เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

sanook

สนับสนุนเนื้อหา

    เมื่อเดือนกันยายน 2558 ที่ผ่านมา แพล็ตฟอร์มต่อต้านการโจมตีแบบพุ่งเป้าแคสเปอร์สกี้ แลป (Anti-Targeted Attack Platform) ตรวจพบสิ่งผิดปกติในเน็ตเวิร์กองค์กรของลูกค้า นักวิจัยศึกษาต่อและพบ “ProjectSauron” (โปรเจ็คเซารอน)

    ซึ่งเป็นผู้ก่อภัยคุกคามระดับชาติ มุ่งโจมตีองค์กรของรัฐโดยใช้เครื่องมือเฉพาะสำหรับเหยื่อแต่ละราย ทำให้วิธีการบ่งชี้ว่าระบบถูกแฮกนั้นเกือบสูญประโยชน์ ภัยคุกคามนี้มีเป้าหมายเพื่อเป็นการจารกรรมไซเบอร์โดยเฉพาะ


  
    “ProjectSauron” สนใจช่องทางการสื่อสารที่เข้ารหัสเป็นพิเศษ ใช้แพลตฟอร์มจารกรรมไซเบอร์แบบโมดูลลาร์ขั้นสูงในการเข้าถึงช่องทาง พร้อมเครื่องมือและเทคนิคเฉพาะ กลยุทธ์ที่น่าจับตามองคือการหลบเลี่ยงแพทเทิร์นอย่างรอบคอบ “ProjectSauron” จะจัดแต่งอิมแพลนต์และอินฟราสตรักเจอร์สำหรับเหยื่อแต่ละราย และไม่มีการนำมาใช้ซ้ำ วิธีการเช่นนี้ เมื่อนำไปใช้ร่วมกับรูทหลายเส้นทางที่ใช้ส่งต่อข้อมูลที่ถูกขโมย (เช่น ช่องทางอีเมลที่ถูกกฎหมาย และระบบโดเมนเนม หรือ DNS) จะทำให้ “ProjectSauron” สามารถสร้างแคมเปญลับในการลักลอบสืบข้อมูลระยะยาวในเน็ตเวิร์กของเป้าหมาย

    “ProjectSauron” เป็นผู้ก่อภัยคุกคามแบบดั้งเดิมที่มีประสบการณ์มาก มีความมุ่งมั่นพยายามเรียนรู้จากผู้ก่อภัยคุกคามขั้นสูงรายอื่นๆ อย่าง Duqu, Flame, Equation และ Regin รวมถึงนำเทคนิคนวัตกรรมใหม่ๆ มาใช้ และปรับปรุงกลยุทธ์เพื่อการพรางตัว

ประเภทของเหยื่อ

    ปัจจุบันมีองค์กรตกเป็นเหยื่อของ “ProjectSauron” มากกว่า 30 ราย พบในประเทศรัสเซีย อิหร่าน รวันดา และอีกหลายประเทศที่ใช้ภาษาอิตาเลี่ยนในการสื่อสาร ผู้เชี่ยวชาญเชื่อว่ายังมีองค์กรมากมายในหลายประเทศที่ได้รับผลกระทบ นอกจากนี้ยังแบ่งประเภทขององค์กรได้แก่ รัฐบาล หน่วยงานทางทหาร ศูนย์วิจัยทางวิทยาศาสตร์ ผู้ประกอบการโทรคมนาคม และสถาบันการเงิน

    การวิเคราะห์ทางนิติเวชระบุว่า “ProjectSauron” เริ่มดำเนินการตั้งแต่เดือนมิถุนายน 2011 และยังทำงานอยู่จนถึงปัจจุบัน ส่วนเว็คเตอร์ที่ใช้ในการติดเชื้อตั้งแต่แรกเริ่มนั้นเพื่อบุกรุกเน็ตเวิร์กของเหยื่อนั้นยังไม่ปรากฏแน่ชัด มีเป้าหมายหลักในการโจมตีคือการขโมยข้อมูลความลับจากองค์กรรัฐ

    วิทาลี คามลัก นักวิจัยด้านซิเคียวริตี้ของแคสเปอร์สกี้ แลป กล่าวว่า “จำนวนการโจมตีแบบพุ่งเป้าจะขึ้นอยู่กับเครื่องมือต้นทุนต่ำที่พร้อมใช้งาน ProjectSauron ใช้เครื่องมือที่ทำขึ้นเองและโค้ดสคริปต์ที่ปรับแต่งได้ การใช้เทคนิคล้ำสมัยที่หยิบยืมมาจากผู้โจมตีรายอื่นนับเป็นเรื่องใหม่ ทางเดียวที่จะป้องกันตัวจากภัยคุกคามประเภทนี้ได้คือต้องมีเลเยอร์ซิเคียวริตี้หลายๆ ชั้น มีตัวเซ็นเซอร์ที่คอยมอนิเตอร์สิ่งผิดปกติแม้เพียงเล็กน้อยภายในระบบการทำงานขององค์กร นอกจากนี้ ยังต้องมีซอฟต์แวร์อัจฉริยะและการวิเคราะห์ภัยคุกคามทางนิติเวชเพื่อค้นหารูปแบบการโจมตี”

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป แนะนำให้องค์กรตรวจสอบเน็ตเวิร์กไอทีและเครื่องเอ็นพ้อยต์ภายในองค์กร และดำเนินมาตรการดังต่อไปนี้

• เริ่มใช้โซลูชั่นป้องกันการโจมตีแบบพุ่งเป้าควบคู่ไปกับการป้องกันเครื่องเอ็นพ้อยต์ เนื่องจากการป้องกันเครื่องเอ็นพ้อยต์เพียงอย่างเดียวไม่สามารถป้องกันภัยคุกคามใหม่ๆ ได้

• เรียกผู้เชี่ยวชาญเมื่อพบสิ่งผิดปกติ โซลูชั่นซีเคียวริตี้ระดับสูงมากๆ จะสามารถตรวจจับการโจมตีที่เกิดขึ้น และบางครั้งเจ้าหน้าที่ด้านซีเคียวริตี้ก็สามารถวิเคราะห์ แก้ไขและบล็อกการโจมตีครั้งใหญ่ๆ ได้อย่างมีประสิทธิภาพ

• เสริมการปกป้องด้วยเซอร์วิสอัจฉริยะ ซึ่งจะแจ้งเตือนทีมซีเคียวริตี้เกี่ยวกับวิวัฒนาการของภัยคุกคาม แนวโน้มการโจมตี และสัญญาณเตือนเพื่อเฝ้าระวัง

• การโจมตีครั้งใหญ่ๆ มักเริ่มต้นจากการสเปียร์ฟิชชิ่งและการเข้าถึงพนักงานองค์กร จึงต้องจัดฝึกอบรมพนักงานให้เข้าใจและมีพฤติกรรมไซเบอร์ที่เหมาะสม
 
ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับ “ProjectSauron” ได้ในชื่อ HEUR:Trojan.Multi.Remsec.gen

ข้อมูลเพิ่มเติม

• FAQ https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt/

• Full report http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

• Indicators of compromise https://kas.pr/yVR8

• YARA rules https://kas.pr/c9SH

บริษัทพัฒนาเมือง โมเดลใหม่ขับเคลื่อน Smart City

บริษัทพัฒนาเมือง โมเดลใหม่ขับเคลื่อน Smart City

เทรนด์ ไมโคร ขึ้นแท่นผู้นำสูงสุด ด้านความสามารถในการดำเนินงาน ตามรายงาน Gartner

เทรนด์ ไมโคร ขึ้นแท่นผู้นำสูงสุด ด้านความสามารถในการดำเนินงาน ตามรายงาน Gartner

แนะนำสุดยอดสมาร์ทโฟนจอใหญ่แบตอึดที่มาแรงที่สุด

แนะนำสุดยอดสมาร์ทโฟนจอใหญ่แบตอึดที่มาแรงที่สุด

Samsung เปิดตัว Galaxy Book และ Galaxy Tab S3

Samsung เปิดตัว Galaxy Book และ Galaxy Tab S3

OPPO R9s มือถือเน้นการถ่ายภาพรุ่นใหม่ พร้อมเทคโนโลยถ่ายภาพขั้นสูง ในราคา 14,990 บาท

OPPO R9s มือถือเน้นการถ่ายภาพรุ่นใหม่ พร้อมเทคโนโลยถ่ายภาพขั้นสูง ในราคา 14,990 บาท

โมโต เปิดตัว Moto G5 และ G5 Plus ครบเครื่องในระดับกลาง ตัวเลือกสำหรับคนอยากได้ความคุ้ม

โมโต เปิดตัว Moto G5 และ G5 Plus ครบเครื่องในระดับกลาง ตัวเลือกสำหรับคนอยากได้ความคุ้ม

Huawei Watch 2 พัฒนาการของ Smart Watch ที่ลุยได้ เปิดตัวอย่างเป็นทางการ

Huawei Watch 2 พัฒนาการของ Smart Watch ที่ลุยได้ เปิดตัวอย่างเป็นทางการ

มาแล้ว Huawei P10 และ P10 Plus จัดเต็มทีด้วยกล้องหน้าหลังจาก Leica

มาแล้ว Huawei P10 และ P10 Plus จัดเต็มทีด้วยกล้องหน้าหลังจาก Leica

เปิดตัวอย่างเป็นทางการ LG G6 มือถือจอใหญ่ที่คมชัดทั้งภาพและเสียง

เปิดตัวอย่างเป็นทางการ LG G6 มือถือจอใหญ่ที่คมชัดทั้งภาพและเสียง

วิธีลบเบอร์หรือรายชื่อที่ซ้ำกันบน iPhone ง่ายๆ ไม่ต้องลบทีละเบอร์ในเวลาไม่ถึง 5 นาที!

วิธีลบเบอร์หรือรายชื่อที่ซ้ำกันบน iPhone ง่ายๆ ไม่ต้องลบทีละเบอร์ในเวลาไม่ถึง 5 นาที!

Samsung เผย Teaser พร้อมเปิดต้ว Galaxy S8 ในวันที่ 29 มีนาคมนี้ แน่นอน

Samsung เผย Teaser พร้อมเปิดต้ว Galaxy S8 ในวันที่ 29 มีนาคมนี้ แน่นอน

มาแล้ว Nokia 3310 ปรับโฉม เพิ่มฟีเจอร์แต่ยังคงดูสามัญชน

มาแล้ว Nokia 3310 ปรับโฉม เพิ่มฟีเจอร์แต่ยังคงดูสามัญชน

Blackberry เปิดลงทะเบียนความสนใจ KEYone มือถือเครื่องใหม่ในแคนนาดาและ สหรัฐอเมริกา

Blackberry เปิดลงทะเบียนความสนใจ KEYone มือถือเครื่องใหม่ในแคนนาดาและ สหรัฐอเมริกา

ลือ! Samsung อาจจะเปิดตัว Tablet อีกรุ่นในชื่อ Galaxy Book

ลือ! Samsung อาจจะเปิดตัว Tablet อีกรุ่นในชื่อ Galaxy Book

Huawei เตรียมเปิตดัว Huawei Watch 2 ในงาน Mobile World Congress 2017

Huawei เตรียมเปิตดัว Huawei Watch 2 ในงาน Mobile World Congress 2017

คนใช้ Galaxy S7 เฮ Secure Folder พร้อมให้ติดตั้งแล้ว

คนใช้ Galaxy S7 เฮ Secure Folder พร้อมให้ติดตั้งแล้ว

เจ้าพ่อข่าวหลุดเผยสเปค Nokia 3310 รุ่นใหม่ อย่าหวังว่าจะเป็น Smart Phone

เจ้าพ่อข่าวหลุดเผยสเปค Nokia 3310 รุ่นใหม่ อย่าหวังว่าจะเป็น Smart Phone

พักชมสิ่งที่น่าสนใจกันสักครู่ Facebook Live เริ่มแสดงโฆษณาแล้ว นานสูงสุด 20 วินาที

พักชมสิ่งที่น่าสนใจกันสักครู่ Facebook Live เริ่มแสดงโฆษณาแล้ว นานสูงสุด 20 วินาที

แชร์สนั่น iPhone 7 Plus ไฟไหม้เองจน Apple ต้องเร่งสืบสวน

แชร์สนั่น iPhone 7 Plus ไฟไหม้เองจน Apple ต้องเร่งสืบสวน

Google เปลี่ยนชื่อ Messages เป็น Android Messages กันคนสับสนเรื่องชื่อ

Google เปลี่ยนชื่อ Messages เป็น Android Messages กันคนสับสนเรื่องชื่อ

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์