FireEye, Inc. (NASDAQ: FEYE), ผู้นำในการหยุดยั้งการโจมตีไซเบอร์ขั้นสูงในปัจจุบัน ได้เปิดเผยผลการวิจัยของการดำเนินการโจมตีทางไซเบอร์ของกลุ่มภัยคุกคามจากประเทศจีน ที่เรียกว่า "admin@338" ซึ่งมีเป้าหมายอยู่ที่องค์กรสื่อต่างๆที่มีฐานอยู่ในฮ่องกง
ในเดือนสิงหาคม กลุ่มผู้โจมตีได้ส่งอีเมล์ฟิชชิ่งเกี่ยวกับข่าวที่น่าสนใจพร้อมกับแนบไฟล์อันตรายไปยังองค์กรสื่อต่างๆ เช่น หนังสือพิมพ์, วิทยุ และโทรทัศน์ ที่มีฐานอยู่ในฮ่องกง โดยอีเมล์ฉบับหนึ่งได้มีการอ้างถึงการก่อตั้งองค์กรภาคประชาสังคมศาสนาคริสต์ในวันครบรอบการประท้วงในฮ่องกงปี 2558 ที่เรียกว่า Umbrella Movement และอีเมล์อีกฉบับหนึ่งอ้างอิงถึงสมาคมศิษย์เก่ามหาวิทยาลัยฮ่องกงที่ กังวลเกี่ยวกับการลงประชามติแต่งตั้งรองอธิการบดีว่าจะถูกแทรกแซงจากฝ่ายผู้สนับสนุนทางปักกิ่ง
โดยทางผู้โจมตีจะทำการติดตั้งมัลแวร์ชื่อว่า LOWBALL ซึ่งลักลอบใช้บริการของ Dropbox ซึ่งเป็นบริการจัดเก็บข้อมูลบนระบบคลาวด์ ในการสั่งการและควบคุมมัลแวร์ที่ได้ติดตั้งไว้ หลังจากที่นักวิจัยของ FireEye ได้ทำการแจ้งเตือนทาง Dropbox ถึงกิจกรรมต่างๆ ของกลุ่มผู้โจมตีดังกล่าว ทาง Dropbox ได้ปิดกั้นการเข้าถึงระบบโดย LOWBALL ในทันที ซึ่งการกระทำดังกล่าวถือเป็นการตัดการเชื่อมต่อทั้งหมดของกลุ่มผู้โจมตีไปยังมัลแวร์ที่มีการสังเกตุการณ์ได้
FireEye ได้เฝ้าสังเกตการโจมตีจากกลุ่มผู้โจมตีของจีนหลายกลุ่ม ที่มุ่งเป้าไปยังผู้สื่อข่าวในองค์กรระดับนานาชาติและท้องถิ่นในเอเชีย การโจมตีเหล่านี้โดยมากมักจะมุ่งเน้นไปที่สื่อมวลชนที่มีฐานอยู่ในฮ่องกง โดยเฉพาะอย่างยิ่งผู้ที่เผยแพร่เนื้อหาในการเรียกร้องประชาธิปไตย และมีการตรวจพบว่าผู้สื่อข่าวที่อยู่ในไต้หวัน, เอเชียตะวันออกเฉียงใต้ และที่อื่น ๆ ในเอเซียก็เป็นเป้าหมายด้วยเช่นกัน
"ผู้สื่อข่าวในเอเชียมักจะตกเป็นเป้าหมายการโจมตีไซเบอร์อยู่เสมอ เนื่องจากพวกเขาต้องหาข้อมูลจากแหล่งข้อมูลที่แตกต่างกัน ซึ่งทำให้ง่ายต่อการเป็นเป้าโจมตี โดยเฉพาะข้อมูลที่ผู้สื่อข่าวมีและข้อมูลของแหล่งที่มานั้นมีความหมายมาก หากไม่มีเทคโนโลยีการป้องกันที่พอเพียง จะทำให้พวกเขาตกเป็นเหยื่อได้ง่าย" คำกล่าวของ Bryce Boland หัวหน้าเจ้าหน้าที่เทคโนโลยีของ FireEye ในเอเชียแปซิฟิก
FireEye ได้ทำการเฝ้าติดตามกิจกรรมของ admin@338 มาตั้งแต่ปี 2556 โดยกลุ่มผู้โจมตีได้มีการกำหนดเป้าหมายส่วนใหญ่ที่องค์กรที่เกี่ยวข้องกับด้านการเงิน เศรษฐกิจ และนโยบายการค้า โดย FireEye เริ่มค้นพบการโจมตีไปยังสื่อมวลชนในเดือนเมษายน 2558
กิจกรรมที่ผ่านมาของกลุ่มผู้โจมตีนี้ที่มีต่อองค์กรทางการเงินและนโยบาย มักจะมุ่งเน้นไปที่การใช้อีเมล์ฟิชชิ่งที่เขียนเป็นภาษาอังกฤษในการโจมตี โดยมีเป้าหมายอยู่ที่ผู้รับที่เป็นชาวตะวันตก อย่างไรก็ตามแคมเปญนี้ถูกออกแบบมาสำหรับ โจมตีผู้ที่อ่านภาษาจีนแบบดั้งเดิมซึ่งใช้กันโดยทั่วไปในฮ่องกง
ในเดือนเมษายนที่ผ่านมา FireEye เปิดเผยรายงานเกี่ยวกับ APT30 ซึ่งเป็นกลุ่มที่เชื่อมโยงกับจีนซึ่งมีกิจกรรมการจารกรรมไซเบอร์ที่ดำเนินการมายาวนานนับทศวรรษในภูมิภาคเอเชียตะวันออกเฉียงใต้และอินเดีย และ APT30 ยังได้ทำการโจมตีผู้สื่อข่าวอีกด้วย แต่ FireEye ไม่ได้ค้นพบสิ่งเชื่อมโยงโดยตรงระหว่างกลุ่ม APT30 กับ admin@338
สามารถอ่านรายละเอียดเพิ่มเติมในโพสต์จากข่าวกรองภัยคุกคามของ FireEye ได้ที่ :https://www.fireeye.com/blog/threat-research/2015/11/china-based-threat.htmlรูปภาพภาพที่ 1: ตัวอย่างอีเมล์ฟิชชิ่งของ admin@338 ที่ถูกส่งไปยังผู้สื่อข่าวhttp://release.media-outreach.com/i/Download/3989ตราบริษัทhttp://release.media-outreach.com/i/Download/3524
ติดต่อเราได้ที่ facebook.com/newswit