จับตา! แฮกเกอร์อิหร่านปล่อยมัลแวร์ตัวโหด DEEPROOT และ TWOSTROKE ถล่มกลุ่มอุตสาหกรรมการบินและการทหาร

 

นักวิจัยจาก Mandiant (หน่วยงานด้านความปลอดภัยของ Google) ได้ตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลอิหร่าน โดยกลุ่มนี้ถูกตั้งรหัสเรียกขานว่า UNC1549 (หรือรู้จักในชื่อ Nimbus Manticore / Subtle Snail)

เป้าหมายหลักของปฏิบัติการครั้งนี้คือ อุตสาหกรรมการบินและอวกาศ (Aerospace), การบิน (Aviation) และการทหาร (Defense) ในภูมิภาคตะวันออกกลาง โดยเริ่มปฏิบัติการมาตั้งแต่ช่วงปลายปี 2023 ยาวมาจนถึงปี 2025 นี้

กลยุทธ์การโจมตี: แยบยลและซับซ้อน

สิ่งที่น่ากลัวไม่ใช่แค่เป้าหมาย แต่คือ "วิธีการ" ที่พวกเขาใช้เจาะเข้ามาครับ:

1. เจาะผ่านคนใกล้ตัว (Supply Chain Attack): เนื่องจากองค์กรทหารมักมีระบบป้องกันที่แน่นหนา แฮกเกอร์จึงเลือกเจาะผ่าน "บุคคลที่สาม" หรือคู่ค้า (Third-party partners) ที่มีระบบป้องกันอ่อนแอกว่า เมื่อเจาะคู่ค้าได้แล้ว ก็จะใช้ช่องทางเชื่อมต่อที่มีอยู่เพื่อกระโดดข้ามไปโจมตีเป้าหมายหลัก
2. การแหกคุกเสมือน (VDI Breakouts): แฮกเกอร์ขโมยข้อมูลการล็อกอินของระบบ Citrix, VMWare หรือ Azure Virtual Desktop จากคู่ค้า เพื่อเข้าไปฝังตัวและพยายามเจาะทะลุจากระบบเสมือน (Virtual) ออกมาสู่ระบบเครื่องแม่ข่าย (Host System) จริงๆ
3. หลอกล่อด้วยงานปลอม (Job Phishing): ส่งอีเมลหรือข้อความทาง LinkedIn อ้างว่าเป็นประกาศรับสมัครงาน เพื่อหลอกให้เหยื่อ (โดยเฉพาะฝ่าย IT) คลิกลิงก์ดาวน์โหลดมัลแวร์ หรือกรอกรหัสผ่าน

เมื่อ 2 เดือนก่อน กลุ่มนี้เคยถูกเปิดโปงว่าโจมตีบริษัทโทรคมนาคมในยุโรปไปกว่า 11 แห่ง ด้วยการหลอกรับสมัครงานผ่าน LinkedIn มาแล้ว รอบนี้จึงถือเป็นการขยายผลที่น่ากลัวกว่าเดิมครับ

เปิดคลังแสงมัลแวร์ของ UNC1549

เมื่อแฮกเกอร์เข้ามาได้แล้ว พวกเขาไม่ได้มาตัวเปล่า แต่ขนเครื่องมือมาเพียบเพื่อขโมยข้อมูลและฝังตัวระยะยาว:

• MINIBIKE (หรือ SlugResin): มัลแวร์สอดแนม (C++ Backdoor) ที่คอยดักจับการพิมพ์ (Keylogger), ขโมยข้อมูลในคลิปบอร์ด, ดูดรหัสผ่าน Outlook และดึงข้อมูลจากเบราว์เซอร์อย่าง Chrome หรือ Edge
• TWOSTROKE: มัลแวร์ตัวร้ายที่ใช้ควบคุมระบบ โหลดไฟล์อันตรายเพิ่มเติม และฝังตัวอยู่ในเครื่องแบบถอนไม่ออก
• DEEPROOT: มัลแวร์สำหรับระบบ Linux โดยเฉพาะ ใช้สั่งการเครื่องและจัดการไฟล์ต่างๆ
• LIGHTRAIL & GHOSTLINE: เครื่องมือเจาะอุโมงค์ (Tunnelers) เพื่อซ่อนเส้นทางการสื่อสารและขโมยข้อมูลออกไป
• TRUSTTRAP: มัลแวร์สุดแสบที่จะเด้งหน้าต่าง Windows ปลอมๆ ขึ้นมา หลอกให้ผู้ใช้กรอกรหัสผ่าน Microsoft Account

การฝังตัวที่ "ดื้อด้าน" ที่สุด

สิ่งที่ Mandiant เน้นย้ำคือ "ความอดทน" ของแฮกเกอร์กลุ่มนี้ครับ

"กลุ่ม UNC1549 เชี่ยวชาญเรื่องการหลบซ่อน พวกเขาจะฝัง Backdoor (ประตูหลัง) เอาไว้และสั่งให้มันเงียบกริบ (Silent) เป็นเดือนๆ พอเหยื่อรู้ตัวและล้างระบบ คิดว่าสะอาดแล้ว พวกเขาก็จะสั่งเปิดใช้งาน Backdoor ที่ซ่อนไว้อีกครั้งเพื่อกลับมายึดระบบคืน"

เหตุการณ์นี้เป็นเครื่องเตือนใจสำคัญสำหรับองค์กรทุกขนาดครับว่า "ความปลอดภัยของคู่ค้า คือความปลอดภัยของเรา" (Supply Chain Security) ต่อให้บ้านเราประตูเหล็กหนาแค่ไหน แต่ถ้าเราให้กุญแจคนสวนไว้ แล้วคนสวนทำกุญแจหาย โจรก็เข้าบ้านเราได้อยู่ดีครับ

 #ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก