อยู่มาเป็นปี! แฮกเกอร์จีนสุดแสบ แปลงร่าง ArcGIS Server เป็น "ประตูหลัง" แฝงตัวเนียนจนจับไม่ได้

 

บริษัทความปลอดภัยไซเบอร์ชื่อดังอย่าง ReliaQuest ได้ออกมาเปิดเผยรายงานชวนอึ้งว่า พบแคมเปญการโจมตีสุดแยบยลจากกลุ่มแฮกเกอร์ที่มีสายสัมพันธ์กับรัฐบาลจีน โดยกลุ่มนี้มีฉายาว่า Flax Typhoon (หรือที่รู้จักกันในชื่อ Ethereal Panda และ RedJuliett) ได้ทำการเจาะระบบเซิร์ฟเวอร์แผนที่ทางภูมิศาสตร์อย่าง ArcGIS Server และเปลี่ยนมันให้กลายเป็น "ประตูหลัง" (Backdoor) เพื่อเข้าออกระบบได้อย่างอิสระมานานกว่าหนึ่งปี!

ความเหนือชั้นของแฮกเกอร์กลุ่มนี้คือ พวกเขาไม่ได้ใช้มัลแวร์แปลกใหม่อะไรเลย แต่ใช้วิธีที่เรียกว่า "Living-off-the-Land (LotL)" หรือ "ตีเนียนใช้ของเจ้าบ้าน" คือการใช้เครื่องมือหรือฟังก์ชันที่มีอยู่แล้วในระบบมาดัดแปลงเพื่อใช้โจมตี ทำให้ยากต่อการตรวจจับ เพราะดูเผินๆ เหมือนเป็นการทำงานปกติของเซิร์ฟเวอร์

ขั้นตอนการโจมตีสุดแนบเนียน

รายงานระบุว่า แฮกเกอร์กลุ่มนี้เริ่มต้นด้วยการเจาะบัญชีผู้ดูแลระบบ (Administrator) ของ ArcGIS Server ที่เปิดเชื่อมต่อกับอินเทอร์เน็ต จากนั้นก็ได้ทำการดัดแปลงส่วนขยายของซอฟต์แวร์ที่เรียกว่า Java Server Object Extension (SOE) ให้กลายเป็น "เว็บเชลล์" (Web Shell) ซึ่งก็คือประตูหลังที่ทำให้พวกเขาสามารถส่งคำสั่งเข้ามายังเซิร์ฟเวอร์ได้จากระยะไกล

ที่แสบไปกว่านั้นคือ:

1. ล็อคประตูด้วยกุญแจส่วนตัว: พวกเขาได้ใส่รหัสผ่านแบบตายตัว (Hardcoded Key) ไว้ที่เว็บเชลล์นี้ เพื่อให้มีแต่พวกเขาเท่านั้นที่สามารถใช้งานได้ ป้องกันไม่ให้แฮกเกอร์กลุ่มอื่นหรือแม้แต่ผู้ดูแลระบบเองเข้ามาเจอหรือใช้งานประตูหลังนี้ได้
2. ฝังตัวลึกถึงไฟล์ Backup: เพื่อให้คงอยู่ได้อย่างถาวร พวกเขาได้ฝังเว็บเชลล์นี้ลึกลงไปในไฟล์สำรองข้อมูลของระบบ (System Backups) นั่นหมายความว่า ต่อให้มีการกู้คืนระบบ (System Recovery) ทั้งหมด ประตูหลังเจ้าปัญหานี้ก็จะฟื้นคืนชีพกลับมาด้วย!

จากประตูหลัง สู่การยึดครองเครือข่าย

เมื่อมีประตูหลังเป็นของตัวเองแล้ว แฮกเกอร์กลุ่ม Flax Typhoon ก็ได้ใช้มันเพื่อสอดแนมเครือข่ายภายใน จากนั้นได้ทำการติดตั้งซอฟต์แวร์ SoftEther VPN โดยเปลี่ยนชื่อไฟล์เป็น "bridge.exe" แล้วนำไปซ่อนไว้ในโฟลเดอร์ System32 พร้อมกับสร้าง Service ของ Windows ชื่อ "SysBridge" เพื่อให้โปรแกรมนี้ทำงานทุกครั้งที่เซิร์ฟเวอร์รีบูต

เจ้าไฟล์ "bridge.exe" นี้จะสร้างอุโมงค์ VPN ลับๆ ที่เข้ารหัสแบบ HTTPS เชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ ทำให้แฮกเกอร์สามารถเชื่อมต่อเข้ามาในเครือข่ายของเหยื่อได้ราวกับว่าตัวเองเป็นส่วนหนึ่งของเครือข่ายภายใน ช่วยให้สามารถหลบเลี่ยงระบบตรวจจับระดับเครือข่าย และเคลื่อนไหวเจาะไปยังส่วนอื่นๆ ได้สะดวกยิ่งขึ้น

เป้าหมายต่อไปของพวกเขาคือเครื่องคอมพิวเตอร์ของฝ่าย IT เพื่อขโมยข้อมูลประจำตัว (Credentials) และขยายผลการเจาะระบบให้ลึกเข้าไปอีก

เรื่องนี้ถือเป็นอุทาหรณ์ชั้นดีที่แสดงให้เห็นถึงความคิดสร้างสรรค์และความซับซ้อนของเหล่าแฮกเกอร์ในปัจจุบันครับ มันไม่ใช่แค่การมองหาไฟล์แปลกปลอมหรือมัลแวร์อีกต่อไป แต่คือการตระหนักว่า "เครื่องมือปกติที่น่าเชื่อถือ" ก็สามารถถูกดัดแปลงและใช้เป็นอาวุธร้ายแรงเพื่อหันกลับมาทำร้ายเราได้เช่นกันครับ!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก