Trend Micro เผยรายงานเกี่ยวกับความน่ากลัวของ “Pawn Storm” กลุ่มแฮ็กเกอร์ที่สร้างพลังทำลาย แห่งโลกโซลเชียล !

จากรายงานฉบับล่าสุดของ Trend Micro เกี่ยวกับแก๊งอาชญากรข้ามชาติ Pawn Storm (ที่มีนิกเนมต่างๆ ไม่ว่าจะเป็น APT28, Fancy Bear, Strontium เป็นต้น) ที่รายงานถึงความเคลื่อนไหวของทีมแฮ็กเกอร์ระดับโลกนี้ ซึ่งฝากผลงานไว้มากมายและยาวนานกว่าที่เราเคยคิด โดยเฉพาะการยกระดับมาทำผลิตภัณฑ์โซลูชั่นสำหรับขายแฮ็กเกอร์รายอื่นด้วย เราพบกิจกรรมของแก๊งนี้มาตั้งแต่ 17 ปีก่อนหน้า ซึ่งเน้นทำตลาดโจมตีกลุ่มหน่วยงานภาครัฐ, ทหาร, สื่อมวลชน, และองค์กรทางการเมืองต่างๆ ทั่วโลก ในรายงานฉบับนี้จะกล่าวถึงการเปลี่ยนกลุ่มเป้าหมายมาเน้นการหลอกลวงหรือสร้างข่าวลวงทางไซเบอร์ในช่วงสองปีที่ผ่านมา แถมมีความเคลื่อนไหวเพิ่มมากขึ้นถึงสี่เท่าภายในปีที่แล้วปีเดียว

 

ประวัติความเป็นมาของ Pawn Storm

ทีมนักวิจัยของเราได้พบร่องรอยการเคลื่อนไหวของ Pawn Storm มาตั้งแต่ปี 2547 แต่มีรายงานเป็นทางการฉบับแรกที่ตีพิมพ์ออกมาเกี่ยวกับอาชญากรกลุ่มนี้ในปี 2557 ซึ่งตั้งแต่นั้นเป็นต้นมาก็พบการโจมตีองค์กรระดับโลกทั้งหลายที่มักพบว่ามีความเกี่ยวข้องในเชิงต่อต้านหรือเป็นศัตรูทางการเมืองกับรัสเซีย แก๊งนี้ได้โจมตีองค์กรต่างๆ สำเร็จมาแล้วทั่วโลกด้วยกลยุทธ์การหลอกเอารหัสผ่านจากเหยื่อ ที่มีการวางแผนล่วงหน้าไว้อย่างละเอียด จำเพาะ และแยบยล

 

นอกจากการโจมตีในช่วงการเลือกตั้งของสหรัฐฯ ที่สร้างความฮือฮาพาดหัวสำนักข่าวทุกฉบับมาแล้วนั้น ก็มีองค์กรชื่อดังอีกหลายรายที่ตกเป็นเหยื่อในช่วง 3 ปีที่ผ่านมาอันได้แก่:

 

  • มิถุนายน 2557 โจมตีเว็บไซต์รัฐบาลของโปแลนด์
  • กันยายน 2557 โจมตีผู้ผลิตเชื้อเพลิงนิวเคลียร์รายใหญ่ของสหรัฐฯ ด้วยการสร้างเพจล็อกอิน Outlook Web Access หลอกๆ สำหรับพนักงานของบริษัท นอกจากนี้ยังใช้การโจมตีแบบเดียวกันนี้กับหน่วยงานทางการทหารทั้งในสหรัฐฯ และประเทศในโซนยุโรปด้วย
  • ธันวาคม 2557 โจมตีบัญชีผู้ใช้ของพนักงานบริษัทหนังสือพิมพ์ยักษ์ใหญ่ในสหรัฐฯ กว่า 55 บัญชี รวมถึงแฮ็กบัญชีผู้ใช้ของตัวแทนการทหารของสหรัฐฯ อีกหลายครั้งภายในเดือนเดียวกัน
  • มกราคม 2558 โจมตีบล็อกเกอร์ยูทูปชื่อดังสามราย ด้วยการโจมตีแบบหลอกลวงผ่าน Gmail ซึ่งการโจมตีดังกล่าวเกิดขึ้นเพียงแค่สี่วันหลังจากที่บล็อกเกอร์กลุ่มดังกล่าวได้สัมภาษณ์ประธานาธิบดีสหรัฐฯ บารัก โอบาม่า ที่ไวท์เฮาส์

  • กุมภาพันธ์ 2558 – ตรวจพบการใช้แอพอันตรายบน iOS เพื่อล้วงความลับ นอกจากนี้ยังมีการโจมตีหน่วยงานของนาโต้ในยูเครนด้วยเพจOWA หลอกด้วย
  • เมษายน 2558 – โจมตีสมาชิกนาโต้หลายชาติ รวมไปถึงสถานีโทรทัศน์ฝรั่งเศสอย่าง TV5Monde จนทำให้ทีวีหลายช่องทั่วโลกต้องระงับสัญญาณ
  • กรกฎาคม 2558 – ถูกค้นพบโดย Trend Micro ว่ามีการใช้ประโยชน์จากช่องโหว่บนจาวาแบบ Zeroday
  • กรกฎาคม 2558 – ในเดือนเดียวกันนี้ ก็มีแก้ไขโดยรีไดเร็กต์หนึ่งในเซิร์ฟเวอร์ควบคุมสั่งการของแก๊งนี้มาที่ไอพีของ Trend Micro เอง
  • สิงหาคม 2558 – พบการสืบความลับภายในประเทศตัวเอง โดยเจาะกลุ่มชาวรัสเซียที่ต่อต้านรัฐบาล, สื่อมวลชน, ศิลปิน, ทหาร หรือรวมไปถึงคู่ครองของเจ้าหน้าที่ทางการสหรัฐฯ ด้วย
  • กันยายน 2558 – ทำเซิร์ฟเวอร์ปลอมที่ทำตัวเลียนแบบเซิร์ฟเวอร์ SFTP (Secure File Transfer Protocol) ของคณะกรรมการความปลอดภัยของฮอลแลนด์ พร้อมทั้งทำเซิร์ฟเวอร์ Outlook Web Access (OWA) ปลอมที่ใช้เล่นงานสมาชิกคณะกรรมการดังกล่าวที่มีส่วนร่วมในการสืบสวนเหตุการณ์ MH17
  • ตุลาคม 2558 – ทาง Trend Micro ตรวจพบการใช้โค้ดที่ใช้ช่องโหว่บน Adobe Flash แบบ Zeroday เพื่อเจาะกลุ่มเหยื่อที่เป็นกระทรวงการต่างประเทศหลายแห่ง โดยใช้อีเมล์หลอกลวงแบบเจาะจงเป้าหมาย

 

ในปี 2559 แก๊ง Pawn Storm ก็ยังคงทำการโจมตีทางไซเบอร์อย่างต่อเนื่อง รวมทั้งเริ่มมีการใช้เทคนิคที่หลากหลายมากขึ้นด้วย โดยนอกจากการหลอกลวงเพื่อล้วงความลับและรหัสผ่านจากเหยื่อที่มีมูลค่าสูงมากขึ้นเรื่อยๆ แล้ว ก็ยังมีการสร้างข่าวลวงทางไซเบอร์ด้วย ซึ่งเมื่อพิจารณาจากโดเมนหลอกที่มีการตั้งขึ้นมาแล้ว จะพบว่าแก๊งนี้เจาะกลุ่มเหยื่อที่เป็นพรรคการเมือง และสื่อมวลชนเป็นพิเศษ

 

วันที่

องค์กร

โดเมนหลอกที่นำมาใช้

หน่วยงานทางทหาร

04/03/59

กองทัพบัลการี

mail.armf.bg.messageid8665213.tk

กระทรวงกลาโหม (MOD)

19/02/59

กระทรวงกลาโหมของโปแลนด์

poczta.mongov.pl

สื่อมวลชน

24/02/59

Hurriyet

postahurriyet.com

14/03/59

Anadolu Agency

anadoluajansi.com

15/03/59

Anadolu Agency

mail.anadoluajansi.web.tr

11/05/59

Hurriyet

webmailhurriyet.com

12/06/59

Hurriyet

mailhurriyet.com

14/11/59

Al Jazeera

accountaljazeera.net

14/11/59

Al Jazeera

sssetaljazeera.net

15/11/59

Al Jazeera

ssetaljazeera.net

16/11/59

Al Jazeera

ssetaljazeera.com

21/11/59

Al Jazeera

mailaljazeera.net

พรรคการเมือง

01/21/59

นายกรัฐมนตรีตุรกี

epost.byegm.web.tr

01/12/59

นายกรัฐมนตรีตุรกี

mail.byegm.web.tr

01/02/59

นายกรัฐมนตรีตุรกี

eposta.basbakanlik.qov.web.tr

01/02/59

รัฐสภาตุรกี

eposta.tbmm.qov.web.tr

01/03/59

พรรคเดโมแครตในสหรัฐฯ

myaccount.google.comsecuritysettingpage.gq

01/04/59

พรรคเดโมแครตในสหรัฐฯ

myaccount.google.comchangepasswordmyaccountidx8jxcn4ufdmncudd.gq

22/04/59

พรรค CDU ของเยอรมัน

webmailcdu.de

06/05/59

พรรค CDU ของเยอรมัน

supportcdu.de

06/06/59

พรรคเดโมแครตในสหรัฐฯ

actblues.com

20/10/59

รัฐสภามอนเตเนโกร

mailskupstina.me

ภาคการศึกษา

04/03/59

มหาวิทยาลัย Tartu

mail.universitytartu.info

13/09/59

มหาวิทยาลัย Baikal State

mailisea.ru

องค์กรนานาชาติ

03/08/59

World AntiDoping Agency (WADA)

mail.wadaawa.org

08/08/59

World AntiDoping Agency (WADA)

inside.wadaarna.org

08/08/59

Tribunal Arbitral du Sport (TAS)

tascass.org

การโจมตีของ Pawn Storm ในปี 2559

 

เทคนิคโจมตีแบบหลอกลวงที่ได้ผลยอดเยี่ยม

 

ในการโจมตีช่วงแรกนั้น แก๊งนี้ใช้วิธีหลอกลวงเพื่อล่อเอารหัสผ่านโดยออกแบบกระบวนการให้เข้ากับเหตุการณ์ตามตำแหน่งต่างๆ ของโลก เพื่อให้เหยื่อวางใจมากที่สุด ด้วยการออกแบบอีเมล์ที่มีการสะกดและใช้ไวยากรณ์ได้ถูกต้องตามหลักภาษาของเหยื่อ เพื่อใช้หลบระบบกรองจดหมายขยะของเป้าหมาย

 

นอกจากนี้ ยังเล็งเป้าไปที่บัญชีอีเมล์องค์กรที่เปิดให้ล็อกอินผ่านหน้าเว็บในฐานะที่เป็นจุดอ่อนมากที่สุดในกระบวนการจัดการข้อมูลของธุรกิจ ซึ่งบัญชีเหล่านี้จะให้ข้อมูลลับมากมายที่นำไปใช้ประโยชน์ในการสร้างกระแสสังคมแก่คนหมู่มากได้ด้วย ตัวอย่างเช่น Pawn Storm ได้ขโมยข้อมูลจากบัญชีเว็บเมล์ของ World AntiDoping Agency (WADA) เมื่อปี 2559 โดยครั้งนั้นแก๊งนี้ใช้ชื่อเล่นว่า “Fancy Bear” เพื่อสร้างกระแสในกลุ่มนักกีฬาชาวรัสเซียที่โดนแบนจากกีฬาโอลิมปิกฤดูร้อน เป็นต้น นอกจากนี้ บัญชีเว็บเมล์ยังอาจถูกนำไปใช้เป็นบันได้ก้าวไปสู่การเจาะระบบขององค์กรเป้าหมายได้มากขึ้นด้วย

 

Pawn Storm ยังเน้นการแฮ็กบัญชีเว็บเมลสาธารณะของคนที่มีชื่อเสียงหรือมีบทบาทสำคัญ เช่น จาก Yahoo! และ Gmail มาอย่างต่อเนื่อง โดยแก๊งนี้จะคอยส่งอีเมล์หลอกลวงที่ออกแบบเป็นพิเศษเพื่อเจาะจงเป้าหมายไปยังเหยื่อ หลายครั้งต่อสัปดาห์ พยายามปรับเปลี่ยนหลากหลายรูปแบบเรื่อยๆ จนกว่าเหยื่อจะหลงกล ซึ่งทีมนักวิจัยพบร่องรอยอีเมล์หลอกลวงพวกนี้นับพันรายการตั้งแต่ช่วงต้นปี 2558

 

การล้วงรหัสผ่านที่นำไปสู่การล้วงความลับจนตับแตก

หลังจากเหยื่อหลงกลเทคนิคการหลอกลวงทางจิตวิทยา ด้วยการคลิกลิงค์อันตราย หรือเปิดไฟล์แนบที่ติดไวรัสแล้ว ผู้โจมตีจะเริ่มขั้นตอนต่อไปด้วยการใช้มัลแวร์อย่างง่ายในการสแกนเครือข่ายเป้าหมายเพื่อหาข้อมูลทั้งลับต่างๆและข้อมูลสำคัญเกี่ยวกับระบบ จากนั้นแก๊ง Pawn Storm นี้จะค่อยๆ เก็บรวบรวมข้อมูลจากระบบของเหยื่ออย่างเงียบๆ ซึ่งอาจใช้เวลานานเป็นปี ซึ่งเมื่อเรียนรู้มากขึ้นเกี่ยวกับเหยื่อ แล้วพบว่าเป็นเหยื่อที่มีมูลค่าในการทำเงินสูงหรือน่าเอามาใช้ประโยชน์ได้มากแล้ว พวกเขาก็จะปล่อยมัลแวร์ก๊อกสองที่ล้วงข้อมูลลึกเข้าไปอีก ซึ่งเหยื่อมูลค่ากลุ่มนี้มักเป็นหน่วยงานขนาดเล็กที่สังกัดองค์กรขนาดใหญ่ที่เป็นเป้าหมายที่แท้จริง

 

Pawn Storm ใช้ข้อมูลได้นี้ไปใช้ประโยชน์สองรูปแบบ ได้แก่

  • ใช้ในการเจาะระบบลึกเข้าไปอีกในเครือข่ายของเป้าหมายที่เกี่ยวข้อง โดยเฉพาะการทำเป็นจุดส่งต่อการโจมตีหรือ Island Hop เช่น ใช้ส่งอีเมล์ที่ปลอมตัวตนออกไปหาเหยื่อภายนอก
  • นำข้อมูลอีเมล์ลับมาเผยแพร่ เพื่อสร้างความอับอายหรือทำให้เสื่อมเสียชื่อเสียงในที่สาธารณะ

 

แล้วเป้าหมายต่อไปของ Pawn Storm คือ?

เรายังมองเห็นแนวโน้มที่แก๊งนี้จะทวีความรุนแรงอย่างต่อเนื่องในปี 2560 โดยทางทีมนักวิจัยของเราต่างพยายามไล่ตามเพื่อค้นหาโดเมนที่แก๊งนี้ใช้ก่อเหตุ โดยเฉพาะโดเมนที่จดขึ้นเพื่อเคลื่อนไหวที่เกี่ยวข้องกับเหตุการณ์ทางการเมืองในฝรั่งเศสและเยอรมัน อย่างองค์กรด้านการเมืองของเยอรมัน Konrad Adenauer Stiftung และแคมเปญหาเสียงของประธานาธิบดีคนใหม่อย่าง Emmanuel Macron ที่ตกเป็นเป้าโจมตีในปีนี้

 

แก๊ง Pawn Storm ยังคงตกเป็นเป้าความสนใจของสื่ออย่างต่อเนื่อง นับตั้งแต่ข่าวพาดหัวใหญ่ในปี 2559 เกี่ยวกับการโจมตีที่ส่งผลต่อการลงคะแนนเลือกตั้งของสหรัฐฯ ทาง Trend Micro ยังพบแนวโน้มการโจมตีลักษณะเดียวกันนี้ที่จะเกิดขึ้นต่อเนื่อง โดยเฉพาะจากรายงานการคาดการณ์ปี 2560 ของเราที่ระบุว่า การสร้างข่าวลือข่าวลวงเพื่อเป็นกระแสทางไซเบอร์จะเกิดขึ้นมหาศาลจนกลายเป็นเรื่องปกติ นอกจากนี้รายงานยังแสดงให้เห็นถึงการเข้าไปยุ่งเกี่ยวของแก๊งนี้กับการเลือกตั้งทั้งในฝรั่งเศสและเยอรมัน

 

องค์กรทางการเมืองต่างๆ เช่นเดียวกับองค์กรอื่นๆ ทั่วโลกนั้นควรจัดการด้านความปลอดภัยด้วยสมมติฐานว่าตัวเองโดนเจาะระบบหรือฝังมัลแวร์สืบความลับไปแล้วอยู่ตลอด ตั้งแต่บริเวณห้องรับรองไปจนถึงห้องเซิร์ฟเวอร์ ทุกฝ่ายต้องทำงานร่วมกันเพื่อปกป้องข้อมูลที่เป็นความลับจากแฮ็กเกอร์ทั้งหลายไม่ว่าจะเป็น Pawn Storm, แฮ็กเกอร์ที่เป็นนักเคลื่อนไหวทางการเมือง, กลุ่มอาชญากรไซเบอร์ หรือแม้แต่ภัยที่เกิดจากคนภายในองค์กรเอง การปล่อยให้ข้อมูลที่เป็นความลับ และทรัพย์สินทางปัญญาหลุดรอดไปอยู่ในมือผู้ไม่หวังดี มักมีจุดจบที่ไม่สวยไม่ว่าจะเป็นองค์กรใดๆ

 

สำหรับข้อมูลอื่นๆ ที่เกี่ยวข้องกับ Pawn Storm สามารถเข้าเยี่ยมชมได้ที่ Research Hub https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-pawn-storm-fast-facts ของ Trend Micro ซึ่งคุณสามารถค้นหางานวิจัยและข้อมูลที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ในช่วงสามปีที่ผ่านมาได้ด้วย

Latest

สร้างภาพ AI บนวินโดวส์ + การ์ดจอ AMD ด้วย Amuse AI

คนใช้การ์ดจอ AMD จะมีความเป็นลูกเมียน้อยอยู่นิดนึง เพราะโปรแกรมและโมเดลสร้างภาพส่วนใหญ่ จะออกแบบมาให้ใช้กับ CUDA ของ Nvidia เป็นหลัก แต่ต่อไปนี้คนใช้...

ใช้ windows 11 อย่างเซียน ด้วย PowerToys (ฟรี)

PowerToys เป็นชุดเครื่องมือฟรีจาก Microsoft ที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการทำงานของผู้ใช้ Windows โดยเฉพาะ Windows 11 ซึ่ง...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

Newsletter

Don't miss

สร้างภาพ AI บนวินโดวส์ + การ์ดจอ AMD ด้วย Amuse AI

คนใช้การ์ดจอ AMD จะมีความเป็นลูกเมียน้อยอยู่นิดนึง เพราะโปรแกรมและโมเดลสร้างภาพส่วนใหญ่ จะออกแบบมาให้ใช้กับ CUDA ของ Nvidia เป็นหลัก แต่ต่อไปนี้คนใช้...

ใช้ windows 11 อย่างเซียน ด้วย PowerToys (ฟรี)

PowerToys เป็นชุดเครื่องมือฟรีจาก Microsoft ที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการทำงานของผู้ใช้ Windows โดยเฉพาะ Windows 11 ซึ่ง...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

สร้างภาพ AI บนวินโดวส์ + การ์ดจอ AMD ด้วย Amuse AI

คนใช้การ์ดจอ AMD จะมีความเป็นลูกเมียน้อยอยู่นิดนึง เพราะโปรแกรมและโมเดลสร้างภาพส่วนใหญ่ จะออกแบบมาให้ใช้กับ CUDA ของ Nvidia เป็นหลัก แต่ต่อไปนี้คนใช้ AMD ไม่ต้องน้อยใจอีกต่อไป เพราะ Amuse AI คือโปรแกรมที่ออกแบบมาให้ใช้กับแพลตฟอร์มของ AMD โดยเฉพาะครับ สำหรับการ์ดจอนั้น ทาง Amuse AI แนะนำให้ใช้รุ่น RX 7000 ที่มี...

ใช้ windows 11 อย่างเซียน ด้วย PowerToys (ฟรี)

PowerToys เป็นชุดเครื่องมือฟรีจาก Microsoft ที่ถูกออกแบบมาเพื่อเพิ่มประสิทธิภาพในการทำงานของผู้ใช้ Windows โดยเฉพาะ Windows 11 ซึ่ง PowerToys มีฟีเจอร์หลากหลายที่ช่วยทำให้การทำงานของคุณสะดวกและรวดเร็วขึ้น มาดูว่าแต่ละเครื่องมือมีอะไรบ้างและสามารถใช้ทำอะไรได้บ้าง PowersToys โหลดฟรีจาก Microsoft Store ผู้ใช้วินโดวส์ 11 สามารถเข้าไปโหลดแอปตัวนี้ได้ฟรี จาก Microsoft Store ตามภาพ เมื่อติดตั้งเรียบร้อย PowerToys จะรัน auto...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

LEAVE A REPLY

Please enter your comment!
Please enter your name here