Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย
ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack
การโจมตีเหล่านี้ได้มุ่งเป้าหมายไปยังผู้ให้บริการที่มีชื่อเสียง เช่น Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos และอื่น ๆ อีกมากมาย
Sophos ระบุว่า กลุ่ม Hacker ชาวจีนหลายรายที่รู้จักกันในชื่อ Volt Typhoon, APT31 และ APT41/Winnti ซึ่งกลุ่ม Hacker เหล่านี้เคยโจมตีอุปกรณ์เครือข่ายจำนวนมากมาแล้วในอดีต
Sophos ได้อธิบายในรายงานว่า "เป็นเวลากว่า 5 ปีแล้วที่ Sophos ได้ทำการสืบสวนกลุ่ม Hacker ต่าง ๆ มากมายในประเทศจีนที่โจมตี Firewall ของ Sophos ด้วย Botnet รวมถึงช่องโหว่ใหม่ ๆ และมัลแวร์แบบเฉพาะทาง"
Sophos ระบุว่า พวกเขาได้เริ่มติดตาม และป้องกันกลุ่ม Hacker มาตั้งแต่ปี 2018 ในเหตุการณ์การโจมตีสำนักงานใหญ่ของ Cyberoam ซึ่งเป็นบริษัทในเครือ Sophos ที่ตั้งอยู่ในอินเดีย ซึ่งนักวิจัยเชื่อว่าเป็นช่วงเวลาที่กลุ่ม Hacker อยู่ในช่วงเริ่มต้นค้นคว้าเกี่ยวกับการโจมตีอุปกรณ์เครือข่าย
หลังจากนั้นกลุ่ม Hacker ก็ได้ใช้ช่องโหว่แบบ zero-day และช่องโหว่ที่ถูกเปิดเผยในการโจมตีอุปกรณ์เครือข่าย
Sophos เชื่อว่าช่องโหว่ zero-day จำนวนมากที่ใช้โจมตี ได้รับการพัฒนาโดยนักวิจัยชาวจีน ซึ่งไม่เพียงแต่แบ่งปันช่องโหว่เหล่านี้ไปยังผู้ให้บริการเท่านั้น แต่ยังรวมถึงรัฐบาลจีน และกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลด้วย
ในช่วงหลายปีที่ผ่านมา กลุ่ม Hacker ชาวจีนได้พัฒนากลยุทธ์ของตนเพื่อใช้ memory-only malware รวมถึงเทคนิคการแฝงตัว (persistence) และการใช้อุปกรณ์เครือข่ายที่ถูกโจมตีเป็น operational relay box (ORBs) proxy networks เพื่อหลีกเลี่ยงการตรวจจับ
หากต้องการอ่านรายงานเพิ่มเติมสามารถอ่านได้จาก https://www.sophos.com/en-us/content/pacific-rim#sophosxops
ที่มา : bleepingcomputer
You must be logged in to post a comment.