แคสเปอร์สกี้ แลป เผยรายงานจารกรรมไซเบอร์ใหม่ล่าสุด พบการแทรกซึมของภัยคุกคามในองค์กรระดับชาติทั่วภูมิภาคทะเลจีนใต้โดยกลุ่ม “ไนกอน” (Naikon) เป็นเวลานานกว่า 5 ปี ด้วยวิธีการติดตั้งโครงสร้างการเชื่อมต่อแบบเรียลไทม์และการทำเหมืองข้อมูล (Data Mining) จนถึงทูลที่มี 48 คอมมานด์เพื่อสอดส่องระบบ
ผู้เชี่ยวชาญค้นพบว่ากลุ่มไนกอนใช้ภาษาจีนในการสื่อสารและมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลระดับสูง รวมถึงองค์กรทางการทหารและพลเรือนในภูมิภาคทะเลจีนใต้ ได้แก่ ประเทศฟิลิปปินส์ มาเลเซีย กัมพูชา อินโดนีเซีย เวียดนาม เมียนมาร์ สิงคโปร์ เนปาล ลาว จีน และไทย
แคสเปอร์สกี้ แลป ระบุข้อมูลสำคัญของปฏิบัติการของไนกอนไว้ดังนี้
- แต่ละประเทศใช้คนในการดำเนินการเก็บข้อมูลวัฒนธรรมของแต่ละประเทศ เช่น แนวโน้มการใช้อีเมลส่วนตัวในการทำงาน
- สถานที่ตั้งของโครงสร้าง (พร็อกซี่เซิร์ฟเวอร์) ภายในชายแดนของแต่ละประเทศ เพื่อรองรับการเชื่อมต่อเรียลไทม์และการไหลของข้อมูลในแต่ละวัน
- ปฏิบัติการโจมตีตามภูมิรัฐศาสตร์ดำเนินการยาวนานกว่า 5 ปี พุ่งเป้าหน่วยงานระดับสูง
- ใช้รหัสที่เป็นอิสระจากแพลตฟอร์ม สามารถสกัดกั้นทราฟฟิกของทั้งเครือข่าย
- ใช้คอมมานด์ทั้งสิ้น 48 คอมมานด์ในฟังก์ชั่นการบริหารระยะไกล รวมถึงคอมมานด์สำหรับการดาวน์โหลดและอัพโหลดข้อมูล การติดตั้งโมดูลแอด-ออน และการทำงานด้วยคอมมานด์ไลน์
กลุ่มจารกรรมไซเบอร์ที่ชื่อ “ไนกอน” นี้ ปรากฏชื่อครั้งแรกในรายงานล่าสุดของแคสเปอร์สกี้ แลป เรื่อง “The Chronicles of the Hellsing APT: the Empire Strikes Back” ซึ่งกลุ่มไนกอนมีบทบาทสำคัญในเหตุการณ์โจมตีกลุ่ม APT ด้วยกันเอง โดยมีคู่ปรับคือกลุ่มเฮลซิ่ง (Hellsing) ที่ต่อมาได้ตัดสินใจแก้แค้นเอาคืนกลุ่มไนกอน
เคิร์ต บอมการ์ตเนอร์ นักวิจัยซิเคียวริตี้ ทีมวิเคราะห์และวิจัยระดับโลก (GReAT) แคสเปอร์สกี้ แลป กล่าวว่า “กลุ่มอาชญากรไนกอนได้ออกแบบโครงสร้างที่มีความยืดหยุ่นสูงเพื่อใช้งานกับประเทศเป้าหมายประเทศใดก็ได้ตามความต้องการ และพร้อมรับข้อมูลที่หลั่งไหลมาจากระบบของเหยื่อสู่ศูนย์ควบคุมคำสั่ง หากผู้โจมตีตัดสินใจว่าจะเปลี่ยนเป้าหมายไปยังประเทศอื่นๆ ก็สามารถตั้งค่าเชื่อมต่อใหม่ได้ง่ายดาย การมีโอเปอเรเตอร์เฉพาะสำหรับแต่ละกลุ่มเป้าหมายยังช่วยให้กลุ่มไนกอนทำงานได้ง่ายขึ้นอีกด้วย”
กลุ่มไนกอนโจมตีเป้าหมายด้วยเทคนิคสเปียร์ฟิชชิ่งแบบดั้งเดิม โดยใช้อีเมลพร้อมไฟล์แนบที่ออกแบบให้ดึงดูดความสนใจของเป้าหมาย ไฟล์แนบนี้อาจดูเหมือนเอกสารเวิร์ด แต่แท้จริงแล้วเป็นไฟล์ที่บรรจุโปรแกรมคำสั่งพร้อมเอ็กเท็นชั่นนั่นเอง
แคสเปอร์สกี้ แลป แนะนำให้องค์กรป้องกันตัวเองจากไนกอนตามวิธีต่อไปนี้
- ไม่เปิดไฟล์และเว็บลิ้งก์จากผู้ส่งที่ไม่รู้จัก
- ใช้โซลูชั่นป้องกันมัลแวร์ขั้นสูง
- ถ้าไม่แน่ใจไฟล์แนบ ให้ลองเปิดไฟล์นั้นในแซนด์บ็อก
- ใช้ระบบปฏิบัติการเวอร์ชั่นที่อัพเดทล่าสุดที่ติดตั้งแพทช์ครบถ้วน
- แคสเปอร์สกี้ แลป ปกป้องผู้ใช้จากภัยคุกคามด้วยฟังก์ชั่น Automatic Exploit Prevention สามารถตรวจจับคอมโพเน้นท์ของไนกอนได้ ได้แก่ MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent and Backdoor.Win32.Agent.
ข้อมูลเพิ่มเติม
- Tracking Down Geo-Political Intelligence Across APAC, One Nation at a Time
https://securelist.com/analysis/publications/69953/the-naikon-apt/
- รายงานเรื่อง “The Chronicles of the Hellsing APT: the Empire Strikes Back” https://securelist.com/analysis/publications/69567/the-chronicles-of-the-hellsing-apt-the-empire-strikes-back/