NSA Releases Advisory on Chinese State-Sponsored Actors Exploiting Publicly Known Vulnerabilities

เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

องค์กรข่าวกรอง NSA แนะนำการป้องกันการถูกฝังมัลแวร์ระดับเฟิร์มแวร์ด้วย Secure Boot

สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) ออกคู่มือใหม่ในการตั้งค่า UEFI Secure Boot เพื่อป้องกันการถูกโจมตีในระดับเฟิร์มแวร์ เช่น การฝังมัลแวร์ในส่วนเฟิร์มแวร์ก่อนที่ OS จะเริ่มทำงาน รวมไปถึงการโจมตีด้วยช่องโหว่ BootHole (CVE-2020-10713)

การโจมตีในระดับเฟิร์มแวร์ไม่ใช่เรื่องที่ไกลเกินจริง ด้วยลักษณะของเฟิร์มแวร์ที่จะต้องถูกเปิดทำงานก่อนระบบปฏิบัติการ และความยากที่ซอฟต์แวร์ Antivirus และ EDR บางประเภทจะตรวจสอบพบ มัลแวร์ในกลุ่ม Bootkit จึงกำลังได้รับความนิยมมากขึ้นในปฏิบัติการจริง ในปัจจุบันมีการตรวจพบมัลแวร์กลุ่ม Bootkit ชื่อ Lojax ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์รัสเซีย Fancy Bear หรือ APT28 แล้ว

ในภาพรวม NSA แนะนำให้คอมพิวเตอร์ที่ต้องการความปลอดภัยต่อมัลแวร์ประเภทนี้จริงๆ ให้

หยุดใช้ BIOS หรือ UEFI-CSM ซึ่งเป็นรุ่นเก่า และเปลี่ยนไปใช้ UEFI native แทน
เปิด Secureboot เสมอและตั้งค่าให้บันทึกการเปลี่ยนแปลงระดับเฟิร์มแวร์
อัปเดตเฟิร์มแวร์ให้บ่อยเท่ากับที่อัปเดตระบบ
เปิดใช้ TPM เพื่อช่วยเช็คและยืนยันความถูกต้องของเฟิร์มแวร์และการตั้งค่า Secure Boot

หากใน Threat model ใครมีโอกาสจะเจอภัยคุกคามในลักษณะนี้ เช่น เป็นสายลับให้กับรัฐบาล หรือเป็นเป้าหมายของการโจมตีของแฮกเกอร์จากประเทศอื่น แนะนำให้อ่านคู่มือฉบับเต็มได้ที่ https://media.

FBI และ NSA ร่วมออกรายงานแจ้งเตือนมัลแวร์ตัวใหม่ใน Linux “Drovorub” คาดถูกใช้โดยแฮกเกอร์ที่รัฐบาลรัสเซียหนุนหลัง

เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

NSA warns of new Sandworm attacks on email servers

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

NSA ออกคู่มือการเลือกใช้แอพพลิเคชั่นและเครื่องมือการประชุมและการทำงานร่วมกันอย่างปลอดภัย

สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) ได้ทำการเผยแพร่คำเเนะนำเกี่ยวกับการเลือกใช้บริการการประเมินความปลอดภัยของการประชุมทางวิดีโอที่ได้รับความนิยมมากที่สุดในปัจจุบัน เพื่อให้บริษัทหรือองค์กรต่างๆ มีความปลอดภัยจากการใช้งานจากการประชุมทางวิดีโอ

โดยเกณฑ์การประเมินความปลอดภัยนั้นจะต้องตอบคำถามพื้นฐานดังตัวอย่างต่อไปนี้เช่น

แอพพลิเคชั่นที่ให้บริการใช้การเข้ารหัสแบบ End-to-end (E2E) หรือไม่
การเข้ารหัส E2E ใช้มาตรฐานการเข้ารหัสที่แข็งแกร่งเป็นที่รู้จักและทดสอบได้หรือไม่
มีการรองรับ Multi-Factor Authentication (MFA) หรือไม่
ผู้ใช้สามารถดูและควบคุมผู้ที่เชื่อมต่อกับเซสชันร่วมกันได้หรือไม่
ผู้จำหน่ายเครื่องมือแชร์ข้อมูลกับบุคคลที่สามหรือบริษัทในเครือหรือไม่
ผู้ใช้สามารถลบข้อมูลความปลอดภัยจากบริการหรือที่เก็บข้อมูลจากผู้ให้บริการตามที่ต้องการได้หรือไม่
เครื่องมือหรือบริการเป็นสาธารณะหรือโอเพนซอร์ส หรือไม่
เครื่องมือหรือบริการผ่านการรับรองและได้รับการอนุมัติสำหรับการใช้งานอย่างเป็นทางการจากรัฐบาลสหรัฐฯ หรือไม่
ทั้งนี้ผู้ที่สนใจสามารถอ่านเอกสารหรือเกณฑ์การประเมินความปลอดภัยเพิ่มเติมได้ที่นี่ [PDF]

ที่มา:

zdnet.

NSA ได้เผยแพร่คำแนะนำและแจ้งเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์จาก Web Shells รวมไปถึงช่องโหว่ที่มักถูกใช้โจมตี

 

สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ Australian Signals Directorate (ASD) ได้ทำการเผยแพร่คำแนะนำด้านความปลอดภัยในสัปดาห์ที่ผ่านมาเพื่อเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานและเซิร์ฟเวอร์สำหรับภายในเพื่อทำการค้นหา Web shells ที่ถูกแฝงไว้ภายในเซิร์ฟเวอร์

Web shells เป็นหนึ่งในมัลแวร์ที่ได้รับความนิยมมากที่สุดในปัจจุบัน คำว่า "Web Shell" หมายถึงโปรแกรมที่เป็นอันตรายหรือสคริปต์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ มักจะถูกติดตั้งบนเซิร์ฟเวอร์ที่ถูกแฮก ผู้ประสงค์ร้ายมักจะอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางในการควบคุม, สั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายต่อในภายหลัง web shell ถือว่าเป็นมัลแวร์ประเภท backdoor ผู้ประสงค์ร้ายสามารถใช้เพื่อคัดลอก, แก้ไข, อัพโหลดไฟล์ใหม่หรือดาวน์โหลดข้อมูลที่สำคัญออกจากเซิร์ฟเวอร์

แฮกเกอร์จะทำการติดตั้ง web shells โดยหาช่องโหว่ภายในเซิร์ฟเวอร์หรือเว็บแอพพลิเคชันเช่น CMS, ปลั๊กอิน CMS, ธีม CMS, CRMs, อินทราเน็ตหรือแอพพลิเคชันในองค์กรอื่น ๆ เป็นต้น

Web shells สามารถใช้ภาษาโปรแกรมมิ่งเขียนขึ้นมาได้หลายภาษาเช่น Go จนไปถึง PHP ด้วยวิธีนี้การนี้ทำให้ผู้ประสงค์ร้ายสามารถซ่อน Web shells ภายในโค้ดของเว็บไซต์ใดๆ ภายใต้ชื่ออื่นๆ เช่น index.

NSA Publishes Advisory Addressing Encrypted Traffic Inspection Risks

 

NSA เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI)

National Security Agency (NSA) เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI) ซึ่งอาจทำให้องค์กรมีความปลอดภัยน้อยลงTLSI หรือ TLS break and inspect หรือ ssl decryption เป็นกระบวนการที่องค์กรสามารถตรวจสอบ traffic ที่เข้ารหัสด้วยความช่วยเหลือของผลิตภัณฑ์ เช่น proxy IDS หรือ IPS ที่สามารถถอดรหัสเพื่อดูข้อมูล แล้วเข้ารหัสข้อมูลกลับไป องค์กรบางแห่งใช้เทคนิคนี้ในการตรวจสอบภัยคุกคามที่อาจเกิดขึ้น เช่น การแอบนำข้อมูลออก การติดต่อไปยังช่องทางการสื่อสารคำสั่งและการควบคุม (C2) หรือ การส่งมัลแวร์ผ่านทราฟฟิกที่เข้ารหัส เทคนิคนี้อาจนำไปสู่ความเสี่ยงอื่นๆ ได้

เครื่องมือ TLSI ที่ไม่ตรวจสอบความถูกต้องของใบรับรอง transport layer security (TLS) ให้ดีจะทำให้การป้องกันแบบ end-to-end ที่ได้จากการเข้ารหัส TLS แก่ผู้ใช้ปลายทางอ่อนแอลงอย่างมากและเพิ่มโอกาสที่ถูกโจมตีในรูปแบบ man-in-the-middle attack
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ TLSI โดยโจมตีอุปกรณ์ดังกล่าวเพื่อเข้าถึงข้อมูลที่ถอดรหัสแล้ว รวมถึง insider threat อย่างผู้ดูแลระบบที่มีเจตนาไม่ดีอาจใช้อุปกรณ์ดังกล่าวเพื่อดูรหัสผ่านหรือข้อมูลสำคัญอื่นๆ

เพื่อลดความเสี่ยงที่อธิบายไว้ข้างต้น การตรวจสอบการรับส่งข้อมูล TLS ควรกระทำเพียงครั้งเดียว    ภายในเครือข่ายองค์กร ไม่ควรใช้ TLSI หลายรอบโดยสามารถอ่านรายละเอียด ได้จาก: media.

จับข่าวคุย: เพราะอะไรกลุ่มแฮกเกอร์จีนถึงใช้ช่องโหว่ลับของอเมริกาได้ก่อนมีการเปิดเผย?

ในช่วงสัปดาห์ทีผ่านมา ข่าวใหญ่ข่าวหนึ่งซึ่งเกี่ยวข้องกับการทำสงครามไซเบอร์ได้ถูกเปิดเผยโดย Symantec และสำนักข่าวหลายแห่งในต่างประเทศ เมื่อมีการเปิดเผยว่ากลุ่มแฮกเกอร์ซึ่งคาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ APT3 มีการใช้ช่องโหว่ลับที่ถูกค้นพบและพัฒนาเป็นเครื่องมือในการโจมตีโดย National Security Agency (NSA) ของสหรัฐอเมริกาในการโจมตี ซึ่งเป็นเหตุการณ์ที่เกิดขึ้นก่อนที่จะมีการการรั่วไหลของข้อมูลของ NSA โดย The Shadow Brokers

แฮกเกอร์จีนนำช่องโหว่ลับของอเมริกาไปใช้ทำอะไร? ช่องโหว่ดังกล่าวเป็นช่องโหว่เดียวกันหรือไม่? และคำถามสำคัญคือถ้าช่องโหว่ที่ถูกใช้เป็นช่องโหว่เดียวกัน กลุ่มแฮกเกอร์จีนสามารถเข้าถึงช่องโหว่และเครื่องมือสำหรับโจมตีนี้ได้อย่างไร? ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาสรุปเหตุการณ์โดยย่อเพื่อให้ผู้อ่านชาวไทยได้รับทราบข้อมูลกันครับ
Timeline
เพื่อให้เกิดความเข้าใจที่ถูกต้องและรวบรัด เราขอสรุปไทม์ไลน์ของเหตุการณ์เอาไว้เบื้องต้นก่อน ตามรายการดังนี้ครับ

March 2016 กลุ่ม APT3 จากจีนใช้ช่องโหว่และเครื่องมือของ Equation Group ซึ่งมีความเกี่ยวข้องกับหน่วย Tailored Access Operation (TAO) ของ NSA ในการโจมตี มีเป้าหมายอยู่ในประเทศฮ่องกงและเบลเยี่ยม
September 2016 มัลแวร์ Bemstour ที่ถูกใช้โดยกลุ่ม APT3 ที่มีการใช้เครื่องมือ DoublePulsar ของ Equation Group ถูกพัฒนาเป็นเวอร์ชันใหม่ และใช้ในการโจมตีโดยมีเป้าหมายอยู่ในประเทศฮ่องกง
March 2017 มีใครบางคนแจ้งไมโครซอฟต์ก่อนจะมีการรั่วไหลของข้อมูล ไมโครซอฟต์จึงมีการออกแพตช์ป้องกันช่องโหว่ก่อนจะมีการรั่วไหลจริง (คาดว่าเป็น NSA)
April 2017 กลุ่มแฮกเกอร์ The Shadow Brokers มีการปล่อยช่องโหว่และเครื่องมือของ Equation Group โดยอ้างว่าเป็นข้อมูลที่รั่วไหลออกมา
June 2017 กลุ่ม APT3 ใช้มัลแวร์ Bemstour ที่มีการใช้แบ็คดอร์ DoublePulsar เพื่อโจมตีเป้าหมายในลักซ์เซมเบิร์กและฟิลิปปินส์
August 2017 กลุ่ม APT3 โจมตีเป้าหมายในเวียดนาม
November 2017 มีการจับกุมและส่งมอบสมาชิกของกลุ่มแฮกเกอร์ APT3 มายังสหรัฐฯ
September 2018 มีการแจ้งเตือนการค้นพบช่องโหว่เพิ่มเติมจากมัลแวร์ Bemstour จาก Symantec ซึ่งต่อมาถูกแพตช์โดยไมโครซอฟต์
March 2019 มีการตรวจพบมัลแวร์ Bemstour รุ่นใหม่

History of Leaked NSA Tools

ชุดโปรแกรมของ Equation Group เป็นชุดของเครื่องมือที่ใช้ในการโจมตีช่องโหว่รวมไปถึงเครื่องมืออื่นๆ ในการช่วยเจาะระบบที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์ Equation Group โดยเครื่องมือที่ใช้ในการโจมตีช่องโหว่ชื่อดังที่อยู่ในชุดโปรแกรมนี้ อาทิ โปรแกรมสำหรับโจมตีช่องโหว่ EternalBlue, แบ็คดอร์ DoublePulsar และชุดโปรแกรมควบคุมปฏิบัติการไซเบอร์ FuzzBench (อ่านเพิ่มเติมได้จากบทวิเคราะห์ของไอ-ซีเคียว)

ช่องโหว่ EternalBlue และแบ็คดอร์ DoublePulsar ต่อมาเมื่อมีการรั่วไหลจาก The Shadow Brokers ได้ถูกนำมาใช้กับมัลแวร์หลายประเภท และมีส่วนสำคัญต่อการโจมตีและแพร่กระจายของมัลแวร์ WannaCry ซึ่งทำให้สามารถโจมตีและรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับกลุ่มแฮกเกอร์ Equation Group นั้น ถือว่าเป็นกลุ่มแฮกเกอร์ที่มีศักยภาพสูงสุดอันดับต้นๆ ของโลก โดยจากหลักฐานที่รวบรวมมาจากการโจมตีหลายครั้ง เป็นที่เชื่อกันว่ากลุ่มแฮกเกอร์ Equation Group เกิดขึ้นจากการรวมตัวของแผนก Tailored Access Operation (TAO) ภายใต้สังกัดของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) และรัฐบาลอิสราเอลบางส่วน หนึ่งในผลงานซึ่งเชื่อกันว่าเป็นของ Equation Group นอกเหนือจากเครื่องมือในการโจมตีช่องโหว่นั้นยังได้แก่

มัลแวร์ Stuxnet หนึ่งในมัลแวร์ที่ถูกพูดถึงมากที่สุด ถูกพัฒนาเพื่อชะลอการวิจัยและพัฒนาทางด้านนิวเคลียร์ของอิหร่าน
มัลแวร์ Flame มัลแวร์ซึ่งใช้วิธีการโจมตีอัลกอริธึมแฮช MD5 เพื่อให้สามารถสร้างค่าแฮชเดียวกันจากข้อมูลที่ต่างกันได้ (MD5 Hash Collision) ซึ่งเป็นครั้งแรกที่มีการใช้ช่องโหว่นี้ในการโจมตีจริง

จากประวัติที่ได้กล่าวมา เราคงไม่อาจไม่ปฏิเสธได้ว่าชุดของเครื่องมือที่ใช้ในการโจมตีช่องโหว่รวมไปถึงเครื่องมืออื่นๆ ในชุดโปรแกรมของ Equation Group นั้นสามารถถูกเรียกได้ว่าเป็น Cyber Weapon ที่น่าสะพรึงกลัว
ทำความรู้จักกลุ่มแฮกเกอร์จีน APT3
กลุ่มแฮกเกอร์จีน APT3 หรือในชื่อ GothicPanda เป็นกลุ่มแฮกเกอร์ซึ่งเชื่อกันว่าได้รับการสนับสนุนจากรัฐบาลจีน โดยมีเป้าหมายสำคัญในการขโมยข้อมูลด้วยการโจมตีบริษัทผู้ผลิตเทคโนโลยีด้านการบินและการป้องกันประเทศ รวมไปถึงกลุ่มบริษัทด้านเทคโนโลยีและการสื่อสาร
พฤติกรรมการโจมตี
เมื่ออ้างอิงจากข้อมูลของ MITRE ATT&CK framework เราสามารถระบุเทคนิคที่กลุ่ม APT3 ใช้ในการโจมตีได้ตามรูปภาพด้านล่าง

มัลแวร์/ซอฟต์แวร์ที่ใช้ในการโจมตี
เมื่ออ้างอิงจากข้อมูลของ MITRE ATT&CK framework เราสามารถระบุเครื่องมือที่กลุ่ม APT3 ใช้ในการโจมตีได้ตามรูปภาพด้านล่าง

LaZagne
OSInfo
PlugX
RemoteCMD
schtasks
SHOTPUT

แล้วสรุปแฮกเกอร์จีน APT3 เข้าถึงช่องโหว่ของ NSA ได้อย่างไร?
แม้ในตอนนี้จะยังไม่มีรายงานอย่างเป็นทางการรวมไปถึงการวิเคราะห์การโจมตีซึ่งบ่งชี้ให้เห็นทำไมแฮกเกอร์จีนกลุ่ม APT3 ถึงสามารถเข้าถึงช่องโหว่ลับซึ่งถูกค้นพบและพัฒนาโดย NSA ได้ แต่สื่อหลายสำนักก็ได้มีการตั้งสมมติฐานที่น่าสนใจไว้ดังนี้

เป็นไปได้ไหมที่ NSA จะถูกแฮกหรือถูกโจมตีจนเกิดเป็นการรั่วไหลของข้อมูลเช่นเดียวกับกรณีที่ The Shadow Brokers ดำเนินการ?
หรือว่าเมื่อ The Shadow Brokers สามารถเข้าถึงชุดโปรแกรมดังกล่าวได้แล้ว จีนจึงทำการแฮกและขโมยข้อมูลที่อยู่ในมือ The Shadow Brokers ต่อ?
หรือฝั่งจีนสามารถตรวจจับการโจมตีที่มีการใช้ช่องโหว่เหล่านี้ได้ หรืออาจค้นพบเครื่องมือเหล่านี้โดยบังเอิญในระบบใดระบบหนึ่งซึ่งเคยถูกโจมตีโดย NSA แล้วมีการนำเครื่องมือที่ค้นพบมาใช้งาน?

ยังไม่มีใครสามารถยืนยันประเด็นเหล่านี้ได้และคงเป็นไปได้ยากที่จะยืนยันข้อเท็จจริงให้ได้
แหล่งอ้างอิง

Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak
Stolen NSA hacking tools were used in the wild 14 months before Shadow Brokers leak
How Chinese Spies Got the N.S.A.’s Hacking Tools, and Used Them for Attacks

Boeing production plant hit by malware, apparently WannaCry ransomware

โรงงานผลิตชิ้นส่วนเครื่องบินโบอิ้ง 77 ในนอร์ทชาร์ลสตันของโบอิ้ง (Boeing) บริษัทผู้ผลิตเครื่องบินรายใหญ่ที่สุดของโลกติดมัลแวร์ถูกโจมตีด้วยมัลแวร์ WannaCry

จากการแถลงการณ์ล่าสุดของโบอิ้ง โบอิ้งกล่าวว่าระบบที่มีการแพร่กระจายของ WannaCry เป็นระบบที่ไม่ได้รับการแพตช์ยังสมบูรณ์ทำให้ยังคงมีช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายได้อยู่ อย่างไรก็ตามระบบที่ได้รับผลกระทบนั้นต่างเป็นระบบส่วนที่ไม่ได้กระทบกับกระบวนการผลิตของบริษัท

อย่างที่ทราบกันดีเมื่อวันที่ 12 พฤษภาคม 2560 WannaCry ransomware ถือเป็นการโจมตีที่รุนแรงที่สุด ซึ่งเริ่มต้นโจมตีจากระบบเครือข่ายของ National Health Service (NHS) ในสหราชอาณาจักร การโจมตีดังกล่าวใช้เครื่องมือที่รั่วไหลจาก NSA อย่าง EternalBlue และ DoublePulsar และใช้ประโยชน์จากช่องโหว่ SMB ที่ติดตั้งอยู่ในเครื่อง Windows รุ่นเก่า (MS17-010) ทำให้การโจมตีจาก WannaCry ransomware แพร่กระจายไปยัง 150 ประเทศและกำหนดเป้าหมายไปยังคอมพิวเตอร์มากกว่า 200,000 เครื่อง

การกลับมาของ WannaCry ไม่น่าแปลกใจมากนัก เนื่องจากปัจจุบันพบการโจมตีของมัลแวร์เพิ่มขึ้นอย่างมากจนทำให้บริการต่างๆขัดข้องและผู้ใช้ไม่สามารถเข้าถึงคอมพิวเตอร์ได้ ซึ่งเมื่อเดือนที่แล้วบริษัท Colorado DOT ถูกโจมตีจาก SamSam ransomware ทำให้เครื่องคอมพิวเตอร์กว่า 2,000 เครื่องติด Ransomware ในขณะที่บริษัทด้านความปลอดภัยเทคโนโลยีสารสนเทศยักษ์ใหญ่อย่าง Avast ได้ทำการบล็อคการโจมตี WannaCry จำนวน 1.7 ล้านรายในอินโดนีเซีย, 1.2 ล้านรายในอินเดียและ 1.1 ล้านรายในบราซิล

ที่มา : hackread