แคสเปอร์สกี้ (Kaspersky) เผยรายงานวิเคราะห์การโจมตี 3 APT ร้าย FunnyDream, Cycldek และ Zebrocy มุ่งโจมตีไทยเชื่อมโยงภูมิศาสตร์การเมือง และจ้องฉกข่าวกรอง…

highlight

  • แคสเปอร์สกี้เปิดโปงปฏิบัติการของกลุ่มอาชญากรไซเบอร์ที่ยังดำเนินการอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ จากการวิเคราะห์พบว่า ปี 2019 เป็นปีที่กลุ่มผู้ร้ายวุ่นวายอย่างหนักในการเริ่มใช้งานทูลโจมตีใหม่ๆ รวมถึงการสองส่องผ่านโมบายมัลแวร์เพื่อทำจารกรรมล่าข้อมูลจากรัฐบาล หน่วยงานการทหาร และองค์กรต่างๆ ทั่วภูมิภาค

Kaspersky เผย 3 APT มุ่งร้ายโจมตีไทย หวังผลการเมือง และข่าวกรอง

วิทาลี คามลัก ผู้อำนวยการทีมวิเคราะห์ และวิจัย แคสเปอร์สกี้ ภูมิภาคเอเชียแปซิฟิก กล่าวว่า ภูมิศาสตร์การเมืองนับเป็นหนึ่งในปัจจัยหลักที่จะกำหนดแนวทางภัยคุกคามในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยในปีที่แล้ว จากจำนวนเคสที่แคสเปอร์สกี้ตรวจสอบการโจมตีแบบ APT ที่พุ่งเป้าหมายที่ภูมิภาคนี้โดยเฉพาะ

แสดงให้เห็นว่า สิ่งที่กระตุ้นให้เกิดการโจมตีหลักๆ แล้วคือการรวบรวมข่าวกรองด้านเศรษฐกิจ และภูมิศาสตร์การเมืองภูมิภาคเอเชียตะวันออกเฉียงใต้ประกอบด้วยประเทศที่มีความหลากหลายทางชาติพันธุ์ วิสัยทัศน์ทางการเมือง และการพัฒนาทางเศรษฐกิจ

จึงเป็นปัจจัยกำหนดรูปแบบการโจมตีทางไซเบอร์ที่หลากหลายในภูมิภาคนี้ผู้เชี่ยวชาญได้เห็นว่าผู้โจมตี APT นั้นปฏิบัติการอย่างไรช่วงหลายปีที่ผ่านมา พัฒนาทูลใหม่อย่างไร มีความระมัดระวังมากขึ้น มีความก้าวหน้าทางเทคนิค และกระตือรือร้นไขว่คว้าเป้าหมายที่สูงขึ้น

กลุ่ม APT ที่โจมตีประเทศไทยในปี 2019 และปฏิบัติการต่อเนื่องในปี 2020 นี้

ฟันนีดรีม (FunnyDream) โดยในช่วงต้นปี 2020 แคสเปอร์สกี้ออกรายงานการสืบสวนแคมเปญการโจมตีที่ชื่อ FunnyDreamผู้ร้ายที่ใช้ภาษาจีนในการสื่อสารนี้ดำเนินการร้ายนานอย่างน้อย 2-3 ปี และฝังมัลแวร์ร้ายที่มีความสามารถหลากหลายไว้
โดยตั้งแต่กลางปี 2018 ได้สังเกตุเห็นกิจกรรมที่แอคทีฟอย่างต่อเนื่องจากกลุ่มนี้ มีเป้าหมายส่วนหนึ่งเป็นองค์กรรัฐบาลระดับสูง และพรรคการเมืองในประเทศไทย มาเลเซีย ฟิลิปปินส์ และเวียดนาม โดยแคมเปญนี้มีทูลจารกรรมไซเบอร์ที่มีความสามารถหลากหลายจำนวนมาก และยังปฏิบัติการอยู่
ไซค์เด็ค (Cycldekกลุ่ม APT อีกกลุ่มที่มีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้คือ Cycldek ที่ใช้ภาษาจีนในการสื่อสาร แม้ว่าเป้าหมายหลักของกลุ่มนี้คือเครือข่ายรัฐบาลของเวียดนาม และลาว แต่ก็พบว่ามีสัดส่วนเป้าหมายในประเทศไทย 3% และพบเหยื่อแคมเปญร้ายหนึ่งรายในฟิลิปปินส์ช่วงปี 2018 ถึง 2019
โดยกลุ่ม Cycldeck นั้นรู้จักกันในอีกชื่อว่า Goblin Panda และมีชื่อเสียงทางร้ายในการจารกรรมข้อมูลหน่วยงานรัฐบาล หน่วยงานการทหาร องค์กรพลังงานโดยใช้ PlugX และมัลแวร์ HttpTunnel
เซโบรซี (Zebrocyกลุ่ม Zebrocy เป็นกลุ่ม APT ที่ใช้ภาษารัสเซียซึ่งใช้ทรัพยากรร่วมกับกลุ่ม Sofacy และยังมีความสนใจและเป้าหมายร่วมกัน กลุ่ม Zebrocy ยังใช้โค้ดมัลแวร์ร่วมกับกลุ่ม BlackEnergy/Sandworm และมีเป้าหมาย และใช้โครงสร้างพื้นฐานร่วมกับ BlackEnergy/GreyEnergy อีกด้วย
ซึ่งโปรแกรมแบ็กดอร์ Nimcy ของกลุ่มนี้พัฒนาขึ้นจากภาษาโปรแกรมมิ่ง Nimrod/Nim มีเป้าหมายโจมตีหน่วยงานของประเทศไทย และมาเลเซีย โดย Nimcyเป็นคอลเล็คชั่นภาษาใหม่ของกลุ่ม Zebrocy เพื่อใช้พัฒนาฟังชั่นหลักให้แบ็กดอร์ใหม่ ๆ

Kaspersky

แอบแฝงแทรกซึมเพื่อปฏิบัติการจารกรรมไซเบอร์

โย เซียง เทียง ผู้จัดการทั่วไป แคสเปอร์สกี้ ภูมิภาคเอเชียตะวันออกเฉียงใต้ กล่าวว่า การค้นพบของแคสเปอร์สกี้เรื่องการเปลี่ยนแปลงของภัยคุกคามในภูมิภาคนี้ แสดงให้เห็นความจำเป็นในการเร่งพัฒนาศักยภาพการป้องกันทางไซเบอร์ขององค์กรทั้งภาครัฐ และเอกชนอย่างมาก กลุ่ม APT เหล่านี้

มีวิธีการโจมตีแอบแฝงแทรกซึมเพื่อปฏิบัติการจารกรรมไซเบอร์ในภูมิภาค มาตรการความปลอดภัยจึงจะต้องก้าวล้ำกว่าแค่แอนตี้ไวรัส และไฟร์วอลล์ทั่วไป โดยแคสเปอร์สกี้เชื่อมั่นในโครงสร้างความปลอดภัยไซเบอร์ที่ก่อร่างสร้างขึ้นจากคลังข้อมูลภัยคุกคามเชิงลึก และทันท่วงที

อย่างไรก็ดีการรวมแมชลีนเลิร์นนิ่งเข้ากับความรู้ของมนุษย์ผ่านนักวิจัยทีม GReAT ของแคสเปอร์สกี้ ทำให้เราสามารถติดตามดูการทำงานของกลุ่ม APT ได้มากกว่า 100 กลุ่มทั่วโลกไม่ว่าจะมีต้นกำเนิดจากที่ใดก็ตาม รายงานทางเทคนิคของแคสเปอร์สกี้ทำให้บริษัทธุรกิจต่าง ๆ รัฐบาล และองค์กรไม่หวังผลกำไรได้เห็นการเปลี่ยนแปลงและทิศทางของภัยคุกคาม

ซึ่งในท้ายที่สุดก็จะเป็นแนวทางปรับปรุงการป้องกันของหน่วยงานนั้น ๆ ได้ เรายังแบ่งปันข้อมูลภายในวงการ ยกตัวอย่างเช่นการสานสัมพันธ์กับ INTERPOL เพราะเราเชื่อว่าความร่วมมือกันเป็นหนทางที่ดีที่สุดเพื่อก้าวล้ำนำหน้ากลุ่มจารกรรมไซเบอร์

Kaspersky

มาตรการเพื่อหลีกเลี่ยงการตกเป็นเหยื่อโจมตี
  • ทีมดูแลความปลอดภัยขององค์กร หรือ SOC (Security Operations Center) จะต้องเข้าถึงฐานข้อมูลภัยคุกคามอัจฉริยะล่าสุด Threat Intelligence เพื่ออัพเดทข้อมูลทูล เทคนิค และกลยุทธ์ใหม่ๆ ที่ผู้ก่อภัยคุกคาม และอาชญากรไซเบอร์ใช้งาน
  • การตรวจจับระดับเอ็นด์พอยต์ การตรวจสอบ การฟื้นฟูให้ทันท่วงที แนะนำให้ใช้โซลูชั่นสำหรับการตรวจจับและตอบสนองโดยเฉพาะ เช่น Endpoint Detection and Response
  • การเพิ่มการป้องกันที่จำเป็นสำหรับเครื่องเอ็นด์พอยต์ แนะนำติดตั้งโซลูชั่นระดับองค์กรที่สามารถตรวจจับภัยคุกคามขั้นสูงในเน็ตเวิร์กได้ตั้งแต่เพิ่มเริ่ม เช่น Anti Targeted Attack Platform
ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว)
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.pexels.com

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน