LOOSE NEXUS กลุ่มไซเบอร์ในประเทศจีน หรือที่รู้จักกันในชื่อ APT41 มุ่งเป้าไปที่การโจมตีไปโรงงานไฟฟ้าในเอเชีย

LOOSE NEXUS กลุ่มไซเบอร์ในประเทศจีน หรือที่รู้จักกันในชื่อ APT41 ที่มีการโจมตีในการแพร่กระจายมัลแวร์หรือมุ่งเน้นการโจมตีไปในเรื่องของการเงิน โดยปัจจุบันการโจมตีของกลุ่มนี้มีแนวโน้มที่จะมุ่งเป้าไปที่ โรงงานไฟฟ้า

ทีม Threat Hunter ของ Symantec เปิดเผยว่ากลุ่มแฮ็กเกอร์ชาวจีนที่เชื่อมต่อกับ APT41 ซึ่ง Symantec เรียกกลุ่มนี้ว่า RedFly ได้ทำการโจมตีเครือข่ายคอมพิวเตอร์ของระบบส่งไฟฟ้าระดับชาติในแถบประเทศในเอเชีย ซึ่งยังไม่สามารถระบุชื่อประเทศที่เป็นเป้าหมายเกิดขึ้นในเดือนกุมภาพันธ์ของปีนี้และต่อเนื่องมาเป็นระยะเวลา 6 เดือนได้ โดยนักวิจัยจาก Mandiant ชี้ให้เห็นเบาะแสว่าเหตุการณ์ในครั้งนี้ แฮกเกอร์อาจเป็นกลุ่มเดียวกับที่เคยก่อเหตุก่อนหน้านี้โดยมุ่งเป้าไปที่ระบบสาธารณูปโภคด้านไฟฟ้าในอินเดีย การค้นพบของ Symantec เกิดขึ้นหลังจากคำเตือนจากหน่วยงาน Microsoft และหน่วยงานของสหรัฐอเมริกา รวมถึงหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และหน่วยงานความมั่นคงแห่งชาติ (NSA) ว่ากลุ่มแฮ็กเกอร์กลุ่มอื่นที่ได้รับการสนับสนุนจากรัฐจีน ซึ่งรู้จักกันในชื่อ Volt Typhoon ได้เจาะระบบสาธารณูปโภคด้านไฟฟ้าของสหรัฐฯ รวมถึง Guam ของสหรัฐอเมริกา ซึ่งอาจเป็นการเตรียมการสำหรับการโจมตีทางไซเบอร์ในกรณีที่เกิดข้อขัดแย้ง เช่น การเผชิญหน้าทางทหารในไต้หวัน

หลักฐานบางอย่างบ่งชี้ว่าการโจมตีที่เน้นไปที่อินเดียในปี 2021 และการโจมตี โรงงานไฟฟ้าใหม่ที่ค้นพบโดย Symantec นั้นดำเนินการโดยแฮ็กเกอร์กลุ่มเดียวกันซึ่งมีลิงก์ไปยังกลุ่มสายลับที่รัฐจีนสนับสนุนซึ่งรู้จักกันในชื่อ APT41 ซึ่งบางครั้งเรียกว่า Wicked Panda หรือ Barium, Symantec ตั้งข้อสังเกตว่าแฮกเกอร์ใช้มัลแวร์ตัวหนึ่งที่เรียกว่า ShadowPad ซึ่งถูกใช้งานโดยกลุ่มย่อย APT41 ในปี 2017 เพื่อติดตั้งคีย์ล็อกเกอร์ ซึ่งจะซ่อนอยู่ในระบบที่ติดไวรัสภายใต้ชื่อไฟล์ต่างๆ เช่น winlogon.

แฮ็กเกอร์ชาวจีนถูกคาดว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ครั้งที่สองของแอร์อินเดีย

แม้ว่าข่าวข้อมูลรั่วไหลของสายการบินอินเดียจะเป็นที่สนใจเป็นอย่างมากในเดือนที่ผ่านมา แต่สายการบินแห่งขาติอินเดียนี้ยังถูกพบว่ามีการถูกโจมตีทางไซเบอร์อีกเหตุการณ์หนึ่ง เป็นระยะเวลาประมาณถึง 2 เดือนกับอีก 26 วัน โดยผู้เชี่ยวชาญมีความเชื่อมั่นพอสมควรว่าจากข้อมูลหลักฐานที่พบคาดว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้คือกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งถูกเรียกว่า APT41

Group-IB(บริษัทซึ่งเชี่ยวชาญทางด้าน Threat Hunting และ Cyber Intelligence ซึ่งมีสำนักงานใหญ่อยู่ที่ประเทศสิงคโปร์) เรียกแคมเปญที่ใช้ในการโจมตี Air India ในครั้งนี้ว่า "Colunm TK" โดยตั้งชื่อจากโดเมนของ command-and-control (C2) server ที่ถูกใช้สำหรับควบคุมเครื่องที่ถูก compromised

โดย Group-IB กล่าวอีกว่าจากข้อมูลที่ทาง Group-IB ตรวจพบ เหตุการณ์นี้อาจส่งผลกระทบกับทุกบริษัทสายการบิน หากสายการบินยังไม่รีบทำการตรวจสอบแคมเปญ "Colunm TK" นี้ในระบบเครือข่ายของตน

Group-IB อ้างว่าการโจมตีที่เกิดขึ้นนี้คือการโจมตีในรูปแบบ Supply-chain attack (การโจมตีไปที่บริษัท หรือ Software ที่บริษัทที่เป็นเป้าหมายจริงๆใช้บริการ หรือใช้งานอยู่ เหตุการณ์ที่เกิดขึ้นก่อนหน้านี้ที่เป็นที่รู้จักกันคือเคสการโจมตี SolarWinds เพื่อหวังผลในการโจมตีไปยังบริษัทอื่นๆที่มีการใช้งาน SolarWinds) โดยเป้าหมายคือ SITA (บริษัทจากประเทศสวิตเซอร์แลนด์ผู้ให้บริการทางด้าน IT กับสายการบินต่างๆทั่วโลก) แต่ทาง SITA ยืนยันกับทาง The Hacker News เมื่อวันที่ 11 มิถุนายนว่าเหตุการณ์ที่บริษัทถูกโจมตีที่ระบบ SITA PSS ก่อนหน้านี้ และเหตุการณ์การโจมตี Air India ที่ Group-IB อ้างถึงไม่มีความเกี่ยวข้องกัน

กลุ่มแฮ็กเกอร์ชาวจีน APT41 นี้ ยังถูกเรียกด้วยชื่ออื่นๆเช่น Winnti Umbrella, Axiom และ Barium โดยมีส่วนเกี่ยวข้องกับการโจมตี และขโมยข้อมูลของบริษัทที่เกี่ยวข้องกับสุขภาพ, เทคโนโลยี, การสื่อสาร, เกมส์, ท่องเที่ยว และสำนักข่าวต่างๆอีกด้วย โดยมีเป้าหมายคือการหาผลประโยชน์ทางการเงิน

ย้อนหลังไปเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา Air India ออกมาเปิดเผยว่ามีข้อมูลรั่วไหลออกไปประมาณ 4.5 ล้านรายการ จากการถูกโจมตีของระบบ Passenger Service System (PSS) ของ SITA ในช่วงเดือนกุมภาพันธ์ โดยเป็นข้อมูลของลูกค้าสายการบินในระยะเวลาประมาณ 10 ปีที่ผ่านมา

ข้อมูลที่รั่วไหลออกไปประกอบไปด้วยข้อมูลส่วนบุคคลที่ลงทะเบียนตั้งแต่ 26 สิงหาคม 2011 ถึง 3 กุมภาพันธ์ 2021 รวมไปถึงชื่อ, วันเดือนปีเกิด, ข้อมูลการติดต่อ, ข้อมูล Passport, ข้อมูลการเดินทาง, ข้อมูลโปรแกรมสะสมไมล์ของ Star Alliance และ Air India รวมถึงข้อมูลบัตรเครดิตอีกด้วย

Mandiant ซึ่งเป็นบริษัทในเครือของ FireEye ซึ่งให้ความช่วยเหลือ SITA ในความพยายามจัดการกับการโจมตีที่เกิดขึ้น ได้ให้ข้อมูลว่าการโจมตีที่เกิดขึ้นกับ SITA มีความซับซ้อน และมีการใช้เทคนิคการโจมตีขั้นสูง โดยเป้าหมายจริงๆของผู้โจมตียังไม่แน่ชัด

การโจมตีครั้งใหม่กับสายการบินอินเดีย

ผลการวิเคราะห์ล่าสุดของ Group-IB ซึ่งเปิดเผยออกมาพบว่าอย่างน้อยตั้งแต่วันที่ 23 กุมภาพันธ์ เครื่องที่ถูกยึดครองโดยผู้ไม่หวังดีภายในระบบเครือข่ายของ Air India (ชื่อเครื่อง SITASERVER4) มีการติดต่อออกไปยังเซิร์ฟเวอร์ปลายทางที่มีการติดตั้ง Cobalt Strike payloads ไว้ตั้งแต่ 11 ธันวาคม 2020

หลังจากเครื่องนี้ถูกยึดเป็นเครื่องแรก ก็พบว่ามีการพยายามคงสถานะการยึดเครื่องไว้(Persistence) และใช้เครื่องมือเพื่อค้นหา Password สำหรับโจมตีไปยังเครื่องอื่นๆภายในระบบเครือข่าย โดยมีเป้าหมายเพื่อหาข้อมูลที่อยู่บนเครื่องต่างๆ

ผู้เชี่ยวชาญของ Group-IB Nikita Rostovcev กล่าวว่า โดยผู้โจมตีมีการใช้ mimikatz ในการค้นหา NTLM hashes และ passwords จากเครื่อง จึงทำให้มีเครื่องต่างๆที่ถูกยึดครองอีกไม่ต่ำกว่า 20 เครื่อง รวมไปถึงผู้โจมตียังพยายามยกระดับสิทธิ์ของ User โดยใช้ BadPotato malware อีกด้วย

สรุปว่าผู้โจมตีสามารถนำข้อมูลออกไปได้ประมาณ 233 MB จากทั้งหมด 5 เครื่องคือ SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 และ WEBSERVER3 โดยใช้เวลา 24 ชั่วโมง 5 นาทีในการกระจาย Cobalt Strike beacons ไปยังเครื่องต่างๆภายในระบบเครือข่ายของสายการบิน แต่จุดเริ่มต้นในตอนนี้ยังไม่แน่ชัด

โดยการเชื่อมต่อไปยัง C2 servers ของการโจมตีครั้งนี้ มีบางส่วนที่ตรงกับ C2 server ของ Barium (อีกชื่อหนึ่งของ APT41) ซึ่งเคยถูกตรวจพบในการโจมตีอื่นๆก่อนหน้านี้ และเทคนิคในการหยุดใช้ domains หลังจากการโจมตีเสร็จสิ้น ก็เป็นไปในลักษณะเดียวกัน รวมถึง File "install.