Symantec กับภารกิจสืบสวนและป้องกันภัยจากกลุ่มก่อการร้ายไซเบอร์
Symantec กับภารกิจสืบสวนและป้องกันภัยจากกลุ่มก่อการร้ายไซเบอร์
DeepSight Managed Adversary and Threat Intelligence (MATI) ศูนย์วิจัยของ Symantec บริษัทด้าน cyber security จากอเมริกา ได้ตรวจพบกลุ่มผู้ก่อการร้ายทางไซเบอร์ 2 กลุ่มด้วยกัน ทั้งสองกลุ่มนี้เริ่มโจมตีองค์กรต่างๆ ในแถตะวันออกกลาง ยุโรป และอเมริกาเหนือ มาตั้งแต่ปี 2017 จนถึงปัจจุบัน
แม้ยังไม่มีชื่อเรียกของผู้ก่อการร้ายทั้งสองกลุ่มอย่างเป็นทางการ Symantec เรียกกลุ่มหนึ่งว่า Seedworm และอีกกลุ่มว่า APT28
องค์กรที่กลุ่มก่อการร้ายโจมตี ในตอนแรกเป็นบริษัทน้ำมัน แต่ต่อมามันเปลี่ยนเป้าหมายไปเป็นเป็นมหาวิทยาลัยต่างๆ ในตะวันออกกลาง และสถานทูตของประเทศอาหรับที่ตั้งอยู่ในยุโรป เช่นเดียวกับ NGO ต่างๆ
Symantec ตรวจพบ Seedworm และ APT28 ได้เป็นครั้งแรกในเดือนกันยายน 2018 ในคอมพิวเตอร์ของสถานทูตจากประเทศอาหรับแห่งหนึ่งในประเทศบราซิล Symantec ได้ตรวจสอบการโจมตีนี้ต่อ และจากการเข้าไปดูข้อมูลของ Global Intelligence Network ทำให้ Symantec ระบุได้ว่า Seedworm เริ่มโจมตีครั้งแรกเมื่อไหร่ เช่นเดียวกับประวัติการโจมตีในครั้งต่อๆ มาทั้งหมดของ Seedworm
การโจมตีของ Seedworm จะเน้นไปที่การล้วงของข้อมูลขององค์กรและบุคคลต่างๆ โดยใช้เครื่องมือประเภท custom backdoor ที่ชื่อ Powermud ซึ่งเป็นเครื่องมือเฉพาะของกลุ่มก่อการร้ายนี้ และเครื่องมืออื่นๆ เช่น PowerShell, LaZagne, และ Crackmapexec scripts
หลังจากเจาะเข้าไปในระบบได้ Seedworm จะใช้เครื่องมือเพื่อขโมยข้อมูลพาสเวิร์ด ที่ใช้ log in เข้าเว็บและอีเมลต่างๆ เช่นเดียวกับเครื่องมือแบบ open-source ในการขโมย Windows authorization credential โดยทางกลุ่มจะอัปเดต backdoor อยู่เสมอ เพื่อหลบหนีการตรวจจับและไม่ให้ถูกพบในการวิจัยด้านความปลอดภัย
Seedworm ใช้ Proxy network ในการพรางตัวเพื่อควบคุม Powermud backdoor ไม่ให้ใครรู้ว่ามันอยู่ที่ไหน และใช้ Github ในการเก็บมัลแวร์และเครื่องมือในการเจาะระบบอื่นๆ
ทาง Symantec ได้สืบไปจนพบต้นตอของ Seedworm แล้ว ตอนแรก Symantec ได้พบ script ใน Github repository ที่เปิดเป็น public ที่คล้ายกับ script ในการปฏิบัติการของ Seedworm นอกจากนี้ยังเจอลิงค์ของ Twitter ที่เจ้าของแอคเคานท์น่าจะเป็นหนึ่งในสมาชิกของกลุ่ม แอคเคานท์นี้ได้ติดตาม Twitter ของนักวิจัยด้านความปลอดภัยหลายๆ คน ทั้งคนที่เคยพูดถึง Seedworm และคนที่เป็น developer เครื่องมือ open-source
อย่างไรก็ตาม ตอนนี้ Symantec ได้ออกวิธีป้องกัน ผู้ใช้สามารถโหลดไฟล์ได้ “ฟรี” จากเว็บของ Symantec ในลิงค์นี้ https://symc.ly/2UKUanS สามารถป้องกันการโจมตีของ Seedworm ได้ทั้งแบบ file-based และ network-based และลิสต์รายชื่อไฟล์ที่เป็น malware และ network indicator ของ Seedworm มาให้ดูด้วย
งานด้าน intelligence เป็นสิ่งสำคัญที่สุดของการป้องกันภัยคุกคาม ด้วยเหตุนี้บริษัทด้าน cyber security ถึงต้องเปิดศูนย์วิจัยของตัวเอง และอัปเดตความรู้อย่างต่อเนื่อง เพื่อสร้างผลิดภัณฑ์ที่ดีที่สุดเพื่อความปลอดภัยของผู้ใช้
https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group
__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.firewallhub.com
☎ : 02-392-3608
📱 : [email protected]