สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้แจ้งเตือนผู้ดูแลระบบเครือข่ายเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวอิหร่านที่เชื่อมโยงกับกระทรวงข่าวกรอง และความมั่นคง (MOIS) โดยระบุว่า กลุ่มนี้กำลังใช้แอปพลิเคชัน Telegram เป็นช่องทางในการโจมตีด้วยมัลแวร์
ในประกาศเตือนเร่งด่วนที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา FBI เปิดเผยว่า Telegram กำลังถูกนำมาใช้เป็นโครงสร้างพื้นฐานสำหรับการสั่งการ และควบคุม (C2) ของมัลแวร์ โดยมีเป้าหมายโจมตีนักข่าวที่วิพากษ์วิจารณ์รัฐบาลอิหร่าน กลุ่มผู้เห็นต่างชาวอิหร่าน ตลอดจนกลุ่มต่อต้านอื่น ๆ ทั่วโลก
นอกจากนี้ หน่วยงานยังระบุว่า การโจมตีดังกล่าวมีความเชื่อมโยงกับกลุ่ม hacktivist ชื่อ Handala ซึ่งเกี่ยวข้องกับอิหร่าน และมีจุดยืนสนับสนุนปาเลสไตน์ (หรือที่รู้จักในชื่อ Handala Hack Team, Hatef และ Hamsa) รวมถึงกลุ่ม Homeland Justice ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน และมีความเกี่ยวข้องกับกองกำลังพิทักษ์การปฏิวัติอิสลามของอิหร่าน (IRGC)
ในการโจมตีดังกล่าว แฮ็กเกอร์ชาวอิหร่านอาศัยเทคนิค social engineering หลอกล่อเหยื่อให้ติดตั้งมัลแวร์บนระบบปฏิบัติการ Windows ซึ่งทำให้ผู้โจมตีสามารถดึงข้อมูลสำคัญ เช่น ภาพหน้าจอ หรือไฟล์ต่าง ๆ ออกจากเครื่องที่ถูกเจาะได้
หน่วยงานระบุว่า “ท่ามกลางสถานการณ์ทางภูมิรัฐศาสตร์ในตะวันออกกลางที่ตึงเครียดขึ้น และความขัดแย้งที่ยังดำเนินอยู่ในขณะนี้ FBI จึงให้ความสำคัญ และจับตากิจกรรมทางไซเบอร์ของ MOIS เป็นพิเศษ”
“มัลแวร์ดังกล่าวถูกใช้เพื่อรวบรวมข่าวกรอง ก่อให้เกิดการรั่วไหลของข้อมูล และส่งผลกระทบต่อชื่อเสียงของเป้าหมายที่ถูกโจมตี FBI จึงเปิดเผยข้อมูลนี้เพื่อยกระดับการรับรู้เกี่ยวกับภัยคุกคามทางไซเบอร์จากอิหร่าน พร้อมทั้งแนะนำแนวทางในการลดความเสี่ยงจากการถูกบุกรุกระบบ”
คำเตือนดังกล่าวถูกเผยแพร่ขึ้นเพียงหนึ่งวัน หลังจากที่ FBI ได้ยึดครองโดเมน 4 รายการ ได้แก่ handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org และ karmabelow80[.]org
เว็บไซต์ภายใต้โดเมนที่ถูกยึดเหล่านี้ ถูกใช้โดยกลุ่มแฮ็กเกอร์ เช่น Handala, Homeland Justice และผู้โจมตีชื่อ Karma Below เพื่อสนับสนุนการโจมตีทางไซเบอร์ โดยเฉพาะอย่างยิ่งการเผยแพร่เอกสาร และข้อมูลสำคัญที่ถูกขโมยมาจากการปฏิบัติการดังกล่าว ซึ่งมีเป้าหมายอยู่ในสหรัฐอเมริกา และทั่วโลก
การเคลื่อนไหวนี้เกิดขึ้นหลังจากการโจมตีทางไซเบอร์ของกลุ่ม Handala ต่อ Stryker บริษัทอุปกรณ์ทางการแพทย์รายใหญ่ของสหรัฐฯ โดยผู้โจมตีสามารถรีเซ็ตอุปกรณ์ประมาณ 80,000 เครื่อง (รวมถึงคอมพิวเตอร์ส่วนบุคคลของพนักงาน และอุปกรณ์มือถือภายใต้การดูแลของบริษัท) กลับสู่ค่าโรงงานได้สำเร็จ ผ่านคำสั่งล้างข้อมูลของ Microsoft Intune หลังจากที่พวกเขาเจาะระบบบัญชีผู้ดูแลโดเมน Windows และสร้างบัญชี Global Administrator ขึ้นมาใหม่ได้
เมื่อสัปดาห์ที่ผ่านมา FBI ได้ออกคำเตือนเพิ่มเติมเกี่ยวกับกลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับหน่วยข่าวกรองของรัสเซีย โดยระบุว่า กลุ่มนี้กำลังมุ่งเป้าโจมตีผู้ใช้งาน Signal และ WhatsApp ผ่านแคมเปญฟิชชิ่ง ซึ่งส่งผลให้บัญชีผู้ใช้งานหลายพันบัญชีถูกเจาะแล้ว
FBI ได้ระบุในประกาศว่า "กิจกรรมดังกล่าวมุ่งเป้าไปที่บุคคลที่มีคุณค่าด้านข่าวกรองสูง เช่น เจ้าหน้าที่รัฐบาลสหรัฐฯ ทั้งในปัจจุบัน และอดีต บุคลากรทางทหาร บุคคลทางการเมือง และผู้สื่อข่าว" คำเตือนนี้มีขึ้นหลังจากที่หน่วยงานความมั่นคงไซเบอร์ของเนเธอร์แลนด์ และฝรั่งเศสได้ออกมาเปิดเผยถึงปฏิบัติการยึดบัญชีในลักษณะเดียวกัน
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.