กลุ่มแฮกเกอร์ UAT-7290 บุกเจาะระบบโทรคมนาคมด้วยมัลแวร์ Linux

 

ทีมนักวิจัยจาก Cisco Talos เพิ่งเปิดโปงพฤติกรรมของกลุ่มแฮกเกอร์สายจารกรรม ข้อมูลที่มีชื่อว่า UAT-7290 (ซึ่งมีความเชื่อมโยงกับจีน) โดยกลุ่มนี้ไม่ได้มาเล่นๆ เพราะเน้นเป้าหมายไปที่องค์กรระดับโครงสร้างพื้นฐานใน เอเชียใต้ และ ยุโรปตะวันออกเฉียงใต้ มาตั้งแต่ปี 2022 แล้ว

พวกเขาทำอะไรบ้าง?

กลุ่ม UAT-7290 มีความแสบตรงที่ "ทำการบ้านหนักมาก" ก่อนจะลงมือ พวกเขาจะทำการสอดแนมทางเทคนิคอย่างละเอียดเพื่อหาจุดอ่อน แล้วค่อยส่งมัลแวร์ตระกูลร้ายกาจเข้าไปฝังตัว โดยมีเป้าหมายหลัก 2 อย่างคือ

1. จารกรรมข้อมูล: แอบขโมยความลับองค์กรแบบเงียบเชียบ
2. สร้างเครือข่าย ORB (Operational Relay Box): คือการยึดอุปกรณ์ในเน็ตเวิร์กเพื่อใช้เป็น "ทางผ่าน" ให้กลุ่มแฮกเกอร์จีนกลุ่มอื่นๆ ใช้โจมตีต่อไปได้อีก (เรียกได้ว่าเป็นทั้งโจรและคนเปิดประตูบ้านให้โจรคนอื่นด้วย)

อาวุธลับที่ใช้ (ชุดมัลแวร์บน Linux)

รอบนี้เขาเน้นเจาะระบบ Linux เป็นหลัก โดยมีตัวเด็ดๆ ดังนี้

• RushDrop: ตัวเปิดเกม ทำหน้าที่เป็น Dropper เพื่อเริ่มกระบวนการติดเชื้อ
• DriveSwitch: มัลแวร์ตัวรองที่คอยสั่งรันคำสั่งอันตราย
• SilentRaid (หรือ MystRodx): ตัวแสบสุด เป็นตัวที่ใช้ควบคุมเครื่องระยะไกล (Remote Shell), ส่งต่อพอร์ต (Port Forwarding) และจัดการไฟล์ในเครื่องเราได้เบ็ดเสร็จ

วิธีการโจมตี

แฮกเกอร์กลุ่มนี้ฉลาดเลือก เขาจะไม่เสียเวลาเขียนโค้ดเองทั้งหมด แต่จะหยิบเอา ช่องโหว่ที่เพิ่งประกาศ (One-day vulnerabilities) ในอุปกรณ์เครือข่ายยอดนิยมมาใช้ หรือไม่ก็ใช้วิธี Brute Force SSH (เดารหัสผ่าน) เพื่อบุกรุกเข้าไปในอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง

ข่าวนี้เตือนให้รู้ว่า อุปกรณ์เน็ตเวิร์กที่เชื่อมต่อภายนอก (Edge Devices) ที่ปราการด่านแรกที่สำคัญที่สุด การแัปเดตแพตช์ความปลอดภัยทันทีที่มีการประกาศช่องโหว่ และการใช้รหัสผ่านที่ซับซ้อนร่วมกับการยืนยันตัวตนหลายชั้น (MFA) ไม่ใช่เรื่องไกลตัวอีกต่อไป

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก