptime monitoring...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ ใช้มาหลอกเรา ส่งข้อความมาทาง inbox แจ้งว่าเพจทำผิดกฎ หรือ ละเมิดกฎเฟซบุ๊ก ให้กดลิงค์ เพื่อยืนยันตัวตน ไม่งั้นจะบล็อกเพจถาวร พอเรากดลิงค์เข้าไป จะเจอกับหน้าเพจ (คล้าย) เฟซบุ๊ก ซึ่งมีฟอร์มให้เราใส่ข้อมูลต่างๆ รวมถึง ชื่อเพจ อีเมล...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

LEAVE A REPLY

Please enter your comment!
Please enter your name here