เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

sanook

สนับสนุนเนื้อหา

    เมื่อเดือนกันยายน 2558 ที่ผ่านมา แพล็ตฟอร์มต่อต้านการโจมตีแบบพุ่งเป้าแคสเปอร์สกี้ แลป (Anti-Targeted Attack Platform) ตรวจพบสิ่งผิดปกติในเน็ตเวิร์กองค์กรของลูกค้า นักวิจัยศึกษาต่อและพบ “ProjectSauron” (โปรเจ็คเซารอน)

    ซึ่งเป็นผู้ก่อภัยคุกคามระดับชาติ มุ่งโจมตีองค์กรของรัฐโดยใช้เครื่องมือเฉพาะสำหรับเหยื่อแต่ละราย ทำให้วิธีการบ่งชี้ว่าระบบถูกแฮกนั้นเกือบสูญประโยชน์ ภัยคุกคามนี้มีเป้าหมายเพื่อเป็นการจารกรรมไซเบอร์โดยเฉพาะ


  
    “ProjectSauron” สนใจช่องทางการสื่อสารที่เข้ารหัสเป็นพิเศษ ใช้แพลตฟอร์มจารกรรมไซเบอร์แบบโมดูลลาร์ขั้นสูงในการเข้าถึงช่องทาง พร้อมเครื่องมือและเทคนิคเฉพาะ กลยุทธ์ที่น่าจับตามองคือการหลบเลี่ยงแพทเทิร์นอย่างรอบคอบ “ProjectSauron” จะจัดแต่งอิมแพลนต์และอินฟราสตรักเจอร์สำหรับเหยื่อแต่ละราย และไม่มีการนำมาใช้ซ้ำ วิธีการเช่นนี้ เมื่อนำไปใช้ร่วมกับรูทหลายเส้นทางที่ใช้ส่งต่อข้อมูลที่ถูกขโมย (เช่น ช่องทางอีเมลที่ถูกกฎหมาย และระบบโดเมนเนม หรือ DNS) จะทำให้ “ProjectSauron” สามารถสร้างแคมเปญลับในการลักลอบสืบข้อมูลระยะยาวในเน็ตเวิร์กของเป้าหมาย

    “ProjectSauron” เป็นผู้ก่อภัยคุกคามแบบดั้งเดิมที่มีประสบการณ์มาก มีความมุ่งมั่นพยายามเรียนรู้จากผู้ก่อภัยคุกคามขั้นสูงรายอื่นๆ อย่าง Duqu, Flame, Equation และ Regin รวมถึงนำเทคนิคนวัตกรรมใหม่ๆ มาใช้ และปรับปรุงกลยุทธ์เพื่อการพรางตัว

ประเภทของเหยื่อ

    ปัจจุบันมีองค์กรตกเป็นเหยื่อของ “ProjectSauron” มากกว่า 30 ราย พบในประเทศรัสเซีย อิหร่าน รวันดา และอีกหลายประเทศที่ใช้ภาษาอิตาเลี่ยนในการสื่อสาร ผู้เชี่ยวชาญเชื่อว่ายังมีองค์กรมากมายในหลายประเทศที่ได้รับผลกระทบ นอกจากนี้ยังแบ่งประเภทขององค์กรได้แก่ รัฐบาล หน่วยงานทางทหาร ศูนย์วิจัยทางวิทยาศาสตร์ ผู้ประกอบการโทรคมนาคม และสถาบันการเงิน

    การวิเคราะห์ทางนิติเวชระบุว่า “ProjectSauron” เริ่มดำเนินการตั้งแต่เดือนมิถุนายน 2011 และยังทำงานอยู่จนถึงปัจจุบัน ส่วนเว็คเตอร์ที่ใช้ในการติดเชื้อตั้งแต่แรกเริ่มนั้นเพื่อบุกรุกเน็ตเวิร์กของเหยื่อนั้นยังไม่ปรากฏแน่ชัด มีเป้าหมายหลักในการโจมตีคือการขโมยข้อมูลความลับจากองค์กรรัฐ

    วิทาลี คามลัก นักวิจัยด้านซิเคียวริตี้ของแคสเปอร์สกี้ แลป กล่าวว่า “จำนวนการโจมตีแบบพุ่งเป้าจะขึ้นอยู่กับเครื่องมือต้นทุนต่ำที่พร้อมใช้งาน ProjectSauron ใช้เครื่องมือที่ทำขึ้นเองและโค้ดสคริปต์ที่ปรับแต่งได้ การใช้เทคนิคล้ำสมัยที่หยิบยืมมาจากผู้โจมตีรายอื่นนับเป็นเรื่องใหม่ ทางเดียวที่จะป้องกันตัวจากภัยคุกคามประเภทนี้ได้คือต้องมีเลเยอร์ซิเคียวริตี้หลายๆ ชั้น มีตัวเซ็นเซอร์ที่คอยมอนิเตอร์สิ่งผิดปกติแม้เพียงเล็กน้อยภายในระบบการทำงานขององค์กร นอกจากนี้ ยังต้องมีซอฟต์แวร์อัจฉริยะและการวิเคราะห์ภัยคุกคามทางนิติเวชเพื่อค้นหารูปแบบการโจมตี”

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป แนะนำให้องค์กรตรวจสอบเน็ตเวิร์กไอทีและเครื่องเอ็นพ้อยต์ภายในองค์กร และดำเนินมาตรการดังต่อไปนี้

• เริ่มใช้โซลูชั่นป้องกันการโจมตีแบบพุ่งเป้าควบคู่ไปกับการป้องกันเครื่องเอ็นพ้อยต์ เนื่องจากการป้องกันเครื่องเอ็นพ้อยต์เพียงอย่างเดียวไม่สามารถป้องกันภัยคุกคามใหม่ๆ ได้

• เรียกผู้เชี่ยวชาญเมื่อพบสิ่งผิดปกติ โซลูชั่นซีเคียวริตี้ระดับสูงมากๆ จะสามารถตรวจจับการโจมตีที่เกิดขึ้น และบางครั้งเจ้าหน้าที่ด้านซีเคียวริตี้ก็สามารถวิเคราะห์ แก้ไขและบล็อกการโจมตีครั้งใหญ่ๆ ได้อย่างมีประสิทธิภาพ

• เสริมการปกป้องด้วยเซอร์วิสอัจฉริยะ ซึ่งจะแจ้งเตือนทีมซีเคียวริตี้เกี่ยวกับวิวัฒนาการของภัยคุกคาม แนวโน้มการโจมตี และสัญญาณเตือนเพื่อเฝ้าระวัง

• การโจมตีครั้งใหญ่ๆ มักเริ่มต้นจากการสเปียร์ฟิชชิ่งและการเข้าถึงพนักงานองค์กร จึงต้องจัดฝึกอบรมพนักงานให้เข้าใจและมีพฤติกรรมไซเบอร์ที่เหมาะสม
 
ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับ “ProjectSauron” ได้ในชื่อ HEUR:Trojan.Multi.Remsec.gen

ข้อมูลเพิ่มเติม

• FAQ https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt/

• Full report http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

• Indicators of compromise https://kas.pr/yVR8

• YARA rules https://kas.pr/c9SH

ผู้ใช้งาน Samsung Galaxy S8+ เริ่มประสบปัญหาไม่สามารถชาร์จไฟด้วยแท่น Wireless Charge ได้

ผู้ใช้งาน Samsung Galaxy S8+ เริ่มประสบปัญหาไม่สามารถชาร์จไฟด้วยแท่น Wireless Charge ได้

WD เปิด Hard Disk ความจุเยอะระดับ 10TB เน้นเรื่องความปลอดภัย

WD เปิด Hard Disk ความจุเยอะระดับ 10TB เน้นเรื่องความปลอดภัย

WhatsApp อัปเกรดคำสั่งเพิ่มเสียงใน Siri สามารถอ่านข้อความได้แค่พูดเท่านั้น

WhatsApp อัปเกรดคำสั่งเพิ่มเสียงใน Siri สามารถอ่านข้อความได้แค่พูดเท่านั้น

Sony เพิ่มสี Bronze Pink ให้กับ Xperia XZ Premium เริ่มขายเดือนมิถุนายน

Sony เพิ่มสี Bronze Pink ให้กับ Xperia XZ Premium เริ่มขายเดือนมิถุนายน

Seagate จับมือ DJI เปิดตัว Fly Drive External Hard Disk สำหรับคนที่ใช้งานโดรน

Seagate จับมือ DJI เปิดตัว Fly Drive External Hard Disk สำหรับคนที่ใช้งานโดรน

Google Photos ใน iOS รองรับการใช้งานผ่าน Air Play ได้แล้ว

Google Photos ใน iOS รองรับการใช้งานผ่าน Air Play ได้แล้ว

เปรียบเทียบภาพถ่าย OPPO R9s, iPhone 7 Plus และ Samsung Galaxy S7 edge

เปรียบเทียบภาพถ่าย OPPO R9s, iPhone 7 Plus และ Samsung Galaxy S7 edge

Huawei แถลงเรื่องความจำในตัว Huawei P10 Series และ Mate 9 Series

Huawei แถลงเรื่องความจำในตัว Huawei P10 Series และ Mate 9 Series

Casio วางจำหน่าย Pro Trek WSD-F20 Smart Watch ขาลุยที่ใช้ Android Wear

Casio วางจำหน่าย Pro Trek WSD-F20 Smart Watch ขาลุยที่ใช้ Android Wear

DJI เปิดตัวแว่น VR ที่สามารถควบคุมหุ่นโดรน ในชื่อว่า Goggles

DJI เปิดตัวแว่น VR ที่สามารถควบคุมหุ่นโดรน ในชื่อว่า Goggles

กล้อง Mevo เพิ่มให้รองรับทั้ง YouTube Live และใช้งานผ่าน Android

กล้อง Mevo เพิ่มให้รองรับทั้ง YouTube Live และใช้งานผ่าน Android

Ifixit แกะ Samsung Galaxy S8 และ S8 + ซ่อมง่ายกว่าหรือไม่ต้องดู

Ifixit แกะ Samsung Galaxy S8 และ S8 + ซ่อมง่ายกว่าหรือไม่ต้องดู

ทางการสหรัฐฯ จับตาตรวจสอบ “Instagram influencer” จริงจัง

ทางการสหรัฐฯ จับตาตรวจสอบ “Instagram influencer” จริงจัง

รวม 5 มือถือรุ่นเด่นที่มาแรง และโดนใจผู้ชมมากที่สุดประจำสัปดาห์

รวม 5 มือถือรุ่นเด่นที่มาแรง และโดนใจผู้ชมมากที่สุดประจำสัปดาห์

เผยสเปค Windows 10 เวอร์ชั่น Cloud คู่แข่งโดยตรงของ Chrome OS

เผยสเปค Windows 10 เวอร์ชั่น Cloud คู่แข่งโดยตรงของ Chrome OS

Sandisk iXpand ขยับตัวเลือกความจุเป็น 32GB ถึง 256GB

Sandisk iXpand ขยับตัวเลือกความจุเป็น 32GB ถึง 256GB

อ้าง!! นี้คือภาพต้นแบบ iPhone 8 รุ่นใหม่

อ้าง!! นี้คือภาพต้นแบบ iPhone 8 รุ่นใหม่

Apple ออก JavaScript สำหรับ Browser บนคอมพิวเตอร์รองรับการแสดงผล Live Photos

Apple ออก JavaScript สำหรับ Browser บนคอมพิวเตอร์รองรับการแสดงผล Live Photos

Hacker โชว์เว็บ Apple ก็สามารถถูกปลอม URL ได้พร้อมเตือนให้ระวังทุกครั้งก่อนที่จะ login

Hacker โชว์เว็บ Apple ก็สามารถถูกปลอม URL ได้พร้อมเตือนให้ระวังทุกครั้งก่อนที่จะ login

Android 10 เรื่องง่าย ๆ ที่มือใหม่เข้าใจผิด

Android 10 เรื่องง่าย ๆ ที่มือใหม่เข้าใจผิด

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์