‘เอเชียแปซิฟิก’ เป้าหมาย ‘แฮกเกอร์’ มานับ 10 ปี

‘เอเชียแปซิฟิก’ เป้าหมาย ‘แฮกเกอร์’ มานับ 10 ปี

มัลแวร์ใช้ช่องโหว่หลอกให้ผู้ใช้งานเปิดไฟล์เอกสารไมโครซอฟท์เวิร์ด

เอพีที (Advanced Persistent Threat : APT) คือรูปแบบของการเลือกโจมตีเป้าหมายที่มีข้อมูลสำคัญ ซึ่งเป็นรูปแบบที่กลุ่มแฮกเกอร์เลือกใช้กับเหยื่อ 

จากการรายงานพบว่า กลุ่มนี้ได้แฝงตัวอยู่ในประเทศจีน และเชื่อมโยงกับการเข้าโจมตีหน่วยงานรัฐบาล การศึกษา และโทรคมนาคมในเอเชียตะวันออกเฉียงใต้ อย่าง กัมพูชา ฮ่องกง สิงคโปร์ และเวียดนาม รวมถึงออสเตรเลียมาตั้งแต่ปี 2556

ข้อมูลของ Sentinel Labs พบว่า เหล่าบรรดาแฮกเกอร์อาศัยการใช้เอกสารหลอกล่อเพื่อเข้าโจมตีผู้ใช้ ซึ่งมีจุดที่น่าสนใจ 3 จุดที่พบจากเอกสารหลอกลวงเหล่านี้คือ 1. มีเนื้อหาเกี่ยวกับเรื่องการเมืองของ APAC 2. มีเนื้อหาเกี่ยวกับภาพอนาจาร และ 3.ในหลายกรณี เอกสารไม่ได้เจาะจงเฉพาะประเทศใดประเทศหนึ่ง แต่เป็นเอกสารของประเทศในเอเชียตะวันออกเฉียงใต้

ในมุมมองทางเทคนิค มัลแวร์ใช้ช่องโหว่ของเอกสาร หลอกให้ผู้ใช้งานเปิดไฟล์เอกสารไมโครซอฟท์เวิร์ดที่มีการซ่อนมัลแวร์เพื่อติดตั้งแบ็คดอร์ (backdoor) โดยผู้ใช้งานจะถูกล่อให้คลิกเปิดโปรแกรมป้องกันไวรัสปลอมที่เรียกใช้มัลแวร์ในโฮสต์ (host) ของเหยื่อ 

นอกจากนี้มัลแวร์ยังใช้เทคนิค USB shortcut เพื่อติดตั้งตัวเองบนอุปกรณ์ภายนอกและแพร่เชื้อไปยังเป้าหมายเพิ่มเติม เมื่อเข้าสู่ระบบแล้ว มัลแวร์จะถูกตรวจพบว่าทำงานผ่านแบ็คดอร์หลักสองแห่ง สำหรับการโจมตีที่เกิดจากกลุ่มแฮกเกอร์ มักจะทิ้งแบ็คดอร์หนึ่งในสองอย่าง Mongall และเวอร์ชันดัดแปลงของ open source

ในแง่ของการระบุแหล่งที่มา Sentinel Labs พบว่า มีหลายสิ่งหลายอย่างที่เชื่อมโยงกับกลุ่ม APT ในประเทศจีน รวมถึงการทับซ้อนของโครงสร้างพื้นฐานด้วยการแฮกเว็บไซต์ประธานาธิบดีของเมียนมาร์ในปี 2557 ซึ่งการกำหนดเป้าหมายของแฮกเกอร์นี้ มีความสอดคล้องกับผลประโยชน์ทางการเมืองของรัฐบาลจีนเป็นอย่างมาก

และเมื่อพิจารณาถึงความพยายามในระยะยาวและการโจมตีแบบกำหนดเป้าหมายอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมานี้ ทำให้เราสามารถประเมินแรงจูงใจของเหล่าบรรดาแฮกเกอร์ที่ทำงานกันอย่างลับๆ ได้

ปัจจุบันกลุ่มแฮกเกอร์ยังคงพัฒนา Tactics, Techniques, and Procedures หรือที่รู้จักกันว่า TTP อย่างต่อเนื่องเพื่ออยู่ภายใต้เรดาร์และดำเนินการจารกรรมต่อไป และมีแนวโน้มที่แฮกเกอร์จะพัฒนาและค้นหาวิธีการใหม่ในการหลบเลี่ยงการตรวจจับ และอยู่ในเครือข่ายเป้าหมายได้นานขึ้น

เราจะเห็นได้ว่าเหล่าแฮกเกอร์มีการโจมตีที่หลากหลายและ TTP ระบบเครือข่ายป้องกันด้านไซเบอร์ซีเคียวริตี้ที่มีเป็นจุดๆ ไม่เพียงพอต่อไปอีกแล้ว 

เราจึงจำเป็นต้องมี Cybersecurity Mesh ซึ่งเป็นโครงข่ายที่ต้องมีอยู่ในทุกๆ จุด จึงจะเพียงพอต่อ TTP เหล่านี้ โดยเฉพาะอย่างยิ่งการจะทำ Breach and Attack Simulation เพื่อเตรียมพร้อมต่อการถูกโจมตีที่อาจเกิดขึ้นได้ตลอดเวลา