กลุ่มจารกรรมข้อมูลทางไซเบอร์ แพลทินัม (PLATINUM) กลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย…
highlight
- นักวิจัยของแคสเปอร์สกี ได้เปิดเผยถึงปฏิบัติการจารกรรมทางไซเบอร์ที่มีความซับซ้อนสูงซึ่งมีเป้าหมายในการโจรกรรมข้อมูลของหน่วยงานทางการทูต รัฐบาล และการทหารในเอเชียตะวันออกเฉียงใต้ ปฏิบัติการนี้ดำเนินมาอย่างต่อเนื่องเกือบ 6 ปี และได้เชื่อมโยงเข้ากับการโจมตีซึ่งตรวจพบในภูมิภาคเมื่อเร็ว ๆ นี้ การตรวจสอบเพิ่มเติมกับเครื่องมือและขั้นตอนที่ใช้ในปฏิบัติการทำให้ทีมนักวิจัยพบข้อสรุปว่า ผู้โจมตีเบื้องหลังปฏิบัติการนี้คือกลุ่มแพลทินัม (PLATINUM) กลุ่มโจรกรรมทางไซเบอร์ที่นักวิจัยต่างคิดว่าสาบสูญไปนานแล้ว โดยในปฏิบัติการซึ่งไม่มีใครสังเกตเห็นมาเป็นเวลานานนี้ ทางกลุ่มได้ใช้วิธีการเข้ารหัสข้อมูลด้วยเทคนิคที่เรียกว่า วิทยาการอำพรางข้อมูล (Steganography) ซึ่งจะช่วยปกปิดการปรากฏของข้อมูลใด ๆ ในขั้นตอนการปฏิบัติการ
กลุ่มจารกรรมข้อมูลทางไซเบอร์แพลทินัม (PLATINUM) กลับมาแล้ว
โดยนักวิจัยจากทาง แคสเปอร์สกี ได้ออกมาเปิดเผยวา่ วิทยาการอำพรางข้อมูลคือการทำงานที่มีการถ่ายโอนข้อมูลด้วยการจัดรูปแบบข้อมูล (Format) ที่ถูกซ่อนไว้ ซึ่งจะช่วยปกปิดข้อเท็จจริงที่ว่ามีข้อมูลกำลังถูกส่งออกอยู่ในขณะนี้ ด้วยวิธีการทำงานเช่นนี้ วิทยาการอำพรางข้อมูลจึงแตกต่างจากการเข้ารหัสสัญญาณข้อมูล (Cryptography)
ซึ่งเป็นเพียงการปกปิดข้อมูลเท่านั้น เมื่อใช้วิทยาการอำพรางข้อมูล ผู้จารกรรมข้อมูลจะสามารถแฝงตัวอยู่ในระบบที่ถูกเจาะได้เป็นเวลานานโดยไม่สร้างความน่าสงสัยใด ๆ ซึ่งวิธีนี้เป็นวิธีที่กลุ่มแพลทินัมใช้เพื่อคุกคามหน่วยงานรัฐบาลและองค์กรที่เกี่ยวข้องในเอเชียใต้ และเอเชียตะวันออกเฉียงใต้ ซึ่งเป็นกลุ่มที่ถูกตรวจพบครั้งล่าสุดในปี ค.ศ. 2017
กรณีปฏิบัติการของกลุ่มแพลทินัมที่ได้รับการเปิดเผยเมื่อเร็ว ๆ นี้ก็คือ การตรวจพบคำสั่งของมัลแวร์ถูกฝังอยู่ในรหัส HTML ของเว็บไซต์ โดยปกติปุ่มแท็บ (Tab) และปุ่มเสปซบาร์ (Space bar) บนคีย์บอร์ดจะไม่เปลี่ยนแปลงเมื่อรหัส HTML ถูกใช้บนเว็บเพจ
ดังนั้น ผู้คุกคามจึงเข้ารหัสคำสั่งด้วยลำดับการใช้งานของสองปุ่มนี้ ผลลัพธ์ก็คือ การตรวจสอบชุดคำสั่งโจมตีในเครือข่ายแทบจะเป็นเรื่องที่เป็นไปไม่ได้เลย เนื่องจากมัลแวร์จะปรากฏเพียงในระดับการเข้าถึงเว็บไซต์ที่ต้องสงสัยเท่านั้น ซึ่งแทบจะไม่สามารถสังเกตเห็นได้เลยในเครือข่ายสัญญาณโดยรวม
โดยในการตรวจหามัลแวร์นี้ ทีมนักวิจัยต้องตรวจสอบโปรแกรมต่าง ๆ ที่มีความสามารถในการอัพโหลดไฟล์ข้อมูลเข้าสู่อุปกรณ์ได้ ซึ่งในจำนวนนั้น ผู้เชี่ยวชาญสังเกตพบว่ามีหนึ่งโปรแกรมที่ทำงานผิดปกติ ยกตัวอย่างเช่น โปรแกรมนี้จะเข้าสู่ Dropbox ซึ่งเป็นบริการคลาวด์สาธารณะเพื่อทำการบริหารจัดการข้อมูล
และถูกตั้งค่าให้ทำงานในบางช่วงเวลาเท่านั้น หลังจากนั้น ทีมนักวิจัยจึงตระหนักได้ว่า มันทำเช่นนี้เพื่อปกปิดกิจกรรมของมัลแวร์ท่ามกลางขั้นตอนการทำงานต่าง ๆ ในช่วงเวลาทำงานปกติ ซึ่งในช่วงเวลาทำงานปกตินั้น พฤติกรรมการทำงานของมันจะไม่ก่อให้เกิดความน่าสงสัยใดๆ เลย
ซึ่งในความเป็นจริงนั้น ผู้ที่ใช้งานดาวน์โหลดกำลังทำให้ข้อมูลรั่วไหล ทั้งยังอัพโหลดข้อมูล และไฟล์ไปมากับอุปกรณ์ที่ติดมัลแวร์อยู่โดยไม่รู้ตัว
อเล็กซีย์ ชูลมิน นักวิจัยด้านความปลอดภัยของแคสเปอร์สกี กล่าวว่า นับตั้งแต่รับรู้ถึงการดำรงอยู่ของกลุ่มแพลทินัม ปฏิบัติการของกลุ่มล้วนมีความซับซ้อนและคิดค้นรูปแบบมาเป็นอย่างดี ซึ่งมัลแวร์ที่ใช้ในการโจมตีนี้ก็ไม่ใช่ข้อยกเว้น นอกเหนือจากวิทยาการอำพรางข้อมูล มันยังมีฟีเจอร์การทำงานอื่น ๆ ที่ช่วยให้มันสามารถโลดแล่น
และทำงานรอดพ้นการตรวจจับได้เป็นเวลานาน ยกตัวอย่างเช่น มันสามารถ่ายโอนคำสั่ง มิใช่เพียงจากศูนย์บัญชาการเท่านั้น แต่จากเครื่องที่ติดมัลแวร์เครื่องหนึ่งไปสู่อีกเครื่องหนึ่งได้ ด้วยวิธีการนี้ มันจึงสามารถเข้าถึงอุปกรณ์ต่าง ๆ ที่เป็นส่วนหนึ่งในโครงสร้างพื้นฐานของอุปกรณ์ที่ติดมัลแวร์ซึ่งไม่ได้เชื่อมต่อกับอินเตอร์เน็ตได้ เมื่อพิจารณาทั้งหมดนี้
แล้ว การค้นพบผู้คุกคามอย่างแพลทินัมที่ใช้วิทยาการอำพรางข้อมูล ถือเป็นสัญญาณเตือนว่า การคุกคามด้วยวิทยาการขั้นสูงที่แฝงตัวอยู่ได้นานกำลังเพิ่มระดับความซับซ้อนของกระบวนการทำงานเพื่อให้รอดพ้นการตรวจจับของเรดาร์ โดยผู้นำเสนอระบบความปลอดภัยต้องตระหนักสิ่งนี้ไว้เสมอในการพัฒนาโซลูชั่นด้านความปลอดภัย
ดูวิธีการเทคนิคการอำพรางข้อมูลอันซับซ้อน ของ กลุ่มจารกรรมข้อมูลทางไซเบอร์ แพลทินัม (PLATINUM) คลิก
ส่วนขยาย * บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ ** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว)
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่
