ทีมวิจัยระบบความปลอดภัยของแคสเปอร์สกี้ แลปได้เผยแพร่เอกสารวิจัยในหัวข้อ “Icefog” คือ APT group ขนาดเล็กแต่รุนแรง มีเป้าหมายการโจมตีอยู่องค์กรธุรกิจประเภทบริการจัดส่งสินค้า (supply chain) ในประเทศเกาหลีใต้และญี่ปุ่นที่ให้บริการลูกค้าจากโลกตะวันตก เริ่มพบเห็นปฏิบัติการนี้เมื่อปีพ.ศ. 2554 และขยายตัวในช่วงปีที่ผ่านมา
“เราตรวจพบการโจมตีธุรกิจของ APT ในรูปแบบต่างๆ โดยซุ่มแฝงตัวบนเน็ตเวิร์คขององค์กรที่ตกเป็นเหยื่ออยู่เป็นปีๆ คอยแอบยักย้ายถ่ายเทข้อมูลสำคัญๆ ไปมากมาย” คอสติน เรยู ผู้อำนวยการ ทีมวิเคราะห์วิจัยของแคสเปอร์สกี้ แลป กล่าว “โดยเฉพาะ Icefog นี้ใช้การโจมตีแบบ “ชนแล้วหนี” เปิดศักราชให้กลุ่มอื่นๆ ได้อาศัยรูปแบบการซุ่มจารกรรมข้อมูลเช่นนี้ ต่างกันเพียงขนาด แต่สามารถไล่ล่าข้อมูลเป้าหมายได้แม่นยำ ใช้เวลาเข้าโจมตี 2 – 3 วันหรือ 2 – 3 สัปดาห์ หลังยกเค้าข้อมูลได้ตามเป้าหมายแล้ว จะทำการลบหลักฐานทั้งหมดและหายตัวไปอย่างไร้ร่องรอย ในอนาคต คาดว่าการโจมตีในรูปแบบของ ‘APT-to-hire’ ที่มีขนาดเล็กแต่เจาะจงเป้าหมายเช่นนี้จะเพิ่มจำนวนขึ้น และเชี่ยวชาญปฏิบัติการ “ชนแล้วหนี” รูปแบบเดียวกับทหารรับจ้างในการทำสงครามในโลกยุคปัจจุบัน
ผลการวิจัยหลักๆ
- จากข้อมูลเบื้องต้นเกี่ยวกับเหยื่อพบว่าผู้เข้าโจมตีพุ่งความสนใจไปที่ข้อมูลดังนี้ การทหาร อู่ต่อเรือและการขนส่งทางทะเล การพัฒนาคอมพิวเตอร์และซอฟต์แวร์ บริษัทธุรกิจค้นคว้าวิจัย ผู้ให้บริการโทรคมนาคมและดาวเทียม สื่อสารมวลชนและโทรทัศน์
- นอกจากนี้ยังสนใจ ผู้รับเหมาในธุรกิจอุตสาหกรรมการป้องกันประเทศ อาทิ Lig Nex1 และซิเล็คตรอนอินดัสเตรียลคอมปะนี, บริษัทอู่ต่อเรือ เช่น DSME Tech, Hanjin Heavy Industries หรือผู้ให้บริการโทรคมนาคม เช่น เกาหลีเทเลคอม, ธุรกิจด้านสื่อ เช่น ฟูจิทีวี และ สมาคมเศรษฐกิจญี่ปุ่น-จีน
- ผู้เข้าโจมตีปล้นเอกสารสำคัญ แผนงานธุรกิจของบริษัท ข้อมูลอีเมล์แอคเค้าท์และพาสเวิร์ดเข้าไปยังฐานข้อมูลอื่นๆ ภายใน/นอกเครือข่ายของเหยื่อ
- ระหว่างปฏิบัติการโจมตี ผู้เข้าโจมตีใช้ ‘Icefog’ แบคดอร์เซ็ต (รู้จักในนาม ‘Fucobha’) ซึ่งแคสเปอร์สกี้ แลปได้ระบุพบว่า Icefog มีเวอร์ชั่นใช้บุกได้ทั้ง Microsoft Windows และ Mac OS X
- โดยมาก ช่วงการปฏิบัติการของ APT จะกินเวลาเดือนหรือปี แฝงตัวขโมยข้อมูลออกมาอย่างต่อเนื่อง ผู้ควบคุม Icefog จะจัดการกับเหยื่อทีละราย – ระบุตำแหน่งและก้อปปี้ข้อมูลเป้าหมายเท่านั้น เมื่อบรรลุเป้าหมายแล้วก็จะออกไป
- ส่วนมาก ผู้ควบคุม Icefog จะรู้เป้าหมายชัดเจน มองหาไฟล์ที่ต้องการ อย่างรวดเร็ว และถ่ายข้อมูลไปยัง C&C
การเข้าโจมตีและการปฏิบัติการ
นักวิจัยที่แคสเปอร์สกี้ แลป เจาะทะลาย 13 โดเมนจากทั้งหมด 70+ โดเมนที่ถูกผู้เข้าโจมตีใช้เป็นฐาน แสดงถึงสถิติจำนวนเหยื่อทั่วโลก และพบว่าเซิร์ฟเวอร์คอมมานด์และคอนโทรลของ Icefog นั้นเก็บล็อกเข้ารหัส และรายการปฏิบัติการต่างๆ ที่กระทำกับเหยื่อไว้ด้วย ซึ่งสามารถใช้ในการช่วยระบุหาเป้าหมายหรือเหยื่อรายใหม่ได้ นอกจากประเทศญี่ปุ่นและเกาหลีแล้ว ยังพบความเชื่อมโยงที่ต้องเฝ้าระวังกับอีกหลายประเทศ อาทิ ไต้หวัน ฮ่องกง จีน สหรัฐอเมริกา ออสเตรเลีย แคนาดา และสหราชอาณาจักร รวมไปถึงอิตาลี เยอรมันนี ออสเตรีย สิงคโปร์ เบลารุส และมาเลเซีย รวมจำนวนไอพีติดเชื้อและเหยื่อที่ทางแคสเปอร์สกี้ แลป เฝ้าระวังและติดตามความเคลื่อนไหวทั้งสิ้นมากกว่า 4,000 รายการ (มีทั้งเหยื่อบน Windows และจำนวนมากกว่า 350 รายการบน Mac OS X)
จากรายการไอพีที่ติดตามเฝ้าระวังและควบคุมโครงสร้างระบบอยู่นั่น ผู้เชี่ยวชาญที่แคสเปอร์สกี้ แลปอนุมานแหล่งกบดานของผู้ที่อยู่เบื้องหลังปฏิบัติการนี้ ได้แก่ จีน เกาหลีใต้ และญี่ปุ่น
ทั้งนี้ โซลูชั่นเพื่อความปลอดภัยของแคสเปอร์สกี้ แลป ได้ตรวจพบและกำจัดตัวแปรของมัลแวร์ Icefog ได้ทั้งหมด
สามารถอ่านเอกสารวิจัยฉบับเต็มและรายละเอียดเกี่ยวกับ Icefog ได้ที่ Securelist
https://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers
https://www.securelist.com/en/analysis/204792307/The_Icefog_APT_Frequently_Asked_Questions