Telecom & Innovation Journal 1041 | Page 13

วันเสาร์ที่ 1 ตุลาคม - วันเสาร์ที่ 15 ตุลาคม 2559 TELECOM & INNOVATION JOURNAL Telecom World
วันเสาร์ที่ 1 ตุลาคม - วันเสาร์ที่ 15 ตุลาคม 2559 TELECOM & INNOVATION JOURNAL Telecom World
13

และกลางในหลายๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมา จากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มี เอกสารแนบเกี่ยวกับธุรกรรมนั้น ( SWIFT ) มาด้วย แต่ในความเป็น จริงกลับเป็นไฟล์มัลแวร์

การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญ สเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัย ของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ . ศ . 2558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือ ของกลุ่มนี้

มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจ�ำหน่ายกัน อย่างเปิดเผยบน Darkweb ซ�้ำยังให้ทูลต่างๆ นาๆ ไว้ใช้ในการโจมตี อีกด้วย หลังการติดตั้ง ก็จะท�ำการเก็บรวบรวมข้อมูลที่น่าสนใจจาก เครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่ : การกดแป้นพิมพ์ ข้อมูลบนคลิปบอร์ด ข้อมูลจ�ำเพาะของ FTP เซิร์ฟเวอร์ ข้อมูลบัญชีผู้ใช้จากเบราเซอร์ ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน ( เช่น Paltalk , Google talk , AIM ) ข้อมูลบัญชีผู ้ใช้จากลูกข่ายที ่ติดต่อทางอีเมล ( เช่น Outlook , Windows Live mail ) ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ ( Microsoft Office )

จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและ วิศวกรรม ในส่วนอื่นๆ ก็มี ได้แก่ การด�ำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่นๆ

บริษัทเหล่านี ้ล้วนมีข้อมูลที่มีค่า สามารถน�ำมาขายท�ำเงินได้ในตลาดมืด - ผลก�ำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระท�ำผิดที่อยู่เบื ้อง หลังปฏิบัติการล้วงตับนี้ นั่นคือ “ Operation Ghoul ” ปฏิบัติการ ล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี ้แลปท�ำซ้อนขึ้น เป็นหนึ่ง เดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ ่มเดียวกัน และ กลุ่มนี้ยังปฏิบัติงานอยู่

หากเราอิงจากเรื่องเล่าเมื ่อครั้งโบราณ ผีปอบ ( Ghoul ) เป็นวิญญาณ ร้ายที่คอยกินเนื้อมนุษย์หรือเด็กๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุค เมโสโปเตเมีย วันนี้ ค�ำๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของ บุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะ ของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ Operation Ghoul ซึ่งมีแรง จูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือ ข้อมูลจ�ำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคาร ของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวก นี้จะระมัดระวังในการเลือกเป้าหมาย กลุ ่มนี้และกลุ ่มที่คล้ายกันอาจ จะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้าง ธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่ รับมือ ก็จ�ำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า

นักวิจัยจากแคสเปอร์สกี้ แลป ให้ค�ำแนะน�ำในการป้องกันองค์กรให้ พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ด�ำเนินมาตรการต่างๆ ดังนี้ :

อบรมให้ความรู ้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที ่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์ ใช้โซลูชั่นเพื่อความปลอดภัยส�ำหรับคอร์ปอเรท ที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบ เครือข่าย เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความ ปลอดภัยสามารถเข้าถึงข้อมูลจ�ำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู ่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อก�ำหนด YARA เป็นต้น