แคสเปอร์สกี้ แลป เร่งไล่ล่ากลุ่ม Lazarus สกัดการโจมตีองค์กรการเงินใน SEA และยุโรป พบการโจมตีครอบคลุม 18 ประเทศทั่วโลก

By Chattra / 16/04/2017

แคสเปอร์สกี้ แลป สืบสวนการดำเนินการของ “ลาซารัส” (Lazarus) กลุ่มแฮกเกอร์ที่ต้องรับผิดชอบต่อการจารกรรมเงินจำนวน 81 ล้านเหรียญสหรัฐจากธนาคารกลางบังคลาเทศในปี 2016 จากการวิเคราะห์ทางนิติเวชที่พบในธนาคารในเอเชียตะวันออกเฉียงใต้และยุโรป แคสเปอร์สกี้ แลป ค้นพบทูลที่กลุ่มลาซารัสใช้ พร้อมวิธีการทำงาน ทำให้แคสเปอร์สกี้ แลป สามารถสกัดขัดขวางปฏิบัติการของกลุ่มนี้ได้อย่างน้อย 2 ครั้ง ที่กำลังมุ่งจารกรรมเงินก้อนโตจากสถาบันการเงิน

Lazarus_Map_MAIN

เดือนกุมภาพันธ์ ปี 2016 เกิดเหตุการณ์ขโมยเงินจำนวน 81 ล้านเหรียญสหรัฐ และโอนเงินออกจากธนาคารกลางบังคลาเทศ นับเป็นอาชญากรรมทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์อีกหนึ่งครั้ง จากการตรวจสอบของทีมนักวิจัยจากบริษัทความปลอดภัยไอทีชั้นนำของโลก รวมถึงแคสเปอร์สกี้ แลป พบว่า การจารกรรมนี้ดำเนินการโดยกลุ่มลาซารัส ซึ่งขึ้นชื่อในด้านจารกรรมไซเบอร์และมีผลงานการโจมตีที่ร้ายแรงหลายครั้ง ไม่ว่าจะเป็นบริษัทอุตสาหกรรมการผลิต สื่อ สถาบันการเงิน ตั้งแต่ปี 2009 ครอบคลุมอย่างน้อย 18 ประเทศทั่วโลก

หลังเหตุการณ์ธนาคารกลางบังคลาเทศ กลุ่มลาซารัสก็ยังทำงานอย่างต่อเนื่อง โดยกำลังวางแผนการร้ายครั้งใหม่คือการขโมยเงินจากธนาคารเอเชียตะวันออกเฉียงใต้ แต่โชคยังดีที่ปฏิบัติการนี้ถูกสกัดโดยโซลูชั่นของแคสเปอร์สกี้ แลป ซะก่อน จากนั้นจึงพบว่า กลุ่มลาซารัสก็เปลี่ยนเป้าหมายไปยุโรป ซึ่งถูกสกัดขัดขวางเช่นเดียวกัน 

สูตรการทำงานของลาซารัส จากการวิเคราะห์ทางนิติเวช นักวิจัยของแคสเปอร์สกี้ แลป สามารถร่างรูปแบบการทำงานได้ดังนี้

  • Initial compromise: ระบบเดี่ยวภายในธนาคารถูกรุกล้ำด้วยโค้ดช่องโหว่ในการแอคเคสจากระบะไกล (เช่น เว็บเซิร์ฟเวอร์) หรือบุกรุกผ่านเอ็กพลอต์ที่ฝังเอาไว้ที่เว็บไซต์ เมื่อพนักงานธนาคารเปิดไปที่เว็บนั้นๆ คอมพิวเตอร์ก็จะติดกับมัลแวร์ที่มาพร้อมคอมโพเน้นท์มากมาย
  • Foothold established: จากนั้นกลุ่มลาซารัสก็เข้าโฮสต์อื่นของธนาคารและติดตั้งแบ็คดอร์ ซึ่งมัลแวร์อนุญาตให้แฮกเกอร์ไปๆมาๆ เมื่อไหร่ก็ได้ตามที่ต้องการ
  • Internal reconnaissance: กลุ่มลาซารัสจะใช้เวลาหลายวันหลายสัปดาห์เพื่อศึกษาเน็ตเวิร์กของธนาคารและมองหาข้อมูลที่มีค่า อาจจะเป็นเซิร์ฟเวอร์ที่ใช้สำรองข้อมูล ซึ่งบันทึกข้อมูลระบุตัวตน เมลเซิร์ฟเวอร์ หรือส่วนควบคุมโดเมนทั้งหมดซึ่งจะมีคีย์เข้าใช้งานทุกพื้นที่ รวมถึงเซิร์ฟเวอร์ที่ใช้เก็บข้อมูลธึรกรรมทางการเงิน
  • Deliver and steal: ในที่สุด กลุ่มลาซารัสจะติดตั้งมัลแวร์พิเศษ ที่สามารถบายพาสฟีเจอร์ความปลอดภัยภายในของซอฟต์แวร์การเงิน และทำธุรกรรมฉ้อโกงในนามธนาคาร

       “ทีมนักวิจัยของแคสเปอร์สกี้ แลป ทำการสืบสวนพบว่า การโจมตีต่างๆ ยาวนานเป็นสัปดาห์ แต่อย่างไรก็ตาม ผู้โจมตีก็สามารถซุ่มดำเนินการอยู่นานหลายเดือน ยกตัวอย่างเช่น ขณะกำลังวิเคราะห์เหตุการณ์ในเอเชียตะวันออกเฉียงใต้ ผู้เชี่ยวชาญพบว่า แฮกเกอร์สามารถก่อกวนเน็ตเวิร์กของธนาคารนาน 7 เดือนก่อนที่ทีมไอทีของธนาคารจะรู้ตัวและแจ้งปัญหาด้านความปลอดภัย ซึ่งความจริงแล้ว กลุ่มโจรร้ายนี้ ได้เข้าเน็ตเวิร์กของธนาคารนั้น ก่อนหน้าเหตุการณ์ที่ธนาคารกลางบังคลาเทศเพียงแค่วันเดียว ข้อมูลของแคสเปอร์สกี้ แลป ในเดือนธันวาคม 2015 พบตัวอย่างมัลแวร์ที่เกี่ยวข้องกับกิจกรรมของกลุ่มลาซารัสปรากฏตัวขึ้น ในสถาบันการเงิน บ่อนการพนัน บริษัทพัฒนาซอฟต์แวร์ และธุรกิจการเงินคริปโตในประเทศเกาหลี บังคลาเทศ อินเดีย เวียดนาม อินโดนีเซีย คอสตาริก้า มาเลเซีย โปแลนด์ อิรัก เอธิโอเปีย เคนย่า ไนจีเรีย อุรุกวัย กาบอง รวมถึงประเทศไทย และประเทศอื่นๆ ข้อมูลล่าสุดเมื่อเดือนมีนาคม 2017 แคสเปอร์สกี้ แลป ยังพบว่ากลุ่มลาซารัสนี้ยังดำเนินการต่อเนื่อง

วิตาลี คามลัก หัวหน้าทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าวว่า “กลุ่มลาซารัสจะกลับมาเร็วๆ นี้ การตั้งค่าที่ผิดพลาดเพียงเล็กน้อยอาจทำให้เกิดช่องโหว่รุกล้ำความปลอดภัยขนาดใหญ่ ซึ่งอาจเป็นเงินจำนวนหลายร้อยล้านเหรียญของบริษัทที่ตกเป็นเป้าโจมตี เราหวังว่าผู้บริหารของธนาคาร บ่อนการพนัน และบริษัทการเงินการลงทุนต่างๆ ทั่วโลกจะเริ่มรู้จักและระวัดระวังกลุ่มลาซารัสให้ดี  กลุ่มลาซารัสลงทุนในมัลแวร์ของตนอย่างหนัก พยายามสร้างทูลเซ็ตนานหลายเดือนเพื่อไม่ให้โดนโซลูชั่นความปลอดภัยต่างๆ ตรวจจับได้ แต่ทุกครั้ง ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป จะสามารถระบุฟีเจอร์ที่มีลักษณะเฉพาะในโค้ดที่แฮกเกอร์สร้างขึ้น ทำให้สามารถแกะรอยตัวอย่างใหม่ๆ ได้ ปัจจุบัน ผู้โจมตีได้ซุ่มดำเนินการอย่างเงียบเชียบ ซึ่งอาจหมายถึงการหยุดพักก่อนสร้างอาวุธใหม่”

สัญญาณบ่งชี้ว่าระบบถูกแฮก หรือ Indicators of Compromise (IOC) และข้อมูลอื่นๆ เพื่อช่วยเหลือองค์กรให้สามารถแกะรอยกลุ่มที่โจมตีเน็ตเวิร์กของตนเองได้ แคสเปอร์สกี้ แลป ขอให้องค์กรสแกนเน็ตเวิร์กของตนเองเพื่อตรวจหาตัวอย่างมัลแวร์ของกลุ่มลาซารัส และหากพบ ควรรีบทำลาย และแจ้งให้ผู้ดูแลและหน่วยงานรักษากฎหมายทราบถึงเหตุการณ์

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *