แคสเปอร์สกี้ แลป พบสปายแวร์ “กาลิเลโอ” โจมตีโมบาย ทั้งแอนดรอยด์และไอโอเอสทั่วโลก รวมไทย

แคสเปอร์สกี้ แลป ประกาศรายงานการวิจัยใหม่ล่าสุดเรื่องการฝังมัลแวร์ในระบบควบคุมระยะไกล (Remote Control System หรือ RCS) และการค้นพบโทรจันโมบายตัวใหม่ในระบบแอนดรอยด์และไอโอเอสที่ไม่เคยมีการค้นพบมาก่อน ซึ่งโมดูลนี้เป็นทูลสปายแวร์ชื่อ “กาลิเลโอ” (Galileo) ที่ถือว่า “ถูกกฎหมาย” พัฒนาโดยบริษัทสัญชาติอิตาเลียน ชื่อ “Hacking Team”

รายงานนี้จัดทำขึ้นโดยแคสเปอร์สกี้ แลป ร่วมกับซิติเซน แลป สำหรับเหยื่อที่ระบุไว้ในรายงานนั้น ประกอบด้วยกลุ่มแอคทิวิสต์ กลุ่มสิทธิมนุษยชน นักข่าวและนักการเมือง

โครงสร้างระบบการควบคุมระยะไกล (RCS)

แคสเปอร์สกี้ แลป ทำการวิจัยเพื่อค้นหาเซิร์ฟเวอร์ควบคุมและสั่งการ (Command and Control Server - C&C) ของโทรจันกาลิเลโอทั่วโลก ในกระบวนการระบุตัวโทรจัน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ใช้ตัวบ่งชี้พิเศษและข้อมูลการเชื่อมโยงจากกลุ่มตัวอย่างในการวิเคราะห์ล่าสุด นักวิจัยสามารถระบุตัว C&C server ของ RCS ได้มากกว่า 320 เซิร์ฟเวอร์ใน 40 กว่าประเทศ เซิร์ฟเวอร์ส่วนใหญ่อยู่ในสหรัฐอเมริกา คาซัคสถาน เอกวาดอร์ สหราชอาณาจักร และแคนาดา และพบที่ประเทศไทย จำนวน 1 เซิร์ฟเวอร์

เซอร์เจย์ โกโลวานอฟ นักวิจัยของแคสเปอร์สกี้ แลป กล่าวว่า “การพบเซิร์ฟเวอร์ในประเทศดังกล่าวไม่ได้หมายความว่าเป็นเซิร์ฟเวอร์ที่ดำเนินการโดยหน่วยงานรัฐของประเทศนั้น แต่อาจหมายถึงการใช้ C&C นั้นเพื่อควบคุมกิจกรรมในประเทศนั้นๆ ซึ่งมีความเสี่ยงน้อยกว่าในด้านกฎหมายข้ามพรมแดนและการบุกยึดเซิร์ฟเวอร์”

การฝังระบบการควบคุมระยะไกล (RCS) ในโมบายดีไวซ์

แม้ว่าจะเคยมีการกล่าวถึงโทรจันของ Hacking Team ในระบบแอนดรอยด์และไอโอเอสมาก่อนหน้านี้แล้ว แต่ก็ยังไม่มีใครเคยระบุตัวหรือตรวจจับการโจมตีของโทรจันนี้ได้ ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ทำการค้นคว้าวิจัยมัลแวร์ RCS นี้มาหลายปี จนกระทั่งเมื่อต้นปี 2014 นี้ จึงสามารถระบุตัวอย่างของโมดูลนี้ได้ นอกจากนี้ ยังพบตัวอย่างอื่นๆ จากการรายงานของ Kaspersky Security Network (KSN) อีกด้วย

ทิศทางการติดเชื้อ: ผู้ดำเนินการอยู่เบื้องหลัง “กาลิเลโอ” นี้ ได้สร้างการฝังตัวแบบพิเศษสำหรับเป้าหมายเฉพาะ เมื่อตัวอย่างมังแวร์พร้อมทำงาน ผู้โจมตีจะส่งมัลแวร์ไปยังโมบายดีไวซ์ของเหยื่อที่เล็งเป้าไว้ เรียกว่า การโจมตีแบบสเปียร์ฟิชชิ่ง (spear phishing) ผ่านโซเชียลเน็ตเวิร์ก หรือช่องโหว่อย่างซีโร่เดย์ รวมถึงการติดเชื้อผ่านการเชื่อมต่อ USB

หนึ่งในการค้นพบสำคัญคือการได้รู้วิธีการแพร่โทรจันกาลิเลโอไปยังไอโฟน ซึ่งจะต้องเป็นเครื่องที่ผ่านการเจลเบรกมาแล้ว แต่เครื่องที่ยังไม่เจลเบรกก็สามารถตกเป็นเหยื่อได้เช่นกัน เพราะผู้โจมตีจะใช้ทูลทำการเจลเบรกไอโฟนผ่านคอมพิวเตอร์ที่ติดเชื้อได้ เพื่อหลีกเลี่ยงภัยร้ายนี้ ผู้เชี่ยวชาญแนะนำว่า ประการแรกห้ามเจลเบรกเครื่อง และประการที่สอง จะต้องอัพเดทเวอร์ชั่นไอโอเอสให้เป็นรุ่นล่าสุดอยู่เสมอการสอดส่องตามคำสั่ง: โมบายโมดูลของ RCS ได้รับการออกแบบอย่างพิถีพิถันเพื่อให้การสอดส่องเครื่องได้ตามฟังก์ชั่นที่กำหนด ยกตัวอย่างเช่น การจัดการแบตเตอรี่ของโมบายดีไวซ์ การบันทึกเสียงเมื่อเครื่องเชื่อมต่อเครือข่ายไวไฟ การเปลี่ยนซิมการ์ด หรือการชาร์จอุปกรณ์

โดยทั่วไปแล้ว โทรจัน RCS จะสามารถดำเนินการสอดส่องได้หลายรูปแบบ ทั้งการรายงานสถานที่อยู่ของเหยื่อ การถ่ายรูป การคัดลอกตารางงานจากปฏิทิน การจดทะเบียนซิมการ์ดใหม่ในเครื่องที่ติดเชื้อ และการแทรกแซงสายโทรศัพท์และข้อความ รวมถึงข้อความที่ส่งจากแอพพลิเคชั่นทั้งหลายอย่าง Viber, WhatsApp และ Skype

การตรวจจับ: ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับทูลสปายแวร์ RCS/DaVinci/Galileo ได้ในชื่อต่อไปนี้

Backdoor.Win32.Korablin
Backdoor.Win64.Korablin
Backdoor.Multi.Korablin
Rootkit.Win32.Korablin
Rootkit.Win64.Korablin
Rootkit.OSX.Morcut
Trojan.OSX.Morcut
Trojan.Multi.Korablin
Trojan.Win32.Agent
Trojan-Dropper.Win32.Korablin
Trojan-PSW.Win32.Agent
Trojan-Spy.AndroidOS.Mekir
Backdoor.AndroidOS.Criagข้อมูลเพิ่มเติม- HackingTeam 2.0: The Story Goes Mobilehttp://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile

ฝากข่าวประชาสัมพันธ์?

ติดต่อเราได้ที่ facebook.com/newswit