แคสเปอร์สกี้ แลป ชี้ ประเทศกลุ่มทะเลจีนใต้ถูกซุ่มโจมตีไซเบอร์ ยาวนานกว่า 5 ปี


แคสเปอร์สกี้ แลป ชี้ ประเทศกลุ่มทะเลจีนใต้ถูกซุ่มโจมตีไซเบอร์ ยาวนานกว่า 5 ปี

แคสเปอร์สกี้ แลป ชี้ ประเทศกลุ่มทะเลจีนใต้ถูกซุ่มโจมตีไซเบอร์ ยาวนานกว่า 5 ปี


แคสเปอร์สกี้ แลป เผยรายงานจารกรรมไซเบอร์ใหม่ล่าสุด พบการแทรกซึมของภัยคุกคามในองค์กรระดับชาติทั่วภูมิภาคทะเลจีนใต้โดยกลุ่ม “ไนกอน” (Naikon) เป็นเวลานานกว่า 5 ปี ด้วยวิธีการติดตั้งโครงสร้างการเชื่อมต่อแบบเรียลไทม์และการทำเหมืองข้อมูล (Data Mining) จนถึงทูลที่มี 48 คอมมานด์เพื่อสอดส่องระบบ

ผู้เชี่ยวชาญค้นพบว่ากลุ่มไนกอนใช้ภาษาจีนในการสื่อสารและมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลระดับสูง รวมถึงองค์กรทางการทหารและพลเรือนในภูมิภาคทะเลจีนใต้ ได้แก่ ประเทศฟิลิปปินส์ มาเลเซีย กัมพูชา อินโดนีเซีย เวียดนาม เมียนมาร์ สิงคโปร์ เนปาล ลาว จีน และไทย

แคสเปอร์สกี้ แลป ระบุข้อมูลสำคัญของปฏิบัติการของไนกอนไว้ดังนี้
• แต่ละประเทศใช้คนในการดำเนินการเก็บข้อมูลวัฒนธรรมของแต่ละประเทศ เช่น แนวโน้มการใช้อีเมลส่วนตัวในการทำงาน
• สถานที่ตั้งของโครงสร้าง (พร็อกซี่เซิร์ฟเวอร์) ภายในชายแดนของแต่ละประเทศ เพื่อรองรับการเชื่อมต่อเรียลไทม์และการไหลของข้อมูลในแต่ละวัน
• ปฏิบัติการโจมตีตามภูมิรัฐศาสตร์ดำเนินการยาวนานกว่า 5 ปี พุ่งเป้าหน่วยงานระดับสูง
• ใช้รหัสที่เป็นอิสระจากแพลตฟอร์ม สามารถสกัดกั้นทราฟฟิกของทั้งเครือข่าย
• ใช้คอมมานด์ทั้งสิ้น 48 คอมมานด์ในฟังก์ชั่นการบริหารระยะไกล รวมถึงคอมมานด์สำหรับการดาวน์โหลดและอัพโหลดข้อมูล การติดตั้งโมดูลแอด-ออน และการทำงานด้วยคอมมานด์ไลน์

กลุ่มจารกรรมไซเบอร์ที่ชื่อ “ไนกอน” นี้ ปรากฏชื่อครั้งแรกในรายงานล่าสุดของแคสเปอร์สกี้ แลป เรื่อง “The Chronicles of the Hellsing APT: the Empire Strikes Back” ซึ่งกลุ่มไนกอนมีบทบาทสำคัญในเหตุการณ์โจมตีกลุ่ม APT ด้วยกันเอง โดยมีคู่ปรับคือกลุ่มเฮลซิ่ง (Hellsing) ที่ต่อมาได้ตัดสินใจแก้แค้นเอาคืนกลุ่มไนกอน

เคิร์ต บอมการ์ตเนอร์ นักวิจัยซิเคียวริตี้ ทีมวิเคราะห์และวิจัยระดับโลก (GReAT) แคสเปอร์สกี้ แลป กล่าวว่า “กลุ่มอาชญากรไนกอนได้ออกแบบโครงสร้างที่มีความยืดหยุ่นสูงเพื่อใช้งานกับประเทศเป้าหมายประเทศใดก็ได้ตามความต้องการ และพร้อมรับข้อมูลที่หลั่งไหลมาจากระบบของเหยื่อสู่ศูนย์ควบคุมคำสั่ง หากผู้โจมตีตัดสินใจว่าจะเปลี่ยนเป้าหมายไปยังประเทศอื่นๆ ก็สามารถตั้งค่าเชื่อมต่อใหม่ได้ง่ายดาย การมีโอเปอเรเตอร์เฉพาะสำหรับแต่ละกลุ่มเป้าหมายยังช่วยให้กลุ่มไนกอนทำงานได้ง่ายขึ้นอีกด้วย”

กลุ่มไนกอนโจมตีเป้าหมายด้วยเทคนิคสเปียร์ฟิชชิ่งแบบดั้งเดิม โดยใช้อีเมลพร้อมไฟล์แนบที่ออกแบบให้ดึงดูดความสนใจของเป้าหมาย ไฟล์แนบนี้อาจดูเหมือนเอกสารเวิร์ด แต่แท้จริงแล้วเป็นไฟล์ที่บรรจุโปรแกรมคำสั่งพร้อมเอ็กเท็นชั่นนั่นเอง

แคสเปอร์สกี้ แลป แนะนำให้องค์กรป้องกันตัวเองจากไนกอนตามวิธีต่อไปนี้
• ไม่เปิดไฟล์และเว็บลิ้งก์จากผู้ส่งที่ไม่รู้จัก
• ใช้โซลูชั่นป้องกันมัลแวร์ขั้นสูง
• ถ้าไม่แน่ใจไฟล์แนบ ให้ลองเปิดไฟล์นั้นในแซนด์บ็อก
• ใช้ระบบปฏิบัติการเวอร์ชั่นที่อัพเดทล่าสุดที่ติดตั้งแพทช์ครบถ้วน
• แคสเปอร์สกี้ แลป ปกป้องผู้ใช้จากภัยคุกคามด้วยฟังก์ชั่น Automatic Exploit Prevention สามารถตรวจจับคอมโพเน้นท์ของไนกอนได้ ได้แก่ Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent and Backdoor.Win32.Agent.

ข้อมูลเพิ่มเติม
• Tracking Down Geo-Political Intelligence Across APAC, One Nation at a Time
https://securelist.com/analysis/publications/69953/the-naikon-apt/
• รายงานเรื่อง “The Chronicles of the Hellsing APT: the Empire Strikes Back” https://securelist.com/analysis/publications/69567/the-chronicles-of-the-hellsing-apt-the-empire-strikes-back/

หมวดหมู่ข่าวทั้งหมด