กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อนำมาใช้ในการเก็บข้อมูลที่ขโมยมา เก็บมัลแวร์ หรือไฟล์ที่เป็นอันตรายเพื่อใช้ในการโจมตีเหยื่อ และยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ เนื่องจาก Google Drive เป็นบริการพื้นที่เก็บข้อมูลที่ได้รับความไว้วางใจจากผู้ใช้งานนับล้านทั่วโลก จึงทำให้การโจมตีโดยเชื่อมโยงกับไฟล์ที่อยู่บน Google Drive อาจไม่ถูกตรวจจับ หรือป้องกัน
กลุ่ม APT29 หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Nobelium ได้ใช้กลยุทธ์ดังกล่าวในการโจมตีเมื่อเร็วๆนี้ โดยมุ่งเป้าไปที่ภารกิจทางการทูตของตะวันตก และสถานทูตต่างประเทศทั่วโลกระหว่างต้นเดือนพฤษภาคมถึงมิถุนายน 2565
นักวิเคราะห์จาก Unit 42 ผู้พบเห็นแนวโน้มการโจมตีในรูปแบบนี้ระบุว่า “สองแคมเปญล่าสุดของพวกเขาใช้ประโยชน์จากบริการจัดเก็บข้อมูลระบบคลาวด์ของ Google Drive เป็นครั้งแรก”
"การใช้งานที่แพร่หลายของบริการพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Drive บวกกับความไว้วางใจจากผู้ใช้งานหลายล้านคนทั่วโลก ทำให้ Google Drive ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์จากกลุ่ม APT"
ขณะที่ Mandiant ได้เปิดเผยในรายงานเดือนเมษายนที่มีการติดตามหนึ่งในแคมเปญฟิชชิ่งของกลุ่ม APT ว่า นี่ไม่ใช่ครั้งแรกที่กลุ่มแฮ็กเกอร์ APT29 ใช้บริการเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2) และการจัดเก็บข้อมูลต่างๆ
เช่นเดียวกับในแคมเปญที่พบโดย Unit 42 ทีมของ Mandiant ยังพบการโจมตีด้วยฟิชชิ่งของกลุ่มแฮ็กเกอร์กับพนักงานขององค์กรทางการทูตต่างๆ ทั่วโลก ซึ่งสอดคล้องกับผลประโยชน์เชิงกลยุทธ์ทางภูมิรัฐศาสตร์ของรัสเซียในปัจจุบัน และการกำหนดเป้าหมายของ APT29 ก่อนหน้านี้
เป้าหมายระดับสูงของ APT29
APT29 คือกลุ่มผู้โจมตีที่คาดว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ที่ดำเนินการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds ซึ่งนำไปสู่การเข้าถึงข้อมูลของหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่งในปี 2563
เมื่อปลายเดือนกรกฎาคม กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่าสำนักงานอัยการสหรัฐฯ 27 แห่งถูกละเมิดข้อมูลในระหว่างการถูกโจมตีของ SolarWinds
ในเดือนเมษายน พ.ศ. 2564 รัฐบาลสหรัฐฯ กล่าวโทษ SVR อย่างเป็นทางการว่ามีส่วนเกี่ยวข้องกับการเข้าถึงข้อมูลของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง
หลังจากการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds กลุ่ม APT29 ยังได้ทำการโจมตีเครือข่ายขององค์กรอื่นๆ โดยใช้มัลแวร์ที่ยังไม่เคยถูกตรวจพบมาก่อน เช่น GoldMax Linux backdoor และ TrailBlazer Malware
โดยกลุ่มยังมีการกำหนดเป้าหมายไปที่กลุ่มบริษัท I.T. supply chain จากรายงานที่ Microsoft เปิดเผยเมื่อเดือนตุลาคมว่ามีบริษัทที่โดนโจมตีสำเร็จอย่างน้อย 14 ราย หลังจากการพยายามโจมตีผู้ให้บริการในลักษณะ MSP และผู้ให้บริการระบบคลาวด์ประมาณ 140 รายตั้งแต่เดือนพฤษภาคม 2564
You must be logged in to post a comment.