แคสเปอร์สกี้ แลป ผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ประกาสค้นพบปฏิบัติการจารกรรมไซเบอร์ล่าสุดชื่อ เดอะมาสก์ (The Mask หรือ Careto ในภาษาสเปน) ซึ่งพัวพันในปฏิบัติการร้ายระดับโลกหลายครั้งตั้งแต่ปี 2007 เดอะมาสก์เป็นชุดเครื่องมือที่มีความซับซ้อน ทั้งในรูปแบบมัลแวร์ รูตคิต บูตคิต แมคโอเอส (Mac OS) ลีนุก (Linux) และอาจรวมถึงแอนดรอยด์และไอโอเอส (iOS) ด้วย
เป้าหมายหลักของการจารกรรมนี้ คือ หน่วยงานรัฐบาล สถานกงสุล สถานทูต บริษัทพลังงาน น้ำมัน แก๊ส องค์กรวิจัยและกลุ่มเคลื่อนไหวต่างๆ ผู้เชี่ยวชาญตรวจพบเหยื่อใน 31 ประเทศทั่วโลก ครอบคลุมทวีปอเมริกา แอฟริกา ยุโรป เอเชียและตะวันออกกลาง
วัตถุประสงค์ของอาชญากรไซเบอร์ในปฏิบัติการนี้ คือการเก็บรวบรวมข้อมูลสำคัญ ไม่ว่าจะเป็นเอกสารสำนักงาน, รหัสเอ็นคริปชั่น, การตั้งค่า VPN, รหัสสำหรับ SSH Server, และไฟล์ RDP (สำหรับการรีโมทแอคเซสเพื่อเปิดช่องทางสื่อสารระหว่างเครื่องคอมพิวเตอร์)
ปีที่แล้ว ทีมนักวิจัยของแคสเปอร์สกี้ แลป ได้ค้นพบเดอะมาสก์ที่พยายามโจมตีช่องโหว่ที่ปิดไปแล้วของผลิตภัณฑ์ของบริษัท โดย exploit นี้มีมัลแวร์ที่เพิ่มความสามารถในการหลบหลีกการตรวจจับ ทำให้ทีมนักวิจัยเริ่มสังเกตและวิเคราะห์การทำงานของเดอะมาสก์ตั้งแต่นั้นเป็นต้นมา
เมื่อเดอะมาสก์แพร่กระจายเข้าสู่ระบบคอมพิวเตอร์ มันจะขัดขวางช่องทางการสื่อสารทุกช่องทาง และเลือกเก็บเฉพาะข้อมูลที่สำคัญจากเครื่อง การตรวจสอบและตรวจจับเดอะมาสก์เป็นไปได้ยาก เนื่องจากรูตคิตมีความสามารถในการหลบซ่อนสูง ลักษณะการทำงานแบบบิ้วต์-อิน และโมดูลการทำงานระดับจารกรรมไซเบอร์
ข้อมูลสำคัญ
- ผู้คิดค้นเดอะมาสก์น่าจะมีเชื้อสายสเปน ซึ่งไม่ค่อยพบในการโจมตีระดับ APT เช่นนี้มากนัก
- การจารกรรมนี้มีปฏิบัติการยาวนานกว่า 5 ปีแล้ว ตั้งแต่เดือนมกราคม ปี 2007 และมีการปิดเซิร์ฟเวอร์ C&C ช่วงหนึ่งเพื่อหลบซ่อนการตรวจสอบจากแคสเปอร์สกี้ แลป
- ผู้เชี่ยวชาญพบเหยื่อกว่า 380 ราย ในไอพีแอดเดรสกว่า 1000 รายการ ในประเทศดังต่อไปนี้ อัลจีเรีย อาร์เจนติน่า เบลเยี่ยม โบลิเวีย บราซิล จีน โคลัมเบีย คอสตาริก้า คิวบา อียิปต์ ฝรั่งเศส เยอรมัน ยิบรอลต้า กัวเตมาลา อิหร่าน อิรัก ลิเบีย มาเลเซีย เม็กซิโก โมรอกโก นอร์เวย์ ปากีสถาน โปแลนด์ แอฟริกาใต้ สเปน สวิตเซอแลนด์ ตูนิเซีย ตุรกี สหราชอาณาจักร สหรัฐอเมริกา และเวเนซูเอล่า
- ความซับซ้อนและความแพร่หลายในระดับสากลของชุดเครื่องมือนี้ทำให้ปฏิบัติการจารกรรมไซเบอร์ครั้งนี้มีลักษณะพิเศษกว่าครั้งใดๆ ประกอบด้วย exploit ระดับสูง ทั้งในรูปแบบมัลแวร์ รูตคิต บูตคิต แมคโอเอส ลีนุก และอาจรวมถึงแอนดรอยด์และไอโอเอสด้วย
- ในการโจมตีนี้ ส่วนหนึ่งจะใช้ exploit ช่องโหว่ของโปรแกรม Adobe Flash Player (CVE-2012-0773) ในแฟลชเพลเยอร์เวอร์ชั่นก่อนหน้ารุ่น 10.3 และ 11.2 โดย exploit นี้ถูกค้นพบโดยสถาบันวิจัย VUPEN และใช้หลบหลีกเบราเซอร์ Google Chrome Sandbox และชนะการแข่งขัน CanSecWest Pwn2Own เมื่อปี 2012
รูปแบบการแพร่กระจายและการทำงาน
จากรายงานของทีมงานแคสเปอร์สกี้ แลป เดอะมาสก์อาศัยฟิชชิ่งอีเมลเป็นหัวหอกนำร่องพร้อมมีลิงก์โยงเข้าเว็บไซต์หลอก ซึ่งเซ็ตไว้มี exploit จำนวนมากรออยู่เพื่อกระจายเชื้อที่ออกแบบมาให้เกาะเหยื่อที่หลุดเข้ามาได้ตามค่าคอนฟิกูเรชั่นของระบบเลยทีเดียว จากนั้นเว็บไซต์จะส่งต่อเหยื่อไปยังไซต์ที่ไม่เป็นอันตรายตามที่ปรากฏในอีเมล ซึ่งอาจจะเป็นหนังในยูทูปหรือพอร์ทัลข่าวสารก็ได้
จุดสำคัญคือเว็บไซต์ตัวล่อนี้จะไม่ปล่อยเชื้อเข้าเหยื่อโดยอัตโนมัติ แต่จะโฮสต์ exploit ไว้ในโฟลเดอร์บนเว็บไซต์ ซึ่งไม่ได้อ้างอิงหรือปรากฏในที่ใด เว้นแต่ในอีเมลที่เป็นฟิชชิ่งเท่านั้น หรือบางกรณีจะใช้ซับโดเมนที่อยู่บนเว็บไซต์เพื่อให้เหมือนจริงขึ้นไปอีก โดยเลียนแบบเซ็คชั่นย่อยตามหน้าหนังสือพิมพ์ในสเปนหรือในต่างประเทศ เช่น เดอะการ์เดี้ยนของอังกฤษ หรือ วอชิงตันโพสท์ของอเมริกา เป็นต้น
มัลแวร์จะสกัดช่องทางการสื่อสาร เก็บรวบรวมข้อมูลมีค่าจากระบบของเหยื่อ การตรวจจับนั้นทำได้ยากมาก เพราะมัลแวร์นี้มีศักยภาพในการพรางตัวถึงรูตคิต Careto จัดเป็นระบบที่มีลักษณะเป็นโมดูล่าสูง รับไฟล์ปลั๊กอินและคอนฟิกูเรชั่นได้ดี ทำให้ขอบข่ายในการทำงาน (ร้าย) สูงไปด้วย และโอเปอเรเตอร์ของมัลแวร์ตัวนี้ยังสามารถอัพโหลดโมดูลเพิ่มเติม เพื่อมาประกอบกกิจกรรมร้ายๆ ต่อได้อีกด้วย
ทั้งนี้ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและกำจัดมัลแวร์เดอะมาสก์หรือ Careto ได้ทุกเวอร์ชั่น
ท่านสามารถศึกษารายงานฉบับเต็มพร้อมรายละเอียดสถิติ ทูล จุดอ่อนเพื่อสังเกตการณ์ได้ที่
https://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf
ข้อมูลถามตอบ
https://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions