เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

พฤหัสบดี 18 สิงหาคม 2559 เวลา 16:19 น.

          เมื่อเดือนกันยายน การสื่อสาร558 ที่ผ่านมา แพล็ตฟอร์มต่อต้านการโจมตีแบบพุ่งเป้าแคสเปอร์สกี้ แลป (Anti-Targeted Attack Platform) ตรวจพบสิ่งผิดปกติในเน็ตเวิร์กองค์กรของลูกค้า นักวิจัยศึกษาต่อและพบ "ProjectSauron" (โปรเจ็คเซารอน) ซึ่งเป็นผู้ก่อภัยคุกคามระดับชาติ มุ่งโจมตีองค์กรของรัฐโดยใช้เครื่องมือเฉพาะสำหรับเหยื่อแต่ละราย ทำให้วิธีการบ่งชี้ว่าระบบถูกแฮกนั้นเกือบสูญประโยชน์ ภัยคุกคามนี้มีเป้าหมายเพื่อเป็นการจารกรรมไซเบอร์โดยเฉพาะ
          "ProjectSauron" สนใจช่องทางการสื่อสารที่เข้ารหัสเป็นพิเศษ ใช้แพลตฟอร์มจารกรรมไซเบอร์แบบโมดูลลาร์ขั้นสูงในการเข้าถึงช่องทาง พร้อมเครื่องมือและเทคนิคเฉพาะ กลยุทธ์ที่น่าจับตามองคือการหลบเลี่ยงแพทเทิร์นอย่างรอบคอบ "ProjectSauron" จะจัดแต่งอิมแพลนต์และอินฟราสตรักเจอร์สำหรับเหยื่อแต่ละราย และไม่มีการนำมาใช้ซ้ำ วิธีการเช่นนี้ เมื่อนำไปใช้ร่วมกับรูทหลายเส้นทางที่ใช้ส่งต่อข้อมูลที่ถูกขโมย (เช่น ช่องทางอีเมลที่ถูกกฎหมาย และระบบโดเมนเนม หรือ DNS) จะทำให้ "ProjectSauron" สามารถสร้างแคมเปญลับในการลักลอบสืบข้อมูลระยะยาวในเน็ตเวิร์กของเป้าหมาย
          "ProjectSauron" เป็นผู้ก่อภัยคุกคามแบบดั้งเดิมที่มีประสบการณ์มาก มีความมุ่งมั่นพยายามเรียนรู้จากผู้ก่อภัยคุกคามขั้นสูงรายอื่นๆ อย่าง Duqu, Flame, Equation และ Regin รวมถึงนำเทคนิคนวัตกรรมใหม่ๆ มาใช้ และปรับปรุงกลยุทธ์เพื่อการพรางตัว
ประเภทของเหยื่อ
          ปัจจุบันมีองค์กรตกเป็นเหยื่อของ "ProjectSauron" มากกว่า 3แคสเปอร์สกี้ แลป ราย พบในประเทศรัสเซีย อิหร่าน รวันดา และอีกหลายประเทศที่ใช้ภาษาอิตาเลี่ยนในการสื่อสาร ผู้เชี่ยวชาญเชื่อว่ายังมีองค์กรมากมายในหลายประเทศที่ได้รับผลกระทบ นอกจากนี้ยังแบ่งประเภทขององค์กรได้แก่ รัฐบาล หน่วยงานทางทหาร ศูนย์วิจัยทางวิทยาศาสตร์ ผู้ประกอบการโทรคมนาคม และสถาบันการเงิน
          การวิเคราะห์ทางนิติเวชระบุว่า "ProjectSauron" เริ่มดำเนินการตั้งแต่เดือนมิถุนายน การสื่อสารแคสเปอร์สกี้ แลปการโจมตีแบบการโจมตีแบบ และยังทำงานอยู่จนถึงปัจจุบัน ส่วนเว็คเตอร์ที่ใช้ในการติดเชื้อตั้งแต่แรกเริ่มนั้นเพื่อบุกรุกเน็ตเวิร์กของเหยื่อนั้นยังไม่ปรากฏแน่ชัด มีเป้าหมายหลักในการโจมตีคือการขโมยข้อมูลความลับจากองค์กรรัฐ
          วิทาลี คามลัก นักวิจัยด้านซิเคียวริตี้ของแคสเปอร์สกี้ แลป กล่าวว่า "จำนวนการโจมตีแบบพุ่งเป้าจะขึ้นอยู่กับเครื่องมือต้นทุนต่ำที่พร้อมใช้งาน ProjectSauron ใช้เครื่องมือที่ทำขึ้นเองและโค้ดสคริปต์ที่ปรับแต่งได้ การใช้เทคนิคล้ำสมัยที่หยิบยืมมาจากผู้โจมตีรายอื่นนับเป็นเรื่องใหม่ ทางเดียวที่จะป้องกันตัวจากภัยคุกคามประเภทนี้ได้คือต้องมีเลเยอร์ซิเคียวริตี้หลายๆ ชั้น มีตัวเซ็นเซอร์ที่คอยมอนิเตอร์สิ่งผิดปกติแม้เพียงเล็กน้อยภายในระบบการทำงานขององค์กร นอกจากนี้ ยังต้องมีซอฟต์แวร์อัจฉริยะและการวิเคราะห์ภัยคุกคามทางนิติเวชเพื่อค้นหารูปแบบการโจมตี"
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป แนะนำให้องค์กรตรวจสอบเน็ตเวิร์กไอทีและเครื่องเอ็นพ้อยต์ภายในองค์กร และดำเนินมาตรการดังต่อไปนี้
          การสื่อสารการสื่อสาร6; เริ่มใช้โซลูชั่นป้องกันการโจมตีแบบพุ่งเป้าควบคู่ไปกับการป้องกันเครื่องเอ็นพ้อยต์ เนื่องจากการป้องกันเครื่องเอ็นพ้อยต์เพียงอย่างเดียวไม่สามารถป้องกันภัยคุกคามใหม่ๆ ได้
          การสื่อสารการสื่อสาร6; เรียกผู้เชี่ยวชาญเมื่อพบสิ่งผิดปกติ โซลูชั่นซีเคียวริตี้ระดับสูงมากๆ จะสามารถตรวจจับการโจมตีที่เกิดขึ้น และบางครั้งเจ้าหน้าที่ด้านซีเคียวริตี้ก็สามารถวิเคราะห์ แก้ไขและบล็อกการโจมตีครั้งใหญ่ๆ ได้อย่างมีประสิทธิภาพ
          การสื่อสารการสื่อสาร6; เสริมการปกป้องด้วยเซอร์วิสอัจฉริยะ ซึ่งจะแจ้งเตือนทีมซีเคียวริตี้เกี่ยวกับวิวัฒนาการของภัยคุกคาม แนวโน้มการโจมตี และสัญญาณเตือนเพื่อเฝ้าระวัง
          การสื่อสารการสื่อสาร6; การโจมตีครั้งใหญ่ๆ มักเริ่มต้นจากการสเปียร์ฟิชชิ่งและการเข้าถึงพนักงานองค์กร จึงต้องจัดฝึกอบรมพนักงานให้เข้าใจและมีพฤติกรรมไซเบอร์ที่เหมาะสม
          ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับ "ProjectSauron" ได้ในชื่อ HEUR:Trojan.Multi.Remsec.gen
          ข้อมูลเพิ่มเติม
          การสื่อสารการสื่อสาร6; FAQ https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt/
          การสื่อสารการสื่อสาร6; Full report http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
          การสื่อสารการสื่อสาร6; Indicators of compromise https://kas.pr/yVR8
          การสื่อสารการสื่อสาร6; YARA rules https://kas.pr/c9SH

เตือนภัย ProjectSauron จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

ข่าวแคสเปอร์สกี้ แลป+แคสเปอร์สกี้วันนี้

แคสเปอร์สกี้ แลป เผย “ShadowHammer” โจมตีแบบซัพพลายเชนทั่วโลก พบผู้ใช้ไทยโดนโจมตี 376 เครื่อง

แคสเปอร์สกี้ แลป เปิดเผยการค้นพบ "ShadowHammer" ปฏิบัติการ APT ล่าสุดที่กระทบผู้ใช้งานจำนวนมากโดยใช้วิธีการโจมตีซัพพลายเชน มีเป้าหมายโจมตีผู้ที่ใช้งาน ASUS Live Update Utility โดยอาชญากรไซเบอร์ได้แพร่มัลแวร์ผ่านทางแบ็กดอร์ช่วงเดือนมิถุนายนถึงพฤศจิกายนปีที่แล้ว ผู้เชี่ยวชาญคาดว่าจะมีผู้ใช้ที่ได้รับผลกระทบมากกว่าหนึ่งล้านรายทั่วโลก พบผู้ใช้ไทยจำนวน 376 รายถูกโจมตี การโจมตีซัพพลายเชนเป็นหนึ่งในวิธีการที่อันตรายที่สุดและมีประสิทธิภาพที่สุด เริ่มแพร่ระบาดมากในปฏิบัติการโจมตีขั้นสูงในช่วง 2-3

01 เมษายน 2562 13:36 น.

แคสเปอร์สกี้ แลป เผย แบงกิ้งโทรจัน RTM ลุยโจมตีกลุ่มธุรกิจไปแล้วมากกว่า 130,000 ราย — นักวิจัยของแคสเปอร์สกี้ แลปตรวจพบกิจกรรมของโทรจัน RTM Banking Trojan... มี.ค. 62

แคสเปอร์สกี้ แลป ได้รับรางวัล CEIA Award 2018 สาขาความปลอดภัยไซเบอร์ — ด้วยเทคโนโลยีและโซลูชั่นด้านความปลอดภัยชั้นนำ ทำให้แคสเปอร์สกี้ แลป ได้รับรางวัล CE... ก.พ. 62

แคสเปอร์สกี้ แลป เตือนนายจ้างระวังลูกจ้างเก่าใช้ช่องทางเพื่อแก้แค้นทางไซเบอร์ — การเปลี่ยนลูกจ้างนับเป็นส่วนหนึ่งของการดำเนินธุรกิจ แต่ในบางกรณีก็ส่งผลร้... ก.พ. 62

แคสเปอร์สกี้ แลป สกัดภัยไซเบอร์มุ่งโจมตีไทยได้มากกว่า 5 ล้านรายการ — แคสเปอร์สกี้ แลป ประกาศรายงานด้านความปลอดภัยไซเบอร์ล่าสุดประจำไตรมาสที่ 4 ปี 2018 ซึ... ก.พ. 62

แคสเปอร์สกี้ แลป พบช่องโหว่ของตัวชาร์จรถไฟฟ้า ที่สามารถสร้างความเสียหายต่อเน็ตเวิร์กบ้านได้ — โดยปกติแล้วจะมีการทดสอบช่องโหว่ต่างๆ ของยานยนต์ไฟฟ้ารุ่นใหม... ม.ค. 62

แคสเปอร์สกี้ แลป คาดการณ์ภัยคุกคาม 2019: ผู้ร้ายไซเบอร์จะงัดอาวุธหนักพร้อมกลยุทธ์ใหม่ หวังโจมตีทำลายล้าง — จากรายงาน "Targeted Threat Predictions for 2019... ธ.ค. 61

แคสเปอร์สกี้ แลป แต่งตั้ง วีเอสที อีซีเอส เสริมทัพตัวแทนจัดจำหน่ายในไทยเพิ่ม พร้อมตั้งเป้าขยายตลาด B2B — แคสเปอร์สกี้ แลป ต่อยอดสร้างการเติบโตไปอีกขึ้นด้ว... ธ.ค. 61

แคสเปอร์สกี้ แลป สรุปตัวเลขเด่นด้านความปลอดภัย 2018 — แคสเปอร์สกี้ แลป เปิดเผยว่า จากจำนวนข้อมูลไฟล์มุ่งร้ายใหม่ทั้งหมดที่ตรวจพบในปี 2018 มีจำนวนแรนซัมแว... ธ.ค. 61

แคสเปอร์สกี้ แลป เริ่มประมวลผลข้อมูลลูกค้ายุโรปที่ซูริค พร้อมเปิดศูนย์โปร่งใสแห่งแรก — นับจากวันที่ 13 พฤศจิกายน 2018 เป็นต้นไป การประมวลผลไฟล์มุ่งร้ายแล... พ.ย. 61