Kaspersky พบความเชื่อมโยงการโจมตี SolarWinds กับแบ็คดอร์ Kazuar

0
160
Kaspersky

แคสเปอร์สกี้ (Kaspersky) พบความเชื่อมโยงการโจมตีซัพพลายเชนด้วยมัลแวร์ที่ไม่เคยพบมาก่อนชื่อว่า SolarWinds กับแบ็คดอร์ Kazuar…

Kaspersky พบความเชื่อมโยงการโจมตี SolarWinds กับแบ็คดอร์ Kazuar

เมื่อวันที่ 13 ธันวาคมที่ผ่านมา ทาง FireEye, Microsoft และ SolarWinds แจ้งข่าวการค้นพบการโจมตีซัพพลายเชนด้วยมัลแวร์ที่ไม่เคยพบมาก่อนชื่อว่า Sunburstเป็นปฏิบัติการขนาดใหญ่และมีความซับซ้อนที่เข้าโจมตีลูกค้าของ SolarWindsOrion IT โดยผู้เชี่ยวชาญของแคสเปอร์สกี้ตรวจพบความคล้ายคลึงหลายจุด

ในโค้ดของ Sunburst กับแบ็คดอร์ที่รู้จักอยู่แล้วของ Kazuar ซึ่งเป็นมัลแวร์ที่ยึดเครื่อง และใช้งานจากระยะไกล การคันพบในจุดนี้ให้ข้อมูลเชิงลึกหลายประการที่เป็นประโยชน์แก่นักวิจัยในการสืบสวนเกี่ยวกับการโจมตีครั้งนี้ให้กระจ่างแจ้งต่อไป

Kaspersky

ทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบสิ่งหนึ่งขณะศึกษาแบ็คดอร์ Sunburst นั่นคือ ฟีเจอร์จำนวนหนึ่งที่ทับซ้อนคาบเกี่ยว (overlap) กับฟีเจอร์ในแบ็คดอร์ที่ถูกพบมาแล้วที่ชื่อ Kazuar ซึ่งใช้ .NET framework เขียนขึ้นมาก่อน ตามที่ Palo Alto ได้รายงานไว้เมื่อปี 2560

และใช้ในการก่อจารกรรมทั่วโลก ความคล้ายคลึงที่พบในโค้ดหลายจุดบ่งชี้ความเชื่อมโยงระหว่าง Kazuar และ Sunburst แม้ว่าจะยังไม่ชัดเจนในเรื่องการทำงานก็ตาม ฟีเจอร์ที่มีความเหมือนกันระหว่าง Sunburst และ Kazuar นี้รวมเหยื่อ UID generation algorithm ด้วย

ซึ่งเป็นอัลกอริธึ่ม ที่ไม่เคลื่อนไหว และการใช้ต่อยอดของ FNV1a hash ตามที่ผู้เชี่ยวชาญพบ ชิ้นส่วนของโค้ดเหล่านี้ไม่เหมือนกันทั้งหมด 100% บ่งชี้ว่ามีความเป็นไปได้ที่ Kazuar และ Sunburst มีความเกี่ยวข้องกัน แม้รายละเอียดจะยังไม่ชัดเจน

หลังจากที่มัลแวร์ Sunburst ถูกนำออกมาใช้งานครั้งแรกเมื่อเดือนกุมภาพันธ์ ปี 2563 นั้น Kazuar ก็วิวัฒนาการเปลี่ยนแปลงมาอย่างต่อเนื่อง และต่อมาในปีเดียวกันก็พบ variants หลายตัวที่มีความคล้ายคลึงกับหลายส่วนของ Sunburst มากยิ่งขึ้น

โดยรวม ระหว่างช่วงที่ Kazuar ดำเนินการแปลงกายอยู่นั้น ผู้เชี่ยวชาญก็ได้สังเกตุวิวัฒนาการหลายจุดในฟีเจอร์ และพบความคล้ายคลึงกับ Sunburst ในฟีเจอร์สำคัญ อาจเป็นเพราะ Sunburst ถูกพัฒนาขึ้นโดยกลุ่มเดียวกับกลุ่มที่พัฒนา Kazuar ผู้พัฒนา Sunburst ใช้ Kazuar เป็นแรงส่งไปจุดต่อไป การที่ผู้พัฒนาย้ายทีม หรือทั้งสองกลุ่มอาจใช้มัลแวร์จากแหล่งเดียวกันก็เป็นได้

Kaspersky

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า ความเกี่ยวข้องเชื่อมโยงที่ระบุพบมิได้ชี้ว่าใครเป็นผู้อยู่เบื้องหลังการโจมตี SolarWinds อย่างไรก็ตาม ก็ได้รับรู้ข้อมูลเชิงลึกเพิ่มมากขึ้นที่เป็นตัวสนับสนุนการทำงานสืบสวนของทีมนักวิจัย

เราเชื่อว่าเป็นเรื่องสำคัญที่นักวิจัยทั่วโลกร่วมกันสืบสวนความคล้ายคลึงเหล่านี้ และมุ่งมั่นที่จะสืบค้นเบื้องหลังเกี่ยวกับ Kazuar และที่มาของ Sunburst มัลแวร์ที่ใช้ในการละเมิดกรณี SolarWinds เมื่อพิจารณาจากประสบการณ์ในอดีต

เช่น กรณี WannaCry ในช่วงแรกจะมีข้อมูลน้อยมากที่เชื่อมโยงไปยังกลุ่มลาซารัส ต่อมา จึงปรากฎหลักฐานเพิ่มขึ้นจนทำให้ทีมงานของเรา และของอีกหลายหน่วยงานสามารถเชื่อมโยงทั้ง 2 ส่วน เข้าด้วยกันได้ความมั่นใจ และการทำวิจัยเจาะลึกในเรื่องนี้ถือว่ามีความสำคัญอย่างยิ่งต่อการจับต้นชนปลายเรื่องราวทั้งหมดเข้าด้วยกัน

ข้อมูลเพิ่มเติม

 คำแนะนำจากแคสเปอร์สกี้เพื่อเลี่ยงความเสี่ยงจากการติดเชื้อมัลแวร์ เช่น Sunburst

  • สนับสนุนทีม SOC ของคุณด้วยข้อมูลวิเคราะห์ล่าสุดเกี่ยวกับภัยไซเบอร์ พอร์ทัลของแคสเปอร์สกี้ Threat Intelligence Portal เปิดโอกาสให้บริษัทหน่วยงานองค์กรเข้ามาเรียกดูข้อมูล TI ได้ โดยจะมีข้อมูลการโจมตีไซเบอร์และข้อมูลวิเคราะห์ที่แคสเปอร์สกี้ได้รวบรวมไว้มากกว่า 20 ปี โดยไม่มีค่าใช้จ่าย และสามารถที่ตรวจสอบไฟล์, URLs และ IP addresses https://opentip.kaspersky.com/
  • หน่วยงานที่ต้องการดำเนินการสืบสวนกรณีต่าง ๆ ของตนเอง จะได้รับประโยชน์จาก Threat Attribution Engine เอ็นจินนี้จะทำการจับคู่เทียบโค้ดไม่พึงประสงค์ที่พบกับฐานข้อมูลมัลแวร์ เทียบหาความเหมือนในโค้ด ว่าเคยพบหรือโยงไปยังเคสเปญ APT ที่เคยพบมาก่อน
ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.freepik.com

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.