ข่าวประชาสัมพันธ์ Press Releases ข่าวย้อนหลัง หัวข้อข่าว บลอก

แคสเปอร์สกี้ แลป ผนึกกำลังพาร์ตเนอร์ ร่วมทำลายล้างกลุ่มก่อการร้าย Lazarus Group ตัวการสร้างภัยร้ายไซเบอร์ใหญ่หลายครั้ง

ข่าวประชาสัมพันธ์ไอที อินเทอร์เน็ท วันพฤหัสบดีที่ ๗ เมษายน พ.ศ. ๒๕๕๙ ๑๐:๓๔ น.
ขนาดตัวอักษร: ใหญ่ กลาง เล็ก
กรุงเทพฯ--7 เม.ย.--PITON Communications

แคสเปอร์สกี้ แลป (Kaspersky Lab) ร่วมกับโนเว็ตต้า (Novetta) และพาร์ตเนอร์ในวงการอื่นๆ มีความภาคภูมิในการแถลงถึงความร่วมมือและการมีส่วนร่วมกันใน Operation Blockbuster ซึ่งมีเป้าหมายเพื่อขจัด กิจกรรมก่อการร้ายของลาซารัสกรุ๊ป (Lazarus Group) ซึ่งเป็นกลุ่มวายร้ายที่รับผิดชอบต่อการทำลายล้างข้อมูลครั้งใหญ่ รวมทั้งการก่อจารกรรมไซเบอร์ต่อบริษัทใหญ่ๆ ทั่วโลกหลายบริษัทด้วยกัน เชื่อกันว่าเป็นผู้อยู่เบื้องหลังการจู่โจมโซนี่พิคเจอร์สเอนเตอร์เทนเม้นท์เมื่อปี 2014 และปฏิบัติการ DarkSeoul ที่พุ่งเป้าไปยังสื่อและสถาบันการเงินเมื่อปี 2013

หลังการจู่โจมสร้างความเสียหายให้แก่บริษัทผลิตภาพยนตร์โด่งดัง Sony Pictures Entertainment (SPE) เมื่อปี 2014 ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team หรือ GReAT) ได้เริ่มการสืบสวนวิเคราะห์ตัวอย่างของมัลแวร์ Destover ที่รู้กันว่าเป็นตัวที่ถูกใช้ในการจู่โจม นำไปสู่การวิจัยที่กว้างขวาง และเข้าไปยังคลัสเตอร์ที่เกี่ยวโยงกับการก่อจารกรรมไซเบอร์ และเคมเปญวินาศกรรมไซเบอร์ที่มีเป้าหมายเป็นสถาบันการเงิน สื่อ และธุรกิจอุตสาหกรรมการผลิตก็รวมอยู่ด้วย

ผู้เชี่ยวชาญของบริษัทสามารถจัดกลุ่มรูปแบบการจู่โจมเข้าด้วยกันได้หลายกลุ่ม โดยอิงจากลักษณะเฉพาะตัวของมัลแวร์ ที่แม้จะต่างกลุ่มกันก็ต้องมีส่วนที่เหมือนกัน จึงตัดสินได้ว่าทั้งหมดนี้เป็นมัลแวร์ที่มี แอ็คเตอร์หรือตัวกระตุ้นกิจกรรมภัยไซเบอร์ตัวเดียวกัน ผู้ที่เข้าร่วมปฏิบัติการ Operation Blockbuster ทุกรายต่างก็ยืนยันเช่นเดียวกันจากการวิเคราะห์ของเขาเหล่านั้น

แอ็คเตอร์หรือตัวกระตุ้นการเริ่มการจู่โจม (threat actor) ของลาซารัสกรุ๊ปทำงานมาหลายปีก่อนเกิดเหตุการณ์ SPE และยังทำงานต่อมาอีกหลังจากนั้น แคสเปอร์สกี้ แลปและผู้เข้าร่วมการวิจัยค้นคว้าใน Operation Blockbuster ยืนยันความเชื่อมโยงระหว่างมัลแวร์ที่ใช้ในหลายๆ เคมเปญ เช่น Operation DarkSeoul ที่จู่โจมธนาคารและธุรกิจสื่อในกรุงโซล หรือ Operation Troy ที่พุ่งเป้ามาที่การทหารของเกาหลีใต้ รวมทั้งโซนี่พิคเจอร์ส

ระหว่างการสืบสวนค้นคว้า นักวิจัยของแคสเปอร์สกี้ แลปได้แลกเปลี่ยนการผลการวิจัยเบื้องต้นกับ เอเลี่ยนโวล์ท แลปซึ่งต่อมาภายหลังทั้งสองห้องปฏิบัติการได้รวมพลังกันดำเนินการสืบสวนค้นคว้าด้วยกัน และบริษัทอื่นๆ ก็ทำการสืบสาวเรื่องราวกิจกรรมของลาซารัสกรุ๊ปในเวลาเดียวกัน รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยต่างก็ค้นคว้าวิจัยกันอย่างหนัก หนึ่งในบริษัทเหล่านี้ ได้แก่ โนเว็ตต้าซึ่งได้ริเริ่มการตีพิมพ์เผยแพร่ข้อมูลสำคัญเกี่ยวกับกิจกรรมของลาซารัสกรุ๊ปที่ค้นพบจากการวิจัยโดยละเอียด ซึ่งต่อมา ในฐานะที่เป็นส่วนหนึ่งของ Operation Blockbuster ทั้งโนเว็ตต้า เอเลี่ยนโวล์ท แลป และพาร์ตเนอร์ผู้ร่วมงานอื่นๆ ในวงการ รวมทั้งแคสเปอร์สกี้ แลป ต่างก็เผยแพร่ผลการค้นคว้าที่ได้มาเพื่อให้เป็นประโยชน์ต่อสาธารณชนทั่วไปเช่นกัน

งมเข็มในกองฟาง

จากการวิเคราะห์ตัวอย่างมัลแวร์เป็นจำนวนมากที่พบในเหตุจู่โจมระบบความปลอดภัยไซเบอร์ต่างๆ และจากการสร้างกฎการตรวจหาแบบพิเศษ ทำให้แคสเปอร์สกี้ แลป เอเลี่ยนโวล์ท และผู้เชี่ยวชาญอื่นๆ ที่เข้าร่วม Operation Blockbuster สามารถระบุการจู่โจมที่มีลาซารัสกรุ๊ปอยู่เบื้องหลังได้

การวิเคราะห์วิธีการที่ตัวแอ็คเตอร์ใช้ทำงานจากตัวอย่างต่างๆ พบว่าล้วนโยงกลับไปยังกลุ่มเดียว โดย เฉพาะอย่างยิ่ง พบด้วยว่าผู้บุกรุกได้นำโค้ด – ยืมบางส่วนมาจากโปรแกรมประสงค์ร้ายอันหนึ่งมาใช้ใหม่ในโปรแกรมอื่นๆ

นอกจากนั้น นักวิจัยสามารถที่จะจับความคล้ายคลึงในลักษณะวิธีการทำงานของผู้บุกรุก ระหว่างการวิเคราะห์สิ่งแปลกปลอมของการจู่โจมแต่ละครั้ง พบว่า droppers – ไฟล์พิเศษที่ใช้ติดตั้งค่าที่ผันแปรที่บรรจุส่วนที่ประสงค์ร้ายที่ต่างออกไป– ทั้งหมดจะเก็บเป็น ZIP ไฟล์เข้ารหัส ซึ่งรหัสสำหรับใช้ในเคมเปญต่างๆ นั้นจะเหมือนกัน และถูก hardcode อยู่ใน dropper มีการติดตั้งการป้องกันรหัสผ่านเพื่อมิให้ระบบทำการถอดและวิเคราะห์ข้อมูลที่เก็บไว้โดยอัตโนมัติ แต่ในความเป็นจริง กลับช่วยให้นักวิจัยระบุกรุ๊ปได้

วิธีการพิเศษที่อาชญากรไซเบอร์พยายามใช้ลบร่องรอยอาชญากรรมของตนออกจากระบบที่ติดเชื้อ รวมทั้งเทคนิคอื่นๆ ที่ใช้หลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์แอนตี้ไวรัสนั้น เปิดช่องทางให้นักวิจัยมีช่องทางเพิ่มขึ้นในการจับกลุ่มการจู่โจมที่มีความเชื่อมโยงกัน ในที่สุด ก็สามารถระบุความเชื่อมโยงของการจู่โจมแบบมีเป้าหมายเหล่านั้นได้ ซึ่งแต่เดิมไม่สามารถระบุผู้อยู่เบื้องหลังได้ว่าแท้จริงแล้วโยงกลับมายังแอ็คเตอร์เดียวนั้นเอง

สภาพภูมิศาสตร์ของปฏิบัติการก่อการร้าย

จากการวิเคราะห์วันที่รวบรวมตัวอย่างมัลแวร์ พบว่าการเก็บตัวอย่างครั้งแรกเริ่มที่สุดอาจจะเป็นตั้งแต่ปี 2009 นับเป็นเวลา 5 ปีก่อนการจู่โจมโซนี่อันโด่งดัง มีตัวอย่างใหม่ๆ เกิดขึ้นมากมายตั้งแต่ปี 2010 จึงจัดได้ว่าลาซารัสกรุ๊ปนี้เป็นแอ็คเตอร์ที่มีความมั่นคง ยืนยงตัวหนึ่งทีเดียว จากเมต้าดาต้าที่ถอดมาจากตัวอย่างที่นำมาวิเคราะห์สืบสวน พบว่าโปรแกรมประสงค์ร้ายส่วนมากที่ลาซารัสกรุ๊ปใช้งานนั้นมักจะถูกเก็บรวบรวมช่วงระหว่างชั่วโมงทำงานในไทม์โซน GMT+8 – GMT+9

"ดังเช่นที่เราได้คาดการณ์ไว้ จำนวนการจู่โจมแบบลบล้างข้อมูล (wiper attacks) นั้นได้ขยายตัวอย่างต่อเนื่อง เพราะมัลแวร์ประเภทนี้ใช้เป็นอาวุธไซเบอร์ที่มีประสิทธิภาพทำลายล้างสูง พลังอำนาจในการล้างคอมพิวเตอร์ได้เป็นพันๆ เครื่องได้เพียงแค่กดปุ่มเดียวนั้น จึงเป็นรางวัลชั้นเยี่ยมสำหรับทีมผู้ร้ายที่คอยหาประโยชน์จากระบบเครือข่าย (Computer Network Exploitation team) ที่มีหน้าที่ในการบิดเบือนข้อมูลและหยุดการทำงานของเอ็นเตอร์ไพร้ซ์ที่เป็นเหยื่อเป้าหมาย มูลค่าในฐานะที่เป็นส่วนหนึ่งของการดำเนินสงครามแบบไฮบริดลูกผสม (hybrid warfare) ที่การจู่โจมแบบล้างข้อมูล จะมาคู่กับการจู่โจมเพื่อชะงักการเคลื่อนไหว (kinetic attacks) คือการทำให้โครงสร้างพื้นฐานของประเทศหนึ่งๆ หยุดชะงักนั้นเป็นการทดลองที่น่าสนใจ และใกล้เคียงความเป็นจริงมากเกินกว่าที่เราจะทำตัวสบายๆ กับเรื่องเหล่านี้ได้ แคสเปอร์สกี้ แลป ร่วมกับพาร์ตเนอร์ในวงการอุตสาหกรรม ล้วนภาคภูมิใจที่สามารถสร้างความคืบหน้าและเจาะเข้าปฏิบัติการของแอ็คเตอร์ก่อการร้ายที่ไร้สำนึกผิดชอบชั่วดี ที่คอยจ้องหาทางใช้เทคนิคที่มีผลทำลายล้างร้ายกาจเช่นนี้ได้" ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว

"แอ็คเตอร์นี้มีทักษะที่จำเป็น และมีความมุ่งมั่นในการก่อวินาศกรรมไซเบอร์ วัตถุประสงค์คือการโจรกรรมข้อมูล หรือก่อให้เกิดความสูญเสีย เสียหาย เมื่อผนวกกับการใช้เทคนิคบิดเบือนข้อมูลและล่อลวงในช่วงหลายปีที่ผ่านมา อาชญากรสามารถก่อการร้ายได้เป็นผลสำเร็จอยู่หลายครั้ง ปฏิบัติการ Operation Blockbuster เป็นตัวอย่างของการแบ่งปันข้อมูลทั่ววงการ และความร่วมมือสามารถยกมาตรฐานให้สูงขึ้น และป้องกันแอ็คเตอร์ตัวนี้จากการออกอาละวาดต่อไปภายภาคหน้า" เจมี่ บลาสโค หัวหน้าฝ่ายนักวิทยาศาสตร์ เอเลี่ยนโวล์ท กล่าว

"ทั้งโนเว็ตต้า แคสเปอร์สกี้ แลป และพาร์ตเนอร์อื่นๆ ยังคงความพยายามในการระบุหาวิธีการในการทำลายล้างกลุ่มที่ออกปฏิบัติการจู่โจมไปทั่วโลก รวมทั้งพยายามที่จะขจัด และลดความสามารถในการก่อการร้ายลงโดยผ่าน Operation Blockbuster" อังเดร ลุดวิก ผู้อำนวยการฝ่ายเทคนิคอาวุโส กลุ่มวิจัยและการห้ามการลักลอบ บริษัท โนเว็ตต้า กล่าว "ระดับความลึกของการวิเคราะห์เชิงเทคนิคของ Operation Blockbuster นั้นเป็นสิ่งที่หายากมาก และการแบ่งปันผลการวิจัยค้นคว้ากับพาร์ตเนอร์ในวงการเดียวกันนั้นก็หาได้ยากเช่นกัน ดังนั้น เราทุกคนจึงได้รับประโยชน์ ได้รับความเข้าใจที่แจ่มชัดยิ่งขึ้น ซึ่งยิ่งหายากยิ่งไปกว่า"

• ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยแคสเปอร์สกี้ แลป สามารถอ่านได้ที่ https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed

• ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยโนเว็ตต้า สามารถอ่านได้ที่ www.OperationBlockbuster.com


ขนาดตัวอักษร: ใหญ่ กลาง เล็ก

ข่าวประชาสัมพันธ์ที่เกี่ยวข้อง

แคสเปอร์สกี้ แลปร่วมมือกับเอเซอร์ ใช้โซลูชั่นป้องกันไวรัสแคสเปอร์สกี้ลงพีซีและโน้ตบุ๊ค ตระกูลแอสไปร์ พร้อมมอบไลเซ่นส์ลิขสิทธิ์แคสเปอร์สกี้ฟรีหนึ่งปี

แคสเปอร์สกี้ แลป (Kaspersky Lab) ผู้ให้บริการและพัฒนาซอฟต์แวร์เพื่อการป้องกันข้อมูลชั้นนำของโลก ประกาศข่าวอันเป็นที่น่ายินดีว่า แคสเปอร์สกี้ แลป ได้รับความไว้วางใจจากเอเซอร์ ประเทศไทยเลือกผลิตภัณฑ์ Kaspersky Anti-Virus 2009...

กทม.เพิ่มงบค่าใช้จ่ายการสนับสนุนการพัฒนาชุมชน

กรุงเทพฯ--28 ก.พ.--กทม. นายพูลพันธ์ ไกรเสริม ผู้อำนวยการสำนักพัฒนาชุมชน กทม. เปิดเผยว่า ตามที่นายอภิรักษ์ โกษะโยธิน ผู้ว่าราชการกรุงเทพมหานคร ได้มีนโยบายสนับสนุนการมีส่วนร่วมของประชาชนในการพัฒนาคุณภาพชีวิตของชาวชุมชน ดังนั้นเพื่อให้การดำเนินงานของโครงการต...

หัวข้อข่าวที่เกี่ยวข้อง

หัวข้อข่าวยอดนิยม

กรมสรรพากร ธนาคารกรุงเทพ ธนาคารกรุงไทย ธนาคารออมสิน ไปรษณีย์ไทย การบินไทย ธนาคารกสิกรไทย hotmai เพียวริคุ jobbkk ธนาคารไทยพาณิชย์ คาราบาว ดีแทค ไทยพาณิชย์ แจ่มใส เมเจอร์ ธนาคารอาคารสงเคราะห์ 12car กรุงไทย ธนาคารกรุงศรีอยุธยา กระทรวงสาธารณสุข การรถไฟแห่งประเทศไทย มิตซูบิชิ เมืองทอง ธนาคารทหารไทย ตลาดหลักทรัพย์แห่งประเทศไทย ซัมซุง มาม่า วันทูคอล ธนาคารแห่งประเทศไทย กระทรวงพาณิชย์ เวลาประเทศไทย ปตท ธอส บิ๊กซี กรมอุตุ กรมศุลกากร แม็คโคร ธนาคารกรุงศรี กระทรวงการคลัง