แคสเปอร์สกี้ แลป เตือนภัยแฮกเกอร์ The Mask กำลังเจาะฐานข้อมูลรัฐบาลทั่วโลก

แคสเปอร์สกี้ แลป ผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ประกาสค้นพบปฏิบัติการจารกรรมไซเบอร์ล่าสุดชื่อ เดอะมาสก์ (The Mask หรือ Careto ในภาษาสเปน) ซึ่งพัวพันในปฏิบัติการร้ายระดับโลกหลายครั้งตั้งแต่ปี 2007 เดอะมาสก์เป็นชุดเครื่องมือที่มีความซับซ้อน ทั้งในรูปแบบมัลแวร์ รูตคิต บูตคิต แมคโอเอส (Mac OS) ลีนุก (Linux) และอาจรวมถึงแอนดรอยด์และไอโอเอส (iOS) ด้วย

เป้าหมายหลักของการจารกรรมนี้ คือ หน่วยงานรัฐบาล สถานกงสุล สถานทูต บริษัทพลังงาน น้ำมัน แก๊ส องค์กรวิจัยและกลุ่มเคลื่อนไหวต่างๆ ผู้เชี่ยวชาญตรวจพบเหยื่อใน 31 ประเทศทั่วโลก ครอบคลุมทวีปอเมริกา แอฟริกา ยุโรป เอเชียและตะวันออกกลาง

วัตถุประสงค์ของอาชญากรไซเบอร์ในปฏิบัติการนี้ คือการเก็บรวบรวมข้อมูลสำคัญ ไม่ว่าจะเป็นเอกสารสำนักงาน, รหัสเอ็นคริปชั่น, การตั้งค่า VPN, รหัสสำหรับ SSH Server, และไฟล์ RDP (สำหรับการรีโมทแอคเซสเพื่อเปิดช่องทางสื่อสารระหว่างเครื่องคอมพิวเตอร์)

ปีที่แล้ว ทีมนักวิจัยของแคสเปอร์สกี้ แลป ได้ค้นพบเดอะมาสก์ที่พยายามโจมตีช่องโหว่ที่ปิดไปแล้วของผลิตภัณฑ์ของบริษัท โดย exploit นี้มีมัลแวร์ที่เพิ่มความสามารถในการหลบหลีกการตรวจจับ ทำให้ทีมนักวิจัยเริ่มสังเกตและวิเคราะห์การทำงานของเดอะมาสก์ตั้งแต่นั้นเป็นต้นมา

เมื่อเดอะมาสก์แพร่กระจายเข้าสู่ระบบคอมพิวเตอร์ มันจะขัดขวางช่องทางการสื่อสารทุกช่องทาง และเลือกเก็บเฉพาะข้อมูลที่สำคัญจากเครื่อง การตรวจสอบและตรวจจับเดอะมาสก์เป็นไปได้ยาก เนื่องจากรูตคิตมีความสามารถในการหลบซ่อนสูง ลักษณะการทำงานแบบบิ้วต์-อิน และโมดูลการทำงานระดับจารกรรมไซเบอร์

ข้อมูลสำคัญ 

  • ผู้คิดค้นเดอะมาสก์น่าจะมีเชื้อสายสเปน ซึ่งไม่ค่อยพบในการโจมตีระดับ APT เช่นนี้มากนัก
  • การจารกรรมนี้มีปฏิบัติการยาวนานกว่า 5 ปีแล้ว ตั้งแต่เดือนมกราคม ปี 2007 และมีการปิดเซิร์ฟเวอร์ C&C ช่วงหนึ่งเพื่อหลบซ่อนการตรวจสอบจากแคสเปอร์สกี้ แลป
  • ผู้เชี่ยวชาญพบเหยื่อกว่า 380 ราย ในไอพีแอดเดรสกว่า 1000 รายการ ในประเทศดังต่อไปนี้ อัลจีเรีย อาร์เจนติน่า เบลเยี่ยม โบลิเวีย บราซิล จีน โคลัมเบีย คอสตาริก้า คิวบา อียิปต์ ฝรั่งเศส เยอรมัน ยิบรอลต้า กัวเตมาลา อิหร่าน อิรัก ลิเบีย มาเลเซีย เม็กซิโก โมรอกโก นอร์เวย์ ปากีสถาน โปแลนด์ แอฟริกาใต้ สเปน สวิตเซอแลนด์ ตูนิเซีย ตุรกี สหราชอาณาจักร สหรัฐอเมริกา และเวเนซูเอล่า
  • ความซับซ้อนและความแพร่หลายในระดับสากลของชุดเครื่องมือนี้ทำให้ปฏิบัติการจารกรรมไซเบอร์ครั้งนี้มีลักษณะพิเศษกว่าครั้งใดๆ ประกอบด้วย exploit ระดับสูง ทั้งในรูปแบบมัลแวร์ รูตคิต บูตคิต แมคโอเอส ลีนุก และอาจรวมถึงแอนดรอยด์และไอโอเอสด้วย
  • ในการโจมตีนี้ ส่วนหนึ่งจะใช้ exploit ช่องโหว่ของโปรแกรม Adobe Flash Player (CVE-2012-0773) ในแฟลชเพลเยอร์เวอร์ชั่นก่อนหน้ารุ่น 10.3 และ 11.2 โดย exploit นี้ถูกค้นพบโดยสถาบันวิจัย VUPEN และใช้หลบหลีกเบราเซอร์  Google Chrome Sandbox และชนะการแข่งขัน CanSecWest Pwn2Own เมื่อปี 2012 

รูปแบบการแพร่กระจายและการทำงาน 

จากรายงานของทีมงานแคสเปอร์สกี้ แลป เดอะมาสก์อาศัยฟิชชิ่งอีเมลเป็นหัวหอกนำร่องพร้อมมีลิงก์โยงเข้าเว็บไซต์หลอก ซึ่งเซ็ตไว้มี exploit จำนวนมากรออยู่เพื่อกระจายเชื้อที่ออกแบบมาให้เกาะเหยื่อที่หลุดเข้ามาได้ตามค่าคอนฟิกูเรชั่นของระบบเลยทีเดียว จากนั้นเว็บไซต์จะส่งต่อเหยื่อไปยังไซต์ที่ไม่เป็นอันตรายตามที่ปรากฏในอีเมล ซึ่งอาจจะเป็นหนังในยูทูปหรือพอร์ทัลข่าวสารก็ได้

จุดสำคัญคือเว็บไซต์ตัวล่อนี้จะไม่ปล่อยเชื้อเข้าเหยื่อโดยอัตโนมัติ แต่จะโฮสต์ exploit ไว้ในโฟลเดอร์บนเว็บไซต์ ซึ่งไม่ได้อ้างอิงหรือปรากฏในที่ใด เว้นแต่ในอีเมลที่เป็นฟิชชิ่งเท่านั้น หรือบางกรณีจะใช้ซับโดเมนที่อยู่บนเว็บไซต์เพื่อให้เหมือนจริงขึ้นไปอีก โดยเลียนแบบเซ็คชั่นย่อยตามหน้าหนังสือพิมพ์ในสเปนหรือในต่างประเทศ เช่น เดอะการ์เดี้ยนของอังกฤษ หรือ วอชิงตันโพสท์ของอเมริกา เป็นต้น

มัลแวร์จะสกัดช่องทางการสื่อสาร เก็บรวบรวมข้อมูลมีค่าจากระบบของเหยื่อ การตรวจจับนั้นทำได้ยากมาก เพราะมัลแวร์นี้มีศักยภาพในการพรางตัวถึงรูตคิต Careto จัดเป็นระบบที่มีลักษณะเป็นโมดูล่าสูง รับไฟล์ปลั๊กอินและคอนฟิกูเรชั่นได้ดี ทำให้ขอบข่ายในการทำงาน (ร้าย) สูงไปด้วย และโอเปอเรเตอร์ของมัลแวร์ตัวนี้ยังสามารถอัพโหลดโมดูลเพิ่มเติม เพื่อมาประกอบกกิจกรรมร้ายๆ ต่อได้อีกด้วย

ทั้งนี้ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและกำจัดมัลแวร์เดอะมาสก์หรือ Careto ได้ทุกเวอร์ชั่น

ท่านสามารถศึกษารายงานฉบับเต็มพร้อมรายละเอียดสถิติ ทูล จุดอ่อนเพื่อสังเกตการณ์ได้ที่

https://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

ข้อมูลถามตอบ

https://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

 

 

Latest

สร้างภาพ AI บนวินโดวส์ + การ์ดจอ AMD ด้วย Amuse AI

คนใช้การ์ดจอ AMD จะมีความเป็นลูกเมียน้อยอยู่นิดนึง เพราะโปรแกรมและโมเดลสร้างภาพส่วนใหญ่ จะออกแบบมาให้ใช้กับ CUDA ของ Nvidia เป็นหลัก แต่ต่อไปนี้คนใช้...

ใช้ windows 11 อย่างเซียน ด้วย PowerToys (ฟรี)

PowerToys เป็นชุดเครื่องมือฟรีจาก Microsoft ที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการทำงานของผู้ใช้ Windows โดยเฉพาะ Windows 11 ซึ่ง...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

Newsletter

Don't miss

สร้างภาพ AI บนวินโดวส์ + การ์ดจอ AMD ด้วย Amuse AI

คนใช้การ์ดจอ AMD จะมีความเป็นลูกเมียน้อยอยู่นิดนึง เพราะโปรแกรมและโมเดลสร้างภาพส่วนใหญ่ จะออกแบบมาให้ใช้กับ CUDA ของ Nvidia เป็นหลัก แต่ต่อไปนี้คนใช้...

ใช้ windows 11 อย่างเซียน ด้วย PowerToys (ฟรี)

PowerToys เป็นชุดเครื่องมือฟรีจาก Microsoft ที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการทำงานของผู้ใช้ Windows โดยเฉพาะ Windows 11 ซึ่ง...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

สร้างภาพ AI บนวินโดวส์ + การ์ดจอ AMD ด้วย Amuse AI

คนใช้การ์ดจอ AMD จะมีความเป็นลูกเมียน้อยอยู่นิดนึง เพราะโปรแกรมและโมเดลสร้างภาพส่วนใหญ่ จะออกแบบมาให้ใช้กับ CUDA ของ Nvidia เป็นหลัก แต่ต่อไปนี้คนใช้ AMD ไม่ต้องน้อยใจอีกต่อไป เพราะ Amuse AI คือโปรแกรมที่ออกแบบมาให้ใช้กับแพลตฟอร์มของ AMD โดยเฉพาะครับ สำหรับการ์ดจอนั้น ทาง Amuse AI แนะนำให้ใช้รุ่น RX 7000 ที่มี...

ใช้ windows 11 อย่างเซียน ด้วย PowerToys (ฟรี)

PowerToys เป็นชุดเครื่องมือฟรีจาก Microsoft ที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการทำงานของผู้ใช้ Windows โดยเฉพาะ Windows 11 ซึ่ง PowerToys มีฟีเจอร์หลากหลายที่ช่วยทำให้การทำงานของคุณสะดวกและรวดเร็วขึ้น มาดูว่าแต่ละเครื่องมือมีอะไรบ้างและสามารถใช้ทำอะไรได้บ้าง PowersToys โหลดฟรีจาก Microsoft Store ผู้ใช้วินโดวส์ 11 สามารถเข้าไปโหลดแอปตัวนี้ได้ฟรี จาก Microsoft Store ตามภาพ เมื่อติดตั้งเรียบร้อย PowerToys จะรัน auto...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

LEAVE A REPLY

Please enter your comment!
Please enter your name here