ยินดีต้อนรับสู่ยุคสงครามไซเบอร์: ปฏิบัติการตุลาแดง

Image courtesy of twobee / FreeDigitalPhotos.net

วันก่อนได้มีโอกาสอ่านบทความ Security Lessons from 2012 ของ Computerworld.com ไป และที่หน้า 2 ของบทความ เขาพูดถึงบทเรียนหนึ่ง นั่นก็คือ การโจมตีเป้าหมาย โดยที่การโจมตีนั้นได้รับการสนับสนุน (ด้านบุคลากร เงิน และทรัพยากรต่างๆ) จากรัฐบาลของประเทศใดประเทศหนึ่ง (ในบทความนั้นพูดถึงรายงานของ New York Times ที่รายงานว่า การโจมตีเพื่อป่วนโครงการนิวเคลียร์ของอิหร่านนั้น มีสหรัฐอเมริกาอยู่เบื้องหลัง … แต่เมื่อเร็วๆ นี้ ผมได้รับข่าวจาก PR ของ Kaspersky เกี่ยวกับภัยคุกคามล่าสุด ภายใต้ชื่อ “ปฏิบัติการตุลาแดง (Operation Red October)” แล้ว ผมคิดว่า น่าจะเอามาเล่าสู่กันอ่านซักหน่อย

หมายเหตุ: เช่นเคย อันนี้เป็นบทความที่เรียบเรียงมาจากข่าวเวอร์ชันภาษาอังกฤษที่ทาง PR ของ Kaspersky ส่งมาให้ผมครับ

เรื่องของเรื่องคือทีมของ Kaspersky เขาทำการสืบสวนการโจมตีพวกเครือข่ายของหน่วยงานทางด้านการเมืองระดับนานาชาติในเดือนตุลาคมปีที่ผ่านมา แล้วพบว่ามันมีเครือข่ายของการโจมตีเพื่อถล่มเครือข่ายคอมพิวเตอร์ของหน่วยงานต่างๆ ซึ่งที่น่าตกใจคือ ดูเหมือนว่าปฏิบัติการนี้จะมีมาตั้งแต่อย่างๆ น้อยๆ ก็เมื่อปี 2007 และจนถึง ณ ตอนนี้ มกราคม 2013 แล้ว ก็ยังคงมีการดำเนินการอยู่ด้วย!!

ในปฏิบัติการ Red October นี้ เขาใช้มัลแวร์ที่ออกแบบมาเฉพาะ ซึ่งได้รับการขนานนามว่า “Rocra” ซึ่งมีลักษณะเป็นสถาปัตยกรรมแบบ Modular คือ แบ่งตัวเองออกเป็นโมดูลต่างๆ ซึ่งประกอบไปด้วย ตัว Extension ที่เป็นโค้ดสำหรับโจมตี, โมดูลสำหรับจารกรรมข้อมูล และโทรจันเพื่อใช้สร้างประตูหลังให้กับผู้โจมตี

และขอย้ำอีกครั้ง เป้าหมายของปฏิบัติการนี้ คือ พวกหน่วยงานรัฐบาล หน่วยงานด้านการเมืองต่างๆ ในระดับนานาชาติ … ผู้โจมตีเอาข้อมูลที่ได้จากการโจมตีหน่วยงานหนึ่งไปใช้ในการโจมตีเป้าหมายอื่นๆ ต่อไป เช่น เอาข้อมูล Username & Password ของเครือข่ายหนึ่ง ไปใช้เป็น Dictionary เมื่อต้องเดา Username & Password ของระบบอื่น

ทีมของ Kaspersky พบว่าผู้โจมตีนั้นมีการสร้าง Command & Control เอาไว้หลายโดเมน และวางเซิร์ฟเวอร์อยู่ตามประเทศต่างๆ แต่หลักๆ อยู่ในเยอรมนีกับรัสเซีย แถมยังมีการวางเซิร์ฟเวอร์จำนวนมาก ทำหน้าที่เป็นพร็อกซี่เพื่อซ่อนที่อยู่จริงๆ ของ “ยานแม่” ที่เป็นศูนย์บัญชาการจริงๆ … นอกจากนี้ ทีมของ Kaspersky ยังพบว่า ข้อมูลที่ถูกขโมยไปจากระบบที่ตกเป็นเหยื่อนั้น เป็นเอกสารที่มีนามสกุลดังต่อไปนี้ txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa

ที่น่าสนใจ ไม่ใช่พวกนามสกุลที่เราคุ้นเคยหรอกครับ … แต่เป็นนามสกุล acid ต่างๆ ที่ดูเหมือนจะเป็นพวกไฟล์ที่ใช้กับซอฟต์แวร์ที่เป็นความลับ ซึ่งถูกใช้ในหลายๆ หน่วยงาน ตั้งแต่สหภาพยุโรปไปจนถึง NATO (North Atlantic Treaty Organization)

 

In particular, the “acid*” extensions appears to refer to the classified software “Acid Cryptofiler”, which is used by several entities, from the European Union to NATO.

 

ขั้นตอนการโจมตีเป้าหมาย

การโจมตีเริ่มจากการส่งอีเมล์ฟิชชิ่ง (Phishing) ไปยังเหยื่อก่อน โดยอีเมล์นั้นจะมีโค้ดที่ถูกออกแบบมาเพื่อฉวยโอกาสจากช่อวโหว่ของระบบเป้าหมาย เพื่อทำการติดตั้งมัลแวร์เข้าไปในระบบของเป้าหมาย … ช่องโหว่ยอดนิยม ก็เป็นพวกช่องโหว่ของ Microsoft Office นั่นแหละครับ (Word และ Excel ตัวดีเลย) จากนั้นก็เป็นหน้าที่ของมัลแวร์ที่ติดตั้งไป ทำงานต่อครับ

 

ใครบ้างที่ตกเป็นเป้าหมาย?!?

 

 

Targeted Victims & Organizations

ผู้เชี่ยวชาญของ Kaspersky Lab ใช้ 2 วิธีในการวิเคราะห์ว่าใครบ้างที่ตกเป็นเหยื่อ อย่างแรก พวกเขาใช้ข้อมูลสถิติการตรวจจับที่ได้มาจาก Kaspersky Security Network (KSN) ซึ่งเป็นระบบให้บริการด้าน Security แบบ Cloud-based ของผลิตภัณฑ์ของ Kaspersky Lab … KSN นั้นตรวจจับโค้ดช่องโหว่ที่เจ้า Rocra นี่ใช้ ทำให้ผู้เชี่ยวชาญของ Kaspersky สามารถค้นหาข้อมูลการตรวจจับที่พบโค้ดคล้ายกันนี้ได้ แล้วก็ทำให้รู้ว่าการโจมตีเหล่านั้นเกี่ยวข้องกับเจ้า Rocra นี่

อีกวิธีที่ใช้ก็คือการสร้างเซิร์ฟเวอร์ที่เรียกว่า Sinkhole ขึ้นมา เพื่อเอาไว้ตรวจสอบเครื่องคอมพิวเตอร์ที่ติดเจ้า Rocra ว่าเชื่อมต่อไปยัง Command & Control Server ของมัลแวร์ … จากนั้นเอาข้อมูลที่ได้จากการวิเคราะห์ทั้ง 2 วิธีมาชนกัน เพื่อยืนยันสิ่งที่พวกเขาค้นพบ ซึ่งพวกเขาพบว่า:

  • ข้อมูลจาก KSN ชี้ให้เห็นว่ามีระบบเครือข่ายคอมพิวเตอร์จำนวนหลายร้อยแห่งติดเจ้า Rocra นี่ โดยมีตั้งแต่สถานทูต, เครือข่ายหน่วยงานรัฐบาล, สถาบันวิจัยต่างๆ โดยหลักๆ แล้ว อยู่ในยุโรปตะวันออก แต่ก็มีประเทศอื่นๆ เช่น อเมริกาเหนือ, และประเทศในแถบยุโรปตะวันตก เช่น สวิสเซอร์แลนด์ และ ลักเซมเบิร์ก ด้วย
  • ข้อมูลจาก Sinkhole ซึ่งทำการวิเคราะห์ตั้งแต่วันที่ 2 พฤศจิกายน 2012 – 10 มกราคม 2013 พบว่า มีการเชื่อมต่อมากกว่า 55,000 Connections จาก IP Address 250 IP ใน 39 ประเทศ โดยส่วนใหญ่มาจากสวิสเซอร์แลนด์, คาซักสถาน และกรีซ

 

แผนที่ประเทศที่คาดว่าตกเป็นเป้าหมายของปฏิบัติการ Red October

 

ชำแหละ Rocra ดูสถาปัตยกรรม และความสามารถของมัน

อย่างที่บอก เจ้า Rocra นี่ถูกออกแบบมาเป็นพิเศษโดยเฉพาะ ซึ่งประกอบไปด้วยโมดูลต่างๆ และโปรแกรมเสริมมากมาย รวมถึงไฟล์สำหรับโจมตี ที่ถูกออกแบบมาให้สามารถปรับแต่งเข้ากับระบบต่างๆ ได้รวดเร็ว และจารกรรมข้อมูลต่างๆ ออกมาจากเครื่องเป้าหมายได้ ซึ่งถือว่าเป็นเอกลักษณ์เฉพาะตัวของ Rocra และ Kaspersky Lab ไม่เคยตรวจพบอะไรแบบนี้มาก่อน … ลักษณะพิเศษที่น่าสนใจของเจ้า Rocra นี้ ได้แก่:

  • โมดูล “คืนชีพ” เป็นโมดูลที่ถูกออกแบบมาเพื่อให้ผู้โจมตีสามารถฟื้นชีพเครื่องเป้าหมายที่ติดมัลแวร์ Rocra ได้ เจ้าโมดูลนี้จะฝังตัวเป็นปลั๊กอินในโปรแกรมจำพวก Adobe Reader หรือ Microsoft Office ซึ่่งเอาไว้หลอกเป้าหมาย เพื่อให้ได้มาซึ่งการเข้าถึงระบบของเป้าหมาย ในกรณีที่มัลแวร์ตัวหลักถูกค้นพบแล้วถูกกำจัดออกไป … เมื่อ Command & Control Server กลับมาทำงานอีกครั้ง ก็จะมีการส่งอีเมล์พร้อมไฟล์เอกสาร (PDF หรือเอกสารชุด Office) ไปยังเป้าหมาย เพื่อใช้ Activate มัลแวร์อีกครั้ง
  • โมดูลสอดแนมสำหรับการถอดรหัสขั้นสูง อันนี้เป้าหมายหลักคือขโมยข้อมูลครับ มันมีไฟล์จากโปรแกรมถอดรหัสข้อมูลหลากหลายระบบ เช่น Acid Cryptofiler ที่ใช้กันในหน่วยงานอย่าง NATO, สหภาพยุโรป หลักๆ ก็คือ เอาไว้สำหรับถอดรหัสข้อมูลนั่นแหละ
  • โมดูลสำหรับพวกอุปกรณ์พกพา เพราะเดี๋ยวนี้คนเราก็ใช้อุปกรณ์พกพากันมากขึ้น เจ้า Rocra นี่เลยมีโมดูลเฉพาะสำหรับการจารกรรมข้อมูลจากอุปกรณ์พกพาอย่างสมาร์ทโฟน หรือ แท็บเล็ต นอกจากนี้ยังสามารถจารกรรมข้อมูลจากอุปกรณ์อื่นๆ ที่ใช้ในองค์กร เช่น Router หรือ Switch ได้อีกด้วย

 

แล้วใครคือตัวการ?

แน่นอนว่าเจอแบบนี้มันต้องมีการหาว่าใครเป็นตัวการด้วยครับ แล้ว ณ ตอนนี้รู้แล้วหรือยังว่าใครอยู่เบื้องหลัง?!? พิจารณาจากข้อมูลที่ได้จาก Command & Control Server และข้อมูลอื่นๆ ที่แกะมาได้จากตัวมัลแวร์ พบหลักฐานที่ค่อนข้างแน่ชัดว่าผู้โจมตีนั้นมาจากประเทศที่พูดภาษารัสเซีย … ก็น่าจะมาจากประเทศแนวๆ นั้นแหละ แต่ยังไม่รู้ว่าจะเป็นใครมาจากไหนที่ชัดเจน

 

ขอขอบคุณ: Kaspersky สำหรับข้อมูลครับ

@kafaak

ในอดีตเมื่อครั้งยังไม่ต๊อกต๋อย เคยเป็นผู้บริหารฝ่ายผลิตของโรงงานอุตสาหกรรม แต่ภายหลังเลือกงานที่ให้เวลากับชีวิต เพื่อมาอัพเดตเทรนด์เทคโนโลยีมากกว่า ปัจจุบันเป็นทั้งไอทีต๊อกต๋อยในสถานศึกษา เป็นบล็อกเกอร์ต๊อกต๋อยที่เขียนไปเรื่อยทั้งเรื่องเทคโนโลยี โซเชียลมีเดีย การตลาดดิจิตอล และจิตวิทยา เป็นที่ปรึกษาด้านการตลาดดิจิตอลให้กับธุรกิจ SMEs หลายแห่ง และเป็นวิทยากรรับเชิญด้านเทคโนโลยี การตลาดดิจิตอล และโซเชียลมีเดีย เป็นบางครา

You may also like...

Leave a Reply

%d bloggers like this: