ทำไมการแฮ็ก Windows จึงตำหนิกลุ่มเชื่อมโยงรัสเซีย
Leo Kelion, BBC - Technology, 2 พ.ย. 2559 : ผู้ชม 4608
BBC - หัวหน้าของ Microsoft Windows กล่าวหา กลุ่มแฮ็กเกอร์ฉาวโฉ่เชื่อมโยงกับรัสเซีย ได้ใช้ประโยชน์จากข้อบกพร่องของระบบปฏิบัติการที่ยังไม่ได้แก้ไข Terry Myerson กล่าวว่า Strontium กำลังใช้ประโยชน์จากข้อผิดพลาดเพื่อติดเชื้อเครื่องคอมพิวเตอร์เพื่อเข้าถึงข้อมูลสำคัญ
Strontium ยังเป็นที่รู้จักแกชื่อคือ APT28 และ Fancy Bear ก่อนหน้านี้ถูกกล่าวหาว่าโจมตีเครือข่ายโทรทัศน์ฝรั่งเศสและพรรคเดโมแครต สหรัฐ
Microsoft บอกว่า กำลังทำการแก้ไข และตั้งใจที่จะปล่อยแพทช์แก้ไขในสัปดาห์หน้า
นักวิจัยทางโลกไซเบอร์อีกราย กล่าวว่าการวิเคราะห์กิจกรรมของแฮกเกอร์ก่อนหน้านี้ ชี้ให้เห็นพวกเขาเป็นชาวรัสเซียหรืออย่างน้อยประชาชนของประเทศเพื่อนบ้านที่สามารถพูดรัสเซียและดูเหมือนว่าจะทำในผลประโยชน์ของมอสโกมากกว่าผลประโยชน์ส่วนบุคคล
FireEye บริษัทที่มีลูกค้ารวมถึงกระทรวงกลาโหมสหรัฐ ได้ไปให้ไกลมากโดยบอกว่าการโจมตี “ส่วนใหญ่มีแนวโน้มได้รับการสนับสนุนจากรัฐบาลรัสเซีย”
แต่การเชื่อมโยงไม่เคยได้รับการพิสูจน์อย่างแน่ชัดและเครมลินได้ปฏิเสธซ้ำ ๆ ถึงการมีส่วนร่วม
ทำไมเราได้ยินเกี่ยวกับเรื่องนี้ในตอนนี้?
นี่เป็นเรื่องที่ผิดปกติสำหรับบริษัท เทคโนโลยีขนาดใหญ่ที่จะเผยให้เห็นข้อบกพร่องในผลิตภัณฑ์ซอฟต์แวร์ของพวกเขาก่อนที่จะมีการแก้ไข เพราะมีธงปัญหาเพราะอาชญากรไซเบอร์
อันที่จริง Microsoft ได้วางแผนที่จะอยู่เงียบเกี่ยวกับข้อผิดพลาดนี้จนกว่าจะมีวิธีการแก้ปัญหา
แต่ Google บังคับมือของเขาเมื่อตีพิมพ์รายละเอียดของปัญหาในวันจันทร์
ไมโครซอฟท์รำคาญมาก แต่ Google ตัดสินการเคลื่อนด้วยการพูดว่า “ช่องโหว่นี้เป็นเรื่องสำคัญอย่างยิ่งเพราะเรารู้ว่ามีการใช้ประโยชน์อย่างแข็งขัน"
Microsoft บอกอะไรกับเรา?
Myerson ได้ยืนยันว่าปัญหาเกี่ยวกับไฟล์ระบบ ซึ่ง Windows จะต้องใช้ในการแสดงภาพ
บริษัทบอกว่าลูกค้าที่ใช้รุ่นล่าสุดทั้ง Windows 10 และเว็บเบราเซอร์ Edge ของ Microsoft เองควรจะปลอดภัย แต่ยอมรับว่ายังคงมีความเสี่ยง
แต่ก็กล่าวว่าการโจมตีจะทำงานเฉพาะผู้ใช้ที่มีการติดตั้ง Flash และปลั๊กอิน Adobe’s media รุ่นออกใหม่ได้มีการป้องกันแล้ว เกี่ยวกับ Strontium เอง Microsoft กล่าวว่าแฮกเกอร์มาด้วยการโจมตีล้ำยุคหลายประเภท ที่เรียกว่าเป็น zero-days มากกว่ากลุ่มติดตามอื่น ๆ ในปีนี้
“Strontium มักจะใช้บัญชีอีเมลที่ถูกบุกรุกจากเหยื่อรายหนึ่งในการส่งอีเมลที่เป็นอันตรายกับเหยื่อรายที่สองและจะติดตามอย่างเสมอต้นเสมอปลายจนไปถึงเป้าหมายเฉพาะเจาะจงด้วยเวลาหลายเดือนจนกว่าพวกเขาจะประสบความสำเร็จในการเจาะเข้าคอมพิวเตอร์ของเหยื่อ” Myerson เขียนในบล๊อก
“เมื่อถึงภายใน Strontium จะเคลื่อนไหวทั่วทั้งเครือข่ายของเหยื่อ ฝังตัวเองอย่างล้ำลึกที่สุดเท่าที่จะรับประกันการเข้าถึงถาวรและขโมยข้อมูลที่สำคัญ”
Strontium เริ่มต้นเจาะเป้าหมายอย่างไร?
เชื่อว่าแฮกเกอร์ได้ใช้ spear phishing - เทคนิคที่เกี่ยวกับการกำหนดเป้าหมายที่เฉพาะเจาะจงด้วยอีเมลและข้อความอื่น ที่พยายามที่จะหลอกพวกเขาเปิดเผยการเข้าสู่ระบบของพวกเขา
ผู้บุกรุกมีชื่อเสียงในการฝังตัวถาวร
พวกเขาได้รับทราบถึงการส่งข้อความซ้ำไปยังบุคคลค่าสูง ถ้าจำเป็นอาจจะนานกว่าหนึ่งปีจนกว่าประสบความสำเร็จ
ใครเป็นเป้าหมาย?
ทั้ง Google และ Microsoft ได้กล่าวว่าผู้ที่ได้รับชุดล่าสุดของอีเมลหลอกล่อ
แต่ Microsoft ได้กล่าวว่า ก่อนหน้านี้เหยื่อทั่วไปของแฮกเกอร์ “มีเป้าหมายหลักเป็นสถาบัน รวมถึงหน่วยงานราชการ, สถาบันการทูตและกองกำลังทหารและสำนักงานในประเทศสมาชิกนาโตและบางประเทศในยุโรปตะวันออก”
“มีเป้าหมายเพิ่มเติมรวมถึงผู้สื่อข่าว ที่ปรึกษาทางการเมือง และองค์กรที่เกี่ยวข้องกับการเคลื่อนไหวทางการเมืองในเอเชียกลาง”
เรารู้อะไรอีกเกี่ยวกับ Strontium?
กลุ่มนี้ได้รับการเรียกว่า Sofacy, Sednit และ Pawn Storm และเชื่อมโยงกับการโจมตีย้อนหลังไปถึง 2007
ดูเหมือนว่ากลุ่มนี้ดำเนินการด้วยเว็บไซต์ของตัวเอง ที่เรียกตัวเองว่า Fancy Bears
ไซต์นี้ได้รับการใช้ปล่อยไฟล์ที่เป็นความลับทางการแพทย์ของนักกีฬาโอลิมปิกของสหรัฐปีก่อนหน้านี้ ซึ่งขโมยมาจาก World Anti-Doping Agency
เว็บไซต์แสดงให้ว่าเห็นกลุ่มนี้เป็นส่วนหนึ่งของการรวมตัวระดับความกว้างของแฮ็คติวิสต์ Anonymous ถึงแม้ว่าจะเป็นความพยายามในทิศทางที่ผิด
หลายเดือนก่อนหน้านี้ บริษัทความปลอดภัยไซเบอร์ CrowdStrike กล่าวหาแฮกเกอร์เจาะเครือข่ายคอมพิวเตอร์พรรคเดโมแครต พรรครัฐบาลสหรัฐ
มีข้อสังเกตว่าพวกเขาอาจจะมีส่วนเกี่ยวข้องกับ GRU หน่วยสืบราชการลับทางทหารของรัสเซีย
“พวกเขามีฝีมือเป็นเลิศ การดำเนินงานการรักษาความปลอดภัยรวดเร็ว และขยายการใช้เทคนิค ‘living-off-the-land’ ช่วยให้พวกเขาหลีกเลี่ยงโซลูชั่นรักษาความปลอดภัยจำนวนมากที่พวกเขาเผชิญได้อย่างง่ายดาย” ที่กล่าวในรายงาน
กิจกรรมอื่น ๆ ที่ตำหนิทีมนี้รวมถึง:
- การโจมตีสามบล็อกเกอร์ YouTube ที่สัมภาษณ์ประธานาธิบดีโอบามาในเดือนมกราคม 2016
- เจาะช่องโหว่ที่เกือบทำลาย TV5Monde บริษัทสื่อฝรั่งเศสในเดือนเมษายนปี 2015 เครือข่ายโทรทัศน์ของ บริษัทนี้ไม่สามารถออกอากาศได้ และเว็บไซต์ถูกทำให้เสียโฉมด้วยข้อความปรากฏเริ่มแรกที่สร้างขึ้นโดยผู้ที่เรียกว่าผู้เห็นใจรัฐอิสลาม
- แฮ็คเครือข่ายคอมพิวเตอร์ของ Bundestag ที่ค้นพบในเดือนพฤษภาคมปี 2015 ประมาณ 20,000 บัญชีเป็นของนักการเมืองเยอรมันและเจ้าหน้าที่คิดว่าได้รับอันตราย
- ความพยายามในปี 2015 ที่จะขโมยข้อมูลจากนักตรวจสอบด้านความปลอดภัยที่ค้นหาเกี่ยวกับเที่ยวบิน MH17 ของมาเลเซียแอร์ไลน์ ที่ถูกยิงตกเหนือน่านฟ้ายูเครนในปีก่อนหน้า
- มีความพยายามอย่างน้อยสองครั้งที่จะขโมยข้อมูลจากกระทรวงกิจการภายใน จอร์เจีย ประมาณปี 2013 และความพยายามต่อไปมีเป้าหมายเป็นกระทรวงกลาโหมของประเทศนี้
เป็นเพียงคอมพิวเตอร์ที่ใช้ Windows ที่มีความเสี่ยง?
ก่อนหน้านี้ บริษัทรักษาความปลอดภัยไซเบอร์ Trend Micro ได้เชื่อมโยงแฮ็คเกอร์รายนี้กับมัลแวร์ที่ออกแบบมาเพื่อติดเชื้อ jailbroken iPhone และ iPad
Microsoft กล่าวว่า ได้สังเกตกลุ่มนี้ใช้เว็บโดเมนกำหนดเองที่สร้างอันตรายกับ Mac และ Linux คอมพิวเตอร์ในรณรงค์อื่น ๆ
จริงๆ แล้ว ควรตำหนิเครมลินหรือไม่?
ในอดีตที่ผ่านมา Dmitry Peskov โฆษกเครมลิน ได้ปฏิเสธข้อกล่าวหาแฮ็กเกอร์ได้รับการกำกับหรือสนับสนุนจากรัฐบาลหรือหน่วยสืบราชการลับของรัสเซีย
เขาได้กล่าวว่าการอ้าง “ไม่มีมูลความจริง” และ “ไม่ได้มีอะไรที่จับต้องได้”
“ไม่มีหลักฐานชัดเจน” Alan Woodward ที่ปรึกษาด้านการรักษาความปลอดภัยไซเบอร์ ผู้ให้คำปรีกษากับ Europol และได้ทำงานกับ GCHQ ในอดีต กล่าว
“แต่ปริมาณของหลักฐานแวดล้อมสนับสนุนอย่างแน่นอน”
“สิ่งที่ดีที่สุดของหน่วยงานภาครัฐ คือ การพูดดูเหมือนว่า รัฐบาลรัสเซียไม่ได้ทำอะไรเพื่อหยุดพวกเขา ซึ่งชนิดของการพูดได้เล่าเรื่องราวในตัวเอง”
|