Check Point เผยรายงานแฮกเกอร์จีนใช้ Exploit ที่หลุดมาจากทีมของ NSA ก่อนจะมีการรั่วไหลจริง

 

Eyal Itkin และ Itay Cohen สองนักวิจัยจาก Check Point เผยแพร่งานวิจัยที่เกี่ยวข้องกับการติดตามการใช้ช่องโหว่ในการโจมตีโดยกลุ่ม APT ซึ่งนำเสนอหลักฐานใหม่ที่พิสูจน์ให้เห็นว่ากลุ่ม APT สัญชาติจีน APT31 มีการใช้โค้ดสำหรับโจมตีช่องโหว่ชุดเดียวกับที่รั่วไหลมาจากกลุ่ม Tailored Access Operation (TAO) ซึ่งเป็นแผนกหนึ่งของสำนักงานมั่นคงแห่งชาติ (National Security Agency - NSA) หรือที่รู้จักกันในอีกโฉมหน้าหนึ่งคือกลุ่ม APT "Equation Group"

 

หากย้อนกลับไปในปี 2016-2017 กลุ่มแฮกเกอร์ Shadow Brokers ซึ่งทุกวันนี้ยังไม่สามารถระบุตัวตนได้ได้มีการเปิดประมูลเครื่องมือและโค้ดสำหรับโจมตีช่องโหว่ของ Equation Group และต่อมามีการปล่อยให้ดาวน์โหลดภายใต้ชื่อแคมเปญ Lost in Translation จนเป็นที่มาของมัลแวร์ WannaCry ที่มีการใช้หนึ่งในช่องโหว่ที่รั่วไหลออกมาอย่าง EternalBlue ในการโจมตี

 

สองนักวิจัยจาก Check Point ได้ทำการวิเคราะห์ช่องโหว่ CVE-2019-0803 ซึ่งถูกระบุโดย NSA ว่าเป็นหนึ่งในช่องโหว่ที่มักถูกใช้มากที่สุดโดยกลุ่มแฮกเกอร์ หลังการวิเคราะห์ช่องโหว่ CVE-2019-0803 ทีม Check Point ได้ทำการวิเคราะห์ช่องโหว่ตัวถัดไปที่น่าสนใจคือ CVE-2017-0005

 

ช่องโหว่ CVE-2017-005 เป็นช่องโหว่ยกระดับสิทธิ์ (Privilege escalation) ใน Windows ช่องโหว่นี้ถูกใช้โดยกลุ่มแฮกเกอร์ APT31 หรือที่รู้จักกันในชื่อ Zirconium ประวัติของช่องโหว่นี้มีมาอย่างยาวนาน มันถูกแจ้งไปยังไมโครซอฟต์ครั้งแรกโดยทีม IR ของ Lockheed Martin ในปี 2017 หลังจากถูกใช้มาแล้วตั้งแต่ปี 2013 การวิเคราะห์ช่องโหว่ของทีม Check Point บ่งบอกถึงความเหมือนกันของโค้ดที่แฮกเกอร์จีนใช้ และโค้ดที่หลุดออกมาจากฝั่ง NSA จากสหรัฐฯ อย่างชัดเจน

 

เมื่อช่องโหว่ในระดับเดียวกัน Cyberweapon มีการถูกใช้งานก่อนจะมีการรั่วไหลออกมา แน่นอนว่าสมมติฐานหลายอย่างก็เกิดขึ้นต่อความเป็นไปได้ในเหตุการณ์นี้ ทีม Check Point ได้สรุปสมมติฐานและความเป็นไปได้ของเหตุการณ์ที่เกิดขึ้นออกมาได้ 3 ลักษณะ คือ

 

1. ฝั่งอเมริกาอาจทำการโจมตีต่อเป้าหมายในจีน และทำโค้ดสำหรับโจมตีช่องโหว่หลุด

2. ฝั่งอเมริกาอาจทำการโจมตีเป้าหมายในประเทศหรือองค์กรอื่นซึ่งถูกเฝ้าระวังหรือมอนิเตอร์โดยกลุ่มจากฝั่งจีน ทำให้จีนสามารถเก็บโค้ดการโจมตีไปได้

3. โค้ดสำหรับโจมตีหลุดมาจาก Infrastructure ของฝั่งอเมริกาเอง ซึ่งอาจเกิดขึ้นจากฝ่ายจีนโจมตีเข้าไป หรือฝั่งอเมริกาดูแลโค้ดไม่ดี

 

เหตุการณ์ในลักษณะนี้ไม่ใช่เหตุการณ์แรกที่เคยเกิดขึ้น ในอดีต Symantec เคยตรวจพบการใช้ช่องโหว่ Zero day เดียวกับ Equation Group มาแล้วโดยกลุ่ม APT3 โดยข้อสรุปสำหรับเหตุการณ์ในขณะนั้นซึ่งมีโอกาสเป็นไปได้มากที่สุดคือการที่กลุ่ม APT3 ทำการศึกษา Network traffic ที่เกิดจากการโจมตี ก่อนจะประกอบร่างกลับมาเป็นโค้ดสำหรับโจมตี

 

งานวิจัยหลัก: checkpoint

 

ที่มา: theregister, threatpost, zdnet