แคสเปอร์สกี้ แลป พบสปายแวร์ “กาลิเลโอ” โจมตีโมบาย ทั้งแอนดรอยด์และไอโอเอสทั่วโลก รวมไทย

04 Jul 2014
แคสเปอร์สกี้ แลป ประกาศรายงานการวิจัยใหม่ล่าสุดเรื่องการฝังมัลแวร์ในระบบควบคุมระยะไกล (Remote Control System หรือ RCS) และการค้นพบโทรจันโมบายตัวใหม่ในระบบแอนดรอยด์และไอโอเอสที่ไม่เคยมีการค้นพบมาก่อน ซึ่งโมดูลนี้เป็นทูลสปายแวร์ชื่อ “กาลิเลโอ” (Galileo) ที่ถือว่า “ถูกกฎหมาย” พัฒนาโดยบริษัทสัญชาติอิตาเลียน ชื่อ “Hacking Team”
แคสเปอร์สกี้ แลป พบสปายแวร์ “กาลิเลโอ” โจมตีโมบาย ทั้งแอนดรอยด์และไอโอเอสทั่วโลก รวมไทย

รายงานนี้จัดทำขึ้นโดยแคสเปอร์สกี้ แลป ร่วมกับซิติเซน แลป สำหรับเหยื่อที่ระบุไว้ในรายงานนั้น ประกอบด้วยกลุ่มแอคทิวิสต์ กลุ่มสิทธิมนุษยชน นักข่าวและนักการเมือง

โครงสร้างระบบการควบคุมระยะไกล (RCS)

แคสเปอร์สกี้ แลป ทำการวิจัยเพื่อค้นหาเซิร์ฟเวอร์ควบคุมและสั่งการ (Command and Control Server - C&C) ของโทรจันกาลิเลโอทั่วโลก ในกระบวนการระบุตัวโทรจัน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ใช้ตัวบ่งชี้พิเศษและข้อมูลการเชื่อมโยงจากกลุ่มตัวอย่างในการวิเคราะห์ล่าสุด นักวิจัยสามารถระบุตัว C&C server ของ RCS ได้มากกว่า 320 เซิร์ฟเวอร์ใน 40 กว่าประเทศ เซิร์ฟเวอร์ส่วนใหญ่อยู่ในสหรัฐอเมริกา คาซัคสถาน เอกวาดอร์ สหราชอาณาจักร และแคนาดา และพบที่ประเทศไทย จำนวน 1 เซิร์ฟเวอร์

เซอร์เจย์ โกโลวานอฟ นักวิจัยของแคสเปอร์สกี้ แลป กล่าวว่า “การพบเซิร์ฟเวอร์ในประเทศดังกล่าวไม่ได้หมายความว่าเป็นเซิร์ฟเวอร์ที่ดำเนินการโดยหน่วยงานรัฐของประเทศนั้น แต่อาจหมายถึงการใช้ C&C นั้นเพื่อควบคุมกิจกรรมในประเทศนั้นๆ ซึ่งมีความเสี่ยงน้อยกว่าในด้านกฎหมายข้ามพรมแดนและการบุกยึดเซิร์ฟเวอร์”

การฝังระบบการควบคุมระยะไกล (RCS) ในโมบายดีไวซ์

แม้ว่าจะเคยมีการกล่าวถึงโทรจันของ Hacking Team ในระบบแอนดรอยด์และไอโอเอสมาก่อนหน้านี้แล้ว แต่ก็ยังไม่มีใครเคยระบุตัวหรือตรวจจับการโจมตีของโทรจันนี้ได้ ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ทำการค้นคว้าวิจัยมัลแวร์ RCS นี้มาหลายปี จนกระทั่งเมื่อต้นปี 2014 นี้ จึงสามารถระบุตัวอย่างของโมดูลนี้ได้ นอกจากนี้ ยังพบตัวอย่างอื่นๆ จากการรายงานของ Kaspersky Security Network (KSN) อีกด้วย

ทิศทางการติดเชื้อ: ผู้ดำเนินการอยู่เบื้องหลัง “กาลิเลโอ” นี้ ได้สร้างการฝังตัวแบบพิเศษสำหรับเป้าหมายเฉพาะ เมื่อตัวอย่างมังแวร์พร้อมทำงาน ผู้โจมตีจะส่งมัลแวร์ไปยังโมบายดีไวซ์ของเหยื่อที่เล็งเป้าไว้ เรียกว่า การโจมตีแบบสเปียร์ฟิชชิ่ง (spear phishing) ผ่านโซเชียลเน็ตเวิร์ก หรือช่องโหว่อย่างซีโร่เดย์ รวมถึงการติดเชื้อผ่านการเชื่อมต่อ USB

หนึ่งในการค้นพบสำคัญคือการได้รู้วิธีการแพร่โทรจันกาลิเลโอไปยังไอโฟน ซึ่งจะต้องเป็นเครื่องที่ผ่านการเจลเบรกมาแล้ว แต่เครื่องที่ยังไม่เจลเบรกก็สามารถตกเป็นเหยื่อได้เช่นกัน เพราะผู้โจมตีจะใช้ทูลทำการเจลเบรกไอโฟนผ่านคอมพิวเตอร์ที่ติดเชื้อได้ เพื่อหลีกเลี่ยงภัยร้ายนี้ ผู้เชี่ยวชาญแนะนำว่า ประการแรกห้ามเจลเบรกเครื่อง และประการที่สอง จะต้องอัพเดทเวอร์ชั่นไอโอเอสให้เป็นรุ่นล่าสุดอยู่เสมอการสอดส่องตามคำสั่ง: โมบายโมดูลของ RCS ได้รับการออกแบบอย่างพิถีพิถันเพื่อให้การสอดส่องเครื่องได้ตามฟังก์ชั่นที่กำหนด ยกตัวอย่างเช่น การจัดการแบตเตอรี่ของโมบายดีไวซ์ การบันทึกเสียงเมื่อเครื่องเชื่อมต่อเครือข่ายไวไฟ การเปลี่ยนซิมการ์ด หรือการชาร์จอุปกรณ์

โดยทั่วไปแล้ว โทรจัน RCS จะสามารถดำเนินการสอดส่องได้หลายรูปแบบ ทั้งการรายงานสถานที่อยู่ของเหยื่อ การถ่ายรูป การคัดลอกตารางงานจากปฏิทิน การจดทะเบียนซิมการ์ดใหม่ในเครื่องที่ติดเชื้อ และการแทรกแซงสายโทรศัพท์และข้อความ รวมถึงข้อความที่ส่งจากแอพพลิเคชั่นทั้งหลายอย่าง Viber, WhatsApp และ Skype

การตรวจจับ: ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับทูลสปายแวร์ RCS/DaVinci/Galileo ได้ในชื่อต่อไปนี้

  • Backdoor.Win32.Korablin
  • Backdoor.Win64.Korablin
  • Backdoor.Multi.Korablin
  • Rootkit.Win32.Korablin
  • Rootkit.Win64.Korablin
  • Rootkit.OSX.Morcut
  • Trojan.OSX.Morcut
  • Trojan.Multi.Korablin
  • Trojan.Win32.Agent
  • Trojan-Dropper.Win32.Korablin
  • Trojan-PSW.Win32.Agent
  • Trojan-Spy.AndroidOS.Mekir
  • Backdoor.AndroidOS.Criagข้อมูลเพิ่มเติม- HackingTeam 2.0: The Story Goes Mobilehttp://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile
  • HTML::image(