กรุงเทพฯ--16 ก.พ.--Kaspersky Lab
แคสเปอร์สกี้ แลป โดยทีม Global Research and Analysis Team ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool (RAT) ซึ่งเป็นมัลโปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ หรือเป็นที่รู้จักกันในชื่ออื่นๆ อาทิ AlienSpy, Frutas, Unrecom, Sockrat, JSocket และ jRat มัลแวร์โปรแกรมเหล่านี้แพร่กระจายผ่านแพลตฟอร์มเดี่ยว malware-as-a-service platform จากผลของการตรวจสอบช่วงระหว่าง 2013 ถึง 2016 พบมัลแวร์ Adwind หลากหลายเวอร์ชั่นได้ถูกนำมาใช้ในการจู่โจมผู้ใช้ส่วนบุคคลถึงอย่างน้อย 443,000 ราย, องค์กรทั้งคอมเมอร์เชียลและที่ไม่ใช่อีกทั่วโลก ทั้งแพลตฟอร์มและมัลแวร์ยังคงปฏิบัติการอยู่
เมื่อปลายปี 2015 นักวิจัยของแคสเปอร์สกี้ แลปได้พบเข้ากับมัลแวร์โปรแกรมแปลกๆ ที่ถูกพบระหว่างความพยายามของปฏิบัติการจู่โจมแบบมีเป้าหมายรุกเข้าธนาคารแห่งหนึ่งที่สิงคโปร์ พบไฟล์ JAR แนบมาในอิเมล์ที่ทำหน้าที่เป็น spear-phishing email ส่งเข้ามาหาพนักงานที่เป็นเหยื่อเป้าหมายภายในธนาคาร มัลแวร์นี้มีสมรรถนะในการโจมตีสูง สามารถทำงานได้บนแพลตฟอร์มหลากหลาย และสามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสโซลูชั่นได้ จึงเป็นที่จับตาของนักวิจัยในทันที
The Adwind RAT
ปรากฎว่ามีองค์กรที่ถูกจู่โจมโดย Adwind RAT ซึ่งเป็นแบคดอร์ที่เขียนด้วยภาษา Java ทั้งหมดและมีไว้ขาย ซึ่งทำให้มีสมรรถนะทำงานข้ามแพลตฟอร์มได้นั่นเอง ไม่ว่าจะเป็น Windows, OS X, Linux หรือ Android จึงสามารถที่จะปฏิบัติการแบบควบคุมจากระยะไกล, เก็บรวบรวมข้อมูล, การรั่วไหลของข้อมูล และอื่นๆ
หากผู้ใช้ที่เป็นเหยื่อเป้าหมายเปิดไฟล์ JAR ที่แนบมา มัลแวร์จะทำการติดตั้งตัวเอง และพยายามสื่อสารกับเซิร์ฟเวอร์คอมมานด์และคอนโทรล รายการฟังก์ชั่นของมัลแวร์นี้ ได้แก่:
• เก็บรวบรวมการเคาะแป้นพิมพ์
• ขโมยพาสเวิร์ดแคช และคอบจับข้อมูลจากแบบฟอร์มบนเว็บ
• จับรูปภาพถ่ายหน้าจอ
• ถ่ายรูปและบันทึกวิดิโอจากเว็บแคม
• บันทึกเสียงจากไมโครโฟน
• ส่งต่อไฟล์
• เก็บรวบรวมข้อมูลทั่วไปของระบบและของผู้ใช้
• ขโมยคีย์ผ่านเข้ากระเป๋าสตางค์ cryptocurrency
• จัดการ SMS (สำหรับ Android)
• ขโมยใบรับรอง VPN
แม้จะถูกใช้อยู่บ่อยในหมู่พวกที่ชอบฉวยโอกาสและใช้วิธีแพร่กระจายผ่านสแปมเคมเปญขนาดใหญ่ แต่ก็มีกรณีที่ใช้ Adwind ในการจู่โจมแบบมีเป้าหมาย เมื่อเดือนสิงหาคมปี 2015 ที่ผ่านมา Adwind กลายเป็นข่าวเกี่ยวพันกับการก่อจารกรรมไซเบอร์กับอัยการชาวอาร์เจนติน่าผู้ถูกพบเสียชีวิตเมื่อเดือนมกราคมปี 2015 กรณีของธนาคารที่สิงคโปร์ตกเป็นเป้าหมายนั้นเป็นอีกตัวอย่างหนึ่งของการจู่โจมแบบมีเป้าหมาย และไม่ใช่เป็นเพียงเป้าหมายเดียวของการใช้ Adwind RAT เป็นเครื่องมือ
เป้าหมายที่อาชญากรจับจ้อง
ระหว่างการตรวจสอบ นักวิจัยของแคสเปอร์สกี้ แลปยังได้ทำการวิเคราะห์เกือบ 200 ตัวอย่างของการจู่โจมแบบ spear-phishing ที่ดำเนินการโดยอาชญากรที่ยังไม่เป็นที่เปิดเผย แพร่กระจายมัลแวร์ Adwind และยังได้ระบุกลุ่มอุตสาหกรรมที่มีเหยื่อเป้าหมายส่วนมากทำงานอยู่:
• อุตสาหกรรมการผลิต
• การเงิน
• วิศวกรรม
• การออกแบบ
• การค้าปลีก
• หน่วยงานภาครัฐ
• การขนส่งสินค้าทางเรือ
• โทรคมนาคม
• ซอฟท์แวร์
• การศึกษา
• การผลิตอาหาร
• การดูแลสุขภาพ
• สื่อ
• พลังงาน
อ้างอิงจากข้อมูลของระบบเครือข่ายความปลอดภัยของแคสเปอร์สกี้ แลปหรือ Kaspersky Security Network พบว่าการจู่โจมผ่านอีเมล์แบบ spear-phishing จากตัวอย่าง 200 รายการที่เฝ้าสังเกตในช่วงหกเดือนระหว่างเดือนสิงหาคม 2015 ถึงเดือนมกราคม 2016 นั้นมีมัลแวร์ Adwind RAT ที่ส่งผลกระทบต่อเหยื่อมากกว่า 68,0000 รายการผู้ใช้งาน
การแพร่กระจายทางภูมิศาสตร์ที่พบจากผู้ใช้ที่ถูกจู่โจมและลงทะเบียนไว้กับ KSN ในช่วงนี้แสดงให้เห็นว่า กว่าครึ่งของเหยื่อ (49%) มีถิ่นพำนักอยู่ในประเทศต่างๆ ดังนี้: สหรัฐอาหรับเอมิเรตส์, เยอรมัน, อินเดีย, สหรัฐอเมริกา, อิตาลี, รัสเซีย, เวียตนาม, ฮ่องกง, ตุรกี และไต้หวัน
อ้างอิงจากข้อมูลสัณฐานของเหยื่อเป้าหมายที่ถูกระบุไว้ได้นั้น นักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าพอจะจัดแบ่งกลุ่มลูกค้าของแพลตฟอร์ม Adwind ได้เป็นหมวดหมู่ดังต่อไปนี้: สแกมเมอร์ที่ต้องการขยับขยายขึ้นไปขั้นสูงกว่า (โดยใช้มัลแวร์ในการสร้างกลโกงที่ซับซ้อนยิ่งขึ้นไปอีก), คู่แข่งที่เล่นไม่ซื่อ, ทหารไซเบอร์รับจ้าง (สายลับรับจ้าง) และบุคคลที่มีความต้องการสอดแนมเรื่องบุคคลอื่นที่ตนรู้จัก
Threat-as-a-Service
หนึ่งในฟีเจอร์หลักที่แยกให้ Adwind RAT โดดเด่นออกมาจากมัลแวร์ที่วางขายแบบคอมเมอร์เชียลตัวอื่นคือ ถูกแพร่กระจายอย่างเปิดเผยในรูปแบบการซื้อบริการ ซึ่ง "ลูกค้า" จ่ายค่าธรรมเนียมเพื่อแลกกับการใช้งานโปรแกรมวายร้ายนี้ อ้างอิงการตรวจสอบกิจกรรมการใช้งานของยูสเซอร์บนกระดานข้อความภายใน และการสังเกตการณ์รูปแบบต่างๆ นักวิจัยของแคสเปอร์สกี้ แลปกะประมาณจำนวนผู้ใช้ในระบบถึงประมาณ 1,800 รายเมื่อสิ้นปี 2015 จึงกลายเป็นหนึ่งในมัลแวร์แพลตฟอร์มที่ใหญ่ที่สุดที่ยังคงออกอาละวาดอยู่ในทุกวันนี้
"ด้วยสมรรถนะของแพลตฟอร์ม Adwind ในปัจจุบันนี้ ทำให้คนที่อยากจะเข้ามาเป็นอาชญากรไซเบอร์ไม่จำเป็นต้องมีความรู้พื้นฐานขั้นต่ำสูงมากมายแต่อย่างใด สิ่งที่เราสามารถพูดได้โดยอ้างอิงข้อมูลที่พบจากการตรวจสอบการจู่โจมธนาคารในสิงคโปร์ คือ อาชญากรผู้อยู่เบื้องหลังนั้นห่างไกลจากการเป็นแฮคเกอร์มืออาชีพอย่างมาก และเราคิดว่าลูกค้าของแพลตฟอร์ม Adwind ส่วนมากแล้วก็จะมีพื้นฐานความรู้ด้านคอมพิวเตอร์ในระดับเท่าๆ กัน ซึ่งเป็นทิศทางพัฒนาการที่น่าเป็นห่วงอย่างมากทีเดียว" อะเล็กซองดร์ กอสเตฟ หัวหน้าทีมงานผู้เชี่ยวชาญของแคสเปอร์สกี้ แลปกล่าว
"แม้จะมีรายงานหลายฉบับเกี่ยวกับเจเนเรชั่นต่างกันไปของทูลนี้ ตามที่หลายๆ ซีเคียวริตี้เวนเดอร์ได้ออกรายงานในช่วงหลายปีที่ผ่านมา แพลตฟอร์มนี้ก็ยังคงปฏิบัติการอยู่ต่อเนื่อง และครองใจอาชญากรประเภทต่างๆ เราได้ทำการวิจัยนี้ขึ้นมาเพื่อดึงความสนใจของกลุ่มคนด้านซีเคียวริตี้และหน่วยงานผู้บังคับใช้กฎหมาย และเพื่อดำเนินขั้นตอนที่จำเป็นในการหยุดยั้งทูลนี้อย่างสิ้นเชิง" วิตาลี คามลัค ผู้อำนวยการ ทีมค้นคว้าวิจัยและวิเคราะห์ Global Research & Analysis Team ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ แลปกล่าว
แคสเปอร์สกี้ แลปรายงานข้อมูลที่ค้นพบเกี่ยวกับแพลตฟอร์ม Adwind ไปยังหน่วยงานผู้บังคับใช้กฎหมายด้วยเช่นกัน
เพื่อเป็นการป้องกันตนเองและองค์กรของคุณให้พ้นจากภัยคุกคามเช่นนี้ แคสเปอร์สกี้ แลปขอแนะนำให้คุณหรือองค์กรของคุณพิจารณาวัตถุประสงค์ของการใช้แพลตฟอร์ม Java และเพื่อพิจารณายกเลิกการใช้งานกับแหล่งที่ไม่ได้รับอนุญาติ
อ่านเพิ่มเติมเกี่ยวกับแพลตฟอร์ม Adwind คือ Malware-as-a-Service platform ได้จาก Securelist.com
เรียนรู้วิธีการตรวจสอบการจู่โจมแบบมีเป้าหมายอันซับซ้อนนั้นกระทำกันอย่างไรได้จาก: http://www.youtube.com/watch?v=FzPYGRO9LsA
อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการจารกรรมไซเบอร์ได้ที่นี่: https://apt.securelist.com/