แคสเปอร์สกี้ค้นพบโปรแกรมไม่พึงประสงค์ที่เชื่อมโยงกับเฟลม

กรุงเทพฯ – 26 กันยายน 2555 – แคสเปอร์สกี้ แลป ประกาศการค้นพบความเชื่อมโยงใหม่ของ “เฟลม” มัลแวร์ตัวร้ายอาวุธจารกรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลบางประเทศ ระหว่างการศึกษาวิจัยร่วมกับสหภาพโทรคมนาคมระหว่างประเทศ (International Telecommunication Union หรือไอทียู) โดยพบว่ามีโปรแกรมไม่พึงประสงค์ถึง 3 ตัวที่ใช้แพลตฟอร์มเดียวกันกับเฟลม ข้อเท็จจริงสำคัญที่แคสเปอร์สกี้ แลป ค้นพบ:

  • การพัฒนาเซิร์ฟเวอร์ C&C ของเฟลม เริ่มครั้งแรกเมื่อธันวาคม 2006
  • เซิร์ฟเวอร์ C&C ของเฟลมแฝงตัวมาในรูปของ Content Management System เพื่อหลบการตรวจจับแบบสุ่มของผู้ให้บริการโฮสติ้ง
  • เซิร์ฟเวอร์จะรับข้อมูลจากเครื่องคอมพิวเตอร์ที่ติดไวรัสโดยใช้โปรโตคอล 4 ชนิด หนึ่งในนั้นจะทำหน้าที่โจมตีคอมพิวเตอร์ด้วยเฟลม
  • แม้จะยังไม่ทราบหน้าที่แท้จริงของโปรโตคอล 3 ชนิดที่เหลือ แต่ก็เป็นการยืนยันว่าเป็นโปรแกรมไม่พึงประสงค์ที่เกี่ยวข้องกับเฟลมจริง
  • หนึ่งในโปรแกรมไม่พึงประสงค์นี้กำลังปฏิบัติการอย่างเงียบๆ
  • แพลตฟอร์มของ C&C ยังอยู่ในขั้นตอนการพัฒนา มีการอ้างถึง “Red Protocol” แต่ยังไม่เปิดใช้งาน
  • ไม่พบการนำ C&C ของเฟลมไปใช้ควบคุมมัลแวร์ตัวอื่นๆ อย่างสตักซ์เน็ต หรือ กอส

“เฟลม” มัลแวร์ตัวร้ายอาวุธจารกรรมไซเบอร์ถูกค้นพบโดยแคสเปอร์สกี้ แลป เมื่อเดือนพฤษภาคม 2012 ระหว่างโครงการตรวจสอบที่ร่วมกับไอทียู จากการค้นพบนี้ ITU-IMPACT ได้แจ้งเตือนประเทศสมาชิกกว่า 144 ประเทศ และแนะนำขั้นตอนการกำจักมัลแวร์ตัวนี้

ผู้เชี่ยวชาญค้นพบความซับซ้อนที่เชื่อมโยงไปยังผู้เขียนสตักซ์เน็ต และเป็นมัลแวร์ที่มีรัฐบาลบางประเทศหนุนหลัง เฟลมเริ่มปฏิบัติการครั้งแรกเมื่อปี
2010 แต่กว่าจะค้นพบโครงสร้างของ C&C ที่กระจายไปทั่วกว่า 80 โดเมนเนม ก็ปี 2012 แล้ว

 

รูปแบบการโจมตีของ Flame

 เครดิตรูปภาพ: จดหมายข่าวประชาสัมพันธ์จาก Kaspersky

 

หลังจากที่แคสเปอร์สกี้ แลป ค้นพบเฟลม โครงสร้างการควบคุมการทำงานของเฟลมก็ปิดตัวลงทันที เซิร์ฟเวอร์ทุกตัวเปลี่ยนไปทำงานในระบบ 64-บิตของระบบปฏิบัติการดีเบียน โค้ดของเฟลมเขียนด้วยภาษา PHP และหลบเลี่ยงการตรวจจับด้วยการพรางตัวเป็น Content Management System

ด้วยลักษณะการเอ็นคริปชั่นของเฟลม ผู้เชี่ยวชาญค้นพบว่า เฉพาะผู้เขียนเฟลมเท่านั้นที่ได้รับข้อมูลจากเครื่องคอมพิวเตอร์ที่ติดเชื้อผ่านโปรโตคอล 4 ชนิด แต่มีเพียงโปรโตคอลเดียวที่เป็นตัวแพร่กระจายเฟลม นั่นหมายความว่า อีก 3 โปรโตคอลที่เหลือต่างก็ใช้เซิร์ฟเวอร์ C&C เดียวกันนี้เพื่อจุดประสงค์อื่นที่ยังไม่แน่ชัด

อเล็กซานเดอร์ กอสเตฟ ประธานคณะผู้เชี่ยวชาญด้านความปลอดภัยของแคสเปอร์สกี้ แลป กล่าวถึงเฟลมว่า “แม้ว่จะค้นพบเซิร์ฟเวอร์ C&C ของเฟลมแล้วก็ตาม ทีมผู้เชี่ยวชาญยังคงประสบปัญหาการประมาณการข้อมูลที่ถูกโจรกรรม แต่ความผิดพลาดแต่ละครั้งของผู้โจมตีก็ทำให้เราค้นพบข้อมูลเพิ่มขึ้นเรื่อยๆ

ปัจจุบันเราค้นพบข้อมูลกว่า 5 กิกกะไบต์ที่ถูกอัพโหลดเข้าเซิร์ฟเวอร์นี้ใน 1 สัปดาห์ จากคอมพิวเตอร์กว่า 5000 เครื่อง ซึ่งนับว่าเป็นตัวอย่างของการโจรกรรมในโลกไซเบอร์ขนาดใหญ่ทีเดียว”

ค้นคว้าข้อมูลเพิ่มเติมเกี่ยวกับเฟลมได้ที่
https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

@kafaak

ในอดีตเมื่อครั้งยังไม่ต๊อกต๋อย เคยเป็นผู้บริหารฝ่ายผลิตของโรงงานอุตสาหกรรม แต่ภายหลังเลือกงานที่ให้เวลากับชีวิต เพื่อมาอัพเดตเทรนด์เทคโนโลยีมากกว่า ปัจจุบันเป็นทั้งไอทีต๊อกต๋อยในสถานศึกษา เป็นบล็อกเกอร์ต๊อกต๋อยที่เขียนไปเรื่อยทั้งเรื่องเทคโนโลยี โซเชียลมีเดีย การตลาดดิจิตอล และจิตวิทยา เป็นที่ปรึกษาด้านการตลาดดิจิตอลให้กับธุรกิจ SMEs หลายแห่ง และเป็นวิทยากรรับเชิญด้านเทคโนโลยี การตลาดดิจิตอล และโซเชียลมีเดีย เป็นบางครา

You may also like...

Leave a Reply

%d bloggers like this: