Trend Micro เผยรายงานเกี่ยวกับความน่ากลัวของ “Pawn Storm” กลุ่มแฮ็กเกอร์ที่สร้างพลังทำลาย แห่งโลกโซลเชียล !

จากรายงานฉบับล่าสุดของ Trend Micro เกี่ยวกับแก๊งอาชญากรข้ามชาติ Pawn Storm (ที่มีนิกเนมต่างๆ ไม่ว่าจะเป็น APT28, Fancy Bear, Strontium เป็นต้น) ที่รายงานถึงความเคลื่อนไหวของทีมแฮ็กเกอร์ระดับโลกนี้ ซึ่งฝากผลงานไว้มากมายและยาวนานกว่าที่เราเคยคิด โดยเฉพาะการยกระดับมาทำผลิตภัณฑ์โซลูชั่นสำหรับขายแฮ็กเกอร์รายอื่นด้วย เราพบกิจกรรมของแก๊งนี้มาตั้งแต่ 17 ปีก่อนหน้า ซึ่งเน้นทำตลาดโจมตีกลุ่มหน่วยงานภาครัฐ, ทหาร, สื่อมวลชน, และองค์กรทางการเมืองต่างๆ ทั่วโลก ในรายงานฉบับนี้จะกล่าวถึงการเปลี่ยนกลุ่มเป้าหมายมาเน้นการหลอกลวงหรือสร้างข่าวลวงทางไซเบอร์ในช่วงสองปีที่ผ่านมา แถมมีความเคลื่อนไหวเพิ่มมากขึ้นถึงสี่เท่าภายในปีที่แล้วปีเดียว

Join PDAMobiz on Telegram

ประวัติความเป็นมาของ Pawn Storm
ทีมนักวิจัยของเราได้พบร่องรอยการเคลื่อนไหวของ Pawn Storm มาตั้งแต่ปี 2547 แต่มีรายงานเป็นทางการฉบับแรกที่ตีพิมพ์ออกมาเกี่ยวกับอาชญากรกลุ่มนี้ในปี 2557 ซึ่งตั้งแต่นั้นเป็นต้นมาก็พบการโจมตีองค์กรระดับโลกทั้งหลายที่มักพบว่ามีความเกี่ยวข้องในเชิงต่อต้านหรือเป็นศัตรูทางการเมืองกับรัสเซีย แก๊งนี้ได้โจมตีองค์กรต่างๆ สำเร็จมาแล้วทั่วโลกด้วยกลยุทธ์การหลอกเอารหัสผ่านจากเหยื่อ ที่มีการวางแผนล่วงหน้าไว้อย่างละเอียด จำเพาะ และแยบยล

นอกจากการโจมตีในช่วงการเลือกตั้งของสหรัฐฯ ที่สร้างความฮือฮาพาดหัวสำนักข่าวทุกฉบับมาแล้วนั้น ก็มีองค์กรชื่อดังอีกหลายรายที่ตกเป็นเหยื่อในช่วง 3 ปีที่ผ่านมาอันได้แก่:

• มิถุนายน 2557 – โจมตีเว็บไซต์รัฐบาลของโปแลนด์
• กันยายน 2557 – โจมตีผู้ผลิตเชื้อเพลิงนิวเคลียร์รายใหญ่ของสหรัฐฯ ด้วยการสร้างเพจล็อกอิน Outlook Web Access หลอกๆ สำหรับพนักงานของบริษัท นอกจากนี้ยังใช้การโจมตีแบบเดียวกันนี้กับหน่วยงานทางการทหารทั้งในสหรัฐฯ และประเทศในโซนยุโรปด้วย
• ธันวาคม 2557 – โจมตีบัญชีผู้ใช้ของพนักงานบริษัทหนังสือพิมพ์ยักษ์ใหญ่ในสหรัฐฯ กว่า 55 บัญชี รวมถึงแฮ็กบัญชีผู้ใช้ของตัวแทนการทหารของสหรัฐฯ อีกหลายครั้งภายในเดือนเดียวกัน
• มกราคม 2558 – โจมตีบล็อกเกอร์ยูทูปชื่อดังสามราย ด้วยการโจมตีแบบหลอกลวงผ่าน Gmail ซึ่งการโจมตีดังกล่าวเกิดขึ้นเพียงแค่สี่วันหลังจากที่บล็อกเกอร์กลุ่มดังกล่าวได้สัมภาษณ์ประธานาธิบดีสหรัฐฯ บารัก โอบาม่า ที่ไวท์เฮาส์
• กุมภาพันธ์ 2558 – ตรวจพบการใช้แอพอันตรายบน iOS เพื่อล้วงความลับ นอกจากนี้ยังมีการโจมตีหน่วยงานของนาโต้ในยูเครนด้วยเพจ OWA หลอกด้วย
• เมษายน 2558 – โจมตีสมาชิกนาโต้หลายชาติ รวมไปถึงสถานีโทรทัศน์ฝรั่งเศสอย่าง TV5Monde จนทำให้ทีวีหลายช่องทั่วโลกต้องระงับสัญญาณ
• กรกฎาคม 2558 – ถูกค้นพบโดย Trend Micro ว่ามีการใช้ประโยชน์จากช่องโหว่บนจาวาแบบ Zero-day
• กรกฎาคม 2558 – ในเดือนเดียวกันนี้ ก็มีแก้ไขโดยรีไดเร็กต์หนึ่งในเซิร์ฟเวอร์ควบคุมสั่งการของแก๊งนี้มาที่ไอพีของ Trend Micro เอง
• สิงหาคม 2558 – พบการสืบความลับภายในประเทศตัวเอง โดยเจาะกลุ่มชาวรัสเซียที่ต่อต้านรัฐบาล, สื่อมวลชน, ศิลปิน, ทหาร หรือรวมไปถึงคู่ครองของเจ้าหน้าที่ทางการสหรัฐฯ ด้วย
• กันยายน 2558 – ทำเซิร์ฟเวอร์ปลอมที่ทำตัวเลียนแบบเซิร์ฟเวอร์ SFTP (Secure File Transfer Protocol) ของคณะกรรมการความปลอดภัยของฮอลแลนด์ พร้อมทั้งทำเซิร์ฟเวอร์ Outlook Web Access (OWA) ปลอมที่ใช้เล่นงานสมาชิกคณะกรรมการดังกล่าวที่มีส่วนร่วมในการสืบสวนเหตุการณ์ MH17
• ตุลาคม 2558 – ทาง Trend Micro ตรวจพบการใช้โค้ดที่ใช้ช่องโหว่บน Adobe Flash แบบ Zero-day เพื่อเจาะกลุ่มเหยื่อที่เป็นกระทรวงการต่างประเทศหลายแห่ง โดยใช้อีเมล์หลอกลวงแบบเจาะจงเป้าหมาย

ในปี 2559 แก๊ง Pawn Storm ก็ยังคงทำการโจมตีทางไซเบอร์อย่างต่อเนื่อง รวมทั้งเริ่มมีการใช้เทคนิคที่หลากหลายมากขึ้นด้วย โดยนอกจากการหลอกลวงเพื่อล้วงความลับและรหัสผ่านจากเหยื่อที่มีมูลค่าสูงมากขึ้นเรื่อยๆ แล้ว ก็ยังมีการสร้างข่าวลวงทางไซเบอร์ด้วย ซึ่งเมื่อพิจารณาจากโดเมนหลอกที่มีการตั้งขึ้นมาแล้ว จะพบว่าแก๊งนี้เจาะกลุ่มเหยื่อที่เป็นพรรคการเมือง และสื่อมวลชนเป็นพิเศษ

วันที่ องค์กร โดเมนหลอกที่นำมาใช้
หน่วยงานทางทหาร
04/03/59 กองทัพบัลการี mail.armf.bg.message-id8665213.tk
กระทรวงกลาโหม (MOD)
19/02/59 กระทรวงกลาโหมของโปแลนด์ poczta.mon-gov.pl
สื่อมวลชน
24/02/59 Hurriyet posta-hurriyet.com
14/03/59 Anadolu Agency anadolu-ajansi.com
15/03/59 Anadolu Agency mail.anadoluajansi.web.tr
11/05/59 Hurriyet webmail-hurriyet.com
12/06/59 Hurriyet mail-hurriyet.com
14/11/59 Al Jazeera account-aljazeera.net
14/11/59 Al Jazeera ssset-aljazeera.net
15/11/59 Al Jazeera sset-aljazeera.net
16/11/59 Al Jazeera sset-aljazeera.com
21/11/59 Al Jazeera mail-aljazeera.net
พรรคการเมือง
01/21/59 นายกรัฐมนตรีตุรกี e-post.byegm.web.tr
01/12/59 นายกรัฐมนตรีตุรกี mail.byegm.web.tr
01/02/59 นายกรัฐมนตรีตุรกี eposta.basbakanlik.qov.web.tr
01/02/59 รัฐสภาตุรกี e-posta.tbmm.qov.web.tr
01/03/59 พรรคเดโมแครตในสหรัฐฯ myaccount.google.com-securitysettingpage.gq
01/04/59 พรรคเดโมแครตในสหรัฐฯ myaccount.google.com-changepasswordmyaccount-idx8jxcn4ufdmncudd.gq
22/04/59 พรรค CDU ของเยอรมัน webmail-cdu.de
06/05/59 พรรค CDU ของเยอรมัน support-cdu.de
06/06/59 พรรคเดโมแครตในสหรัฐฯ actblues.com
20/10/59 รัฐสภามอนเตเนโกร mail-skupstina.me
ภาคการศึกษา
04/03/59 มหาวิทยาลัย Tartu mail.university-tartu.info
13/09/59 มหาวิทยาลัย Baikal State mail-isea.ru
องค์กรนานาชาติ
03/08/59 World Anti-Doping Agency (WADA) mail.wada-awa.org
08/08/59 World Anti-Doping Agency (WADA) inside.wada-arna.org
08/08/59 Tribunal Arbitral du Sport (TAS) tas-cass.org
การโจมตีของ Pawn Storm ในปี 2559

เทคนิคโจมตีแบบหลอกลวงที่ได้ผลยอดเยี่ยม

ในการโจมตีช่วงแรกนั้น แก๊งนี้ใช้วิธีหลอกลวงเพื่อล่อเอารหัสผ่านโดยออกแบบกระบวนการให้เข้ากับเหตุการณ์ตามตำแหน่งต่างๆ ของโลก เพื่อให้เหยื่อวางใจมากที่สุด ด้วยการออกแบบอีเมล์ที่มีการสะกดและใช้ไวยากรณ์ได้ถูกต้องตามหลักภาษาของเหยื่อ เพื่อใช้หลบระบบกรองจดหมายขยะของเป้าหมาย

นอกจากนี้ ยังเล็งเป้าไปที่บัญชีอีเมล์องค์กรที่เปิดให้ล็อกอินผ่านหน้าเว็บในฐานะที่เป็นจุดอ่อนมากที่สุดในกระบวนการจัดการข้อมูลของธุรกิจ ซึ่งบัญชีเหล่านี้จะให้ข้อมูลลับมากมายที่นำไปใช้ประโยชน์ในการสร้างกระแสสังคมแก่คนหมู่มากได้ด้วย ตัวอย่างเช่น Pawn Storm ได้ขโมยข้อมูลจากบัญชีเว็บเมล์ของ World Anti-Doping Agency (WADA) เมื่อปี 2559 โดยครั้งนั้นแก๊งนี้ใช้ชื่อเล่นว่า “Fancy Bear” เพื่อสร้างกระแสในกลุ่มนักกีฬาชาวรัสเซียที่โดนแบนจากกีฬาโอลิมปิกฤดูร้อน เป็นต้น นอกจากนี้ บัญชีเว็บเมล์ยังอาจถูกนำไปใช้เป็นบันได้ก้าวไปสู่การเจาะระบบขององค์กรเป้าหมายได้มากขึ้นด้วย

Pawn Storm ยังเน้นการแฮ็กบัญชีเว็บเมลสาธารณะของคนที่มีชื่อเสียงหรือมีบทบาทสำคัญ เช่น จาก Yahoo! และ Gmail มาอย่างต่อเนื่อง โดยแก๊งนี้จะคอยส่งอีเมล์หลอกลวงที่ออกแบบเป็นพิเศษเพื่อเจาะจงเป้าหมายไปยังเหยื่อ หลายครั้งต่อสัปดาห์ พยายามปรับเปลี่ยนหลากหลายรูปแบบเรื่อยๆ จนกว่าเหยื่อจะหลงกล ซึ่งทีมนักวิจัยพบร่องรอยอีเมล์หลอกลวงพวกนี้นับพันรายการตั้งแต่ช่วงต้นปี 2558

การล้วงรหัสผ่านที่นำไปสู่การล้วงความลับจนตับแตก
หลังจากเหยื่อหลงกลเทคนิคการหลอกลวงทางจิตวิทยา ด้วยการคลิกลิงค์อันตราย หรือเปิดไฟล์แนบที่ติดไวรัสแล้ว ผู้โจมตีจะเริ่มขั้นตอนต่อไปด้วยการใช้มัลแวร์อย่างง่ายในการสแกนเครือข่ายเป้าหมายเพื่อหาข้อมูลทั้งลับต่างๆและข้อมูลสำคัญเกี่ยวกับระบบ จากนั้นแก๊ง Pawn Storm นี้จะค่อยๆ เก็บรวบรวมข้อมูลจากระบบของเหยื่ออย่างเงียบๆ ซึ่งอาจใช้เวลานานเป็นปี ซึ่งเมื่อเรียนรู้มากขึ้นเกี่ยวกับเหยื่อ แล้วพบว่าเป็นเหยื่อที่มีมูลค่าในการทำเงินสูงหรือน่าเอามาใช้ประโยชน์ได้มากแล้ว พวกเขาก็จะปล่อยมัลแวร์ก๊อกสองที่ล้วงข้อมูลลึกเข้าไปอีก ซึ่งเหยื่อมูลค่ากลุ่มนี้มักเป็นหน่วยงานขนาดเล็กที่สังกัดองค์กรขนาดใหญ่ที่เป็นเป้าหมายที่แท้จริง

Pawn Storm ใช้ข้อมูลได้นี้ไปใช้ประโยชน์สองรูปแบบ ได้แก่
• ใช้ในการเจาะระบบลึกเข้าไปอีกในเครือข่ายของเป้าหมายที่เกี่ยวข้อง โดยเฉพาะการทำเป็นจุดส่งต่อการโจมตีหรือ Island Hop เช่น ใช้ส่งอีเมล์ที่ปลอมตัวตนออกไปหาเหยื่อภายนอก
• นำข้อมูลอีเมล์ลับมาเผยแพร่ เพื่อสร้างความอับอายหรือทำให้เสื่อมเสียชื่อเสียงในที่สาธารณะ

แล้วเป้าหมายต่อไปของ Pawn Storm คือ?
เรายังมองเห็นแนวโน้มที่แก๊งนี้จะทวีความรุนแรงอย่างต่อเนื่องในปี 2560 โดยทางทีมนักวิจัยของเราต่างพยายามไล่ตามเพื่อค้นหาโดเมนที่แก๊งนี้ใช้ก่อเหตุ โดยเฉพาะโดเมนที่จดขึ้นเพื่อเคลื่อนไหวที่เกี่ยวข้องกับเหตุการณ์ทางการเมืองในฝรั่งเศสและเยอรมัน อย่างองค์กรด้านการเมืองของเยอรมัน Konrad Adenauer Stiftung และแคมเปญหาเสียงของประธานาธิบดีคนใหม่อย่าง Emmanuel Macron ที่ตกเป็นเป้าโจมตีในปีนี้

แก๊ง Pawn Storm ยังคงตกเป็นเป้าความสนใจของสื่ออย่างต่อเนื่อง นับตั้งแต่ข่าวพาดหัวใหญ่ในปี 2559 เกี่ยวกับการโจมตีที่ส่งผลต่อการลงคะแนนเลือกตั้งของสหรัฐฯ ทาง Trend Micro ยังพบแนวโน้มการโจมตีลักษณะเดียวกันนี้ที่จะเกิดขึ้นต่อเนื่อง โดยเฉพาะจากรายงานการคาดการณ์ปี 2560 ของเราที่ระบุว่า การสร้างข่าวลือข่าวลวงเพื่อเป็นกระแสทางไซเบอร์จะเกิดขึ้นมหาศาลจนกลายเป็นเรื่องปกติ นอกจากนี้รายงานยังแสดงให้เห็นถึงการเข้าไปยุ่งเกี่ยวของแก๊งนี้กับการเลือกตั้งทั้งในฝรั่งเศสและเยอรมัน

องค์กรทางการเมืองต่างๆ เช่นเดียวกับองค์กรอื่นๆ ทั่วโลกนั้นควรจัดการด้านความปลอดภัยด้วยสมมติฐานว่าตัวเองโดนเจาะระบบหรือฝังมัลแวร์สืบความลับไปแล้วอยู่ตลอด ตั้งแต่บริเวณห้องรับรองไปจนถึงห้องเซิร์ฟเวอร์ ทุกฝ่ายต้องทำงานร่วมกันเพื่อปกป้องข้อมูลที่เป็นความลับจากแฮ็กเกอร์ทั้งหลายไม่ว่าจะเป็น Pawn Storm, แฮ็กเกอร์ที่เป็นนักเคลื่อนไหวทางการเมือง, กลุ่มอาชญากรไซเบอร์ หรือแม้แต่ภัยที่เกิดจากคนภายในองค์กรเอง การปล่อยให้ข้อมูลที่เป็นความลับ และทรัพย์สินทางปัญญาหลุดรอดไปอยู่ในมือผู้ไม่หวังดี มักมีจุดจบที่ไม่สวยไม่ว่าจะเป็นองค์กรใดๆ

สำหรับข้อมูลอื่นๆ ที่เกี่ยวข้องกับ Pawn Storm สามารถเข้าเยี่ยมชมได้ที่ Research Hub https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-pawn-storm-fast-facts ของ Trend Micro ซึ่งคุณสามารถค้นหางานวิจัยและข้อมูลที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ในช่วงสามปีที่ผ่านมาได้ด้วย