แคสเปอร์สกี้เผย TunnelSnake รูทคิทควบคุมเครือข่ายองค์กรในเอเชียและแอฟริกาอย่างลับๆ

นักวิจัยแคสเปอร์สกี้เปิดโปงปฏิบัติการ TunnelSnake ซึ่งก็คือ APT ตัวแสบที่ออกอาละวาดมาตั้งแต่ปี 2019 และมีเป้าหมายรังควานหน่วยงานการทูตระดับภูมิภาคในแถบเอเชียและแอฟริกา อาศัยรูทคิทที่ไม่เป็นที่รู้จักชื่อ Moriya ซึ่งเป็นมัลแวร์ที่สามารถเข้ายึดระบบปฏิบัติการได้เกือบเบ็ดเสร็จ เปิดทางให้ผู้โจมตีเข้าสกัดการสื่อสารของเน็ตเวิร์กและปกปิดคำสั่งคอมมานด์ที่ส่งไปถึงโฮสต์ที่เป็นเหยื่อได้ด้วย ทำให้ผู้โจมตีแอบควบคุมเครือข่ายขององค์กรเป้าหมายเป็นเวลาหลายเดือน

รูทคิทคือโปรแกรมมุ่งร้าย เป็นกลุ่มซอฟต์แวร์ทูลที่ผู้ร้ายไซเบอร์ใช้ในการแฝงตัวเข้าไปยังเครื่องเหยื่อได้เท่าที่ต้องการ ตรวจจับยาก และหลบเลี่ยงได้อย่างฉกาจ เพราะความสามารถในการแอบแฝงเข้ากับระบบปฏิบัติการได้อย่างแนบเนียน แต่ก็ต้องขอบคุณทางไมโครซอฟท์ที่ตลอดเวลาที่ผ่านมาก็มีมาตรการป้องกันระบบของตนเอง ทำให้การใช้รูทคิทคอมโพเน้นท์เป็นตัวช่วยมีความยากขึ้นทุกที โดยเฉพาะอย่างยิ่งใน kernel space และปัจจุบันมักใช้วินโดวส์รูทคิทเป็นส่วนของแคมเปญ APT ที่มีความสำคัญหรือมูลค่าสูง เช่น TunnelSnake

การสืบสวนลงลึกเกี่ยวกับแคมเปญนี้เริ่มขึ้นเมื่อแคสเปอร์สกี้ได้รับการแจ้งจากโปรดักส์ว่าได้มีการตรวจพบรูทคิทที่มีเอกลักษณ์แปลกต่างออกไปอยู่ภายในเน็ตเวิร์กที่ตกเป็นเป้าหมาย และรูทคิทในชื่อ Moriya มีความสามารถในการหลบหลีก หลบซ่อนได้เก่งฉกาจอันมาจากลักษณะเฉพาะสองประการ ประการแรก มันจะสกัดและส่องดูเน็ตเวิร์กแพ็กเก็จที่ส่งไปมาจาก address space ของ Windows kernel ของระบบปฏิบัติการ ซึ่งจะรันเฉพาะโค้ดสำคัญและวางใจมากที่สุดเท่านั้น หากเมื่อมัลแวร์แทรกเข้าไปในส่วนนี้ได้ ก็จะหยอดแพ็กเก็จที่มีลักษณะเฉพาะตัว ซึ่งส่งมาไว้ก่อนที่จะถูกโปรเซสโดย network stack ของระบบปฏิบัติการ

เมื่อเป็นเช่นนี้ ผู้ร้ายก็สามารถหลบเลี่ยงการตรวจจับของโซลูชั่นเพื่อความปลอดภัยได้ ประการที่สอง รูทคิทนี้ต่างจากแบ็คดอร์อื่นๆ ตรงที่ แทนที่จะรีเควสท์คอมมานด์ผ่านเซิร์ฟเวอร์ กลับจะรับคอมมานด์ตรงจากแพ็กเก็จที่ได้ทำเครื่องหมายเฉพาะซึ่งอยู่ปะปนในเน็ตเวิร์กทราฟฟิกที่มัลแวร์ได้ส่องดูไปแล้ว ทำให้ไม่จำเป็นต้องมีโครงสร้างคอมมานด์และคอนโทรลเอาไว้ตลอดเวลา จึงสามารถที่จะสกัดกั้นการวิเคราะห์ และตรวจจับได้ยากขึ้นอีกด้วย

โดยมากแล้ว Moriya มักถูกใช้ผ่านช่องโหว่บนเว็บเซิร์ฟเวอร์ตามองค์กรที่ตกเป็นเป้า มีอยู่เคสหนึ่ง ผู้บุกรุกแพร่เชื้อใส่เซิร์ฟเวอร์ด้วยเว็บเชลล์ China Chopper ซึ่งเป็นโค้ดที่เปิดทางให้ผู้ร้ายทำรีโมทคอนโทรลเซิร์ฟเวอร์ตัวนั้นได้จากระยะไกล และก็คือช่องทางที่ทำให้รูทคิท Moriya ทำงานบนเซิร์ฟเวอร์ตัวนั้นได้ โดยเข้าถึงผ่านทางเว็บเชลล์นั้นนั่นเอง

นอกจากนั้น ทูลต่างๆ ไม่ว่าจะเป็นแบบปรับแต่งขึ้นมาหรือที่เคยพบว่าถูกใช้งานกับผู้โจมตีที่ใช้ภาษาจีน ก็ถูกนำมาใช้งานควบคู่ไปกับรูทคิท ซึ่งช่วยให้ผู้ร้ายสามารถที่จะสแกนโฮสต์บนโลคอลเน็ตเวิร์ก มองหาเป้าหมายใหม่ แพร่กระจายไฟล์มัลแวร์ต่อไป

เกียมเปาโล เดโดลา นักวิจัยความปลอดภัยระดับอาวุโส ทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ กล่าวว่า “ขณะที่เรายังไม่สามารถที่จะระบุชี้ตัวผู้โจมตีของแคมเปญนี้ได้ แต่ก็พบว่าทั้งเป้าหมายและทูลที่ถูกใช้ใน APT มีความเกี่ยวโยงกับกลุ่มที่ใช้ภาษาจีน ก็มีความเป็นไปได้ว่า ผู้โจมตีที่ใช้ก็น่าที่จะเป็นภาษาจีนด้วยเช่นกัน และเรายังพบ Moriya ในเวอร์ชั่นที่เก่ากว่าครั้งนี้เคยถูกใช้ในการโจมตีตั้งแต่ปี 2018 ด้วย เป็นการโจมตีที่ไม่ได้เชื่อมโยงกับใคร แต่ก็ชี้ถึงการนำผู้โจมตีนี้มาใช้งานตั้งแต่ครั้งนั้น โปรไฟล์ของเป้าหมายของทูลเซ็ตที่พบให้เบาะแสได้ว่าวัตถุประสงค์ของผู้โจมตีในแคมเปญนี้คือเพื่อการจารกรรมแม้ว่าเราจะยังกระเทาะเปลือกออกมาได้เพียงนิดหน่อย และยังไม่ได้เห็นถึงข้อมูลทั้งหมดที่ถูกแอบลักไป”

นายมาร์ค เลชทิก นักวิจัยความปลอดภัยระดับอาวุโส ทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ กล่าวว่า “ขณะที่เราเร่งมาตรการวิธีการป้องกันตัวจากการโจมตีแบบมีเป้าหมาย ทางผู้ก่อภัยคุกคามเองก็ปรับเปลี่ยนกลเม็ดใหม่เพื่อหลบเลี่ยงอยู่เสมอ เราได้พบเห็นแคมเปญที่ปกปิดแอบแฝงมาอย่างมิดชิดมากขึ้นทุกวัน เช่น TunnelSnake ซึ่งผู้โจมตีทำหน้าที่อย่างอดทนซุ่มซ่อนตัวให้พ้นการตรวจจับได้นานตราบเท่าที่จำเป็น และเห็นการลงทุนกับทูลเซ็ตของพวกอาชญากรไซเบอร์ มีศักยภาพมากขึ้นที่จะปรับแต่งให้เข้าสถานการณ์ มีความซับซ้อนและแกะรอยได้ยากยิ่งขึ้นกว่าเดิม ในเวลาเดียวกัน จากการค้นพบของทางฝั่งเรา ก็เห็นได้ว่า แม้ทูลจะซ่อนมาดีอย่างไร เราก็สามารถที่จะตรวจพบจนได้ และสามารถหยุดปฏิบัติการร้ายของเหล่าอาชญากรได้เช่นกัน นี่คือการแข่งขันที่ดำเนินไปอย่างต่อเนื่องระหว่างเวนเดอร์ระบบความปลอดภัยและผู้โจมตี และหากเราต้องการชนะการแข่งขันนี้ เราต้องร่วมมือกันในฐานะที่เป็นไซเบอร์ซีเคียวริตี้คอมมูนิตี้”

อ่านเพิ่มเติมรายงานเกี่ยวกับปฏิบัติการของแคมเปญ TunnelSnake ได้ที่ Securelist

https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/

รายละเอียดเกี่ยวกับตัวระบุชี้จุดที่เป็นช่องโหว่ (Indicators of Compromise) ที่เกี่ยวโยงปฏิบัติการนี้ รวมทั้ง file hashes ท่านสามารถไปที่พอร์ทัล Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/

คำแนะนำจากผู้เชี่ยวชาญของแคสเปอร์สกี้เพื่อป้องกันองค์กร ธุรกิจให้พ้นภัยไซเบอร์อย่างเช่น แคมเปญ APT นี้ มีดังต่อไปนี้:

• ตรวจเช็คสภาพความพร้อมของโครงสร้างไอที และความปลอดภัยขององค์กรอย่างสม่ำเสมอ เพื่อหาและอุดช่องโหว่ จุดอ่อนในระบบ
• ใช้โซลูชั่นสำหรับเอ็นด์พอยต์ซีเคียวริตี้ที่เป็นที่ยอมรับในเสถียรภาพและประสิทธิภาพ เช่น Kaspersky Endpoint Security for Business และต้องหมั่นอัพเดทอยู่เสมอ เพื่ให้ตรวจจับมัลแวร์ประเภทล่าสุด เช่น รูทคิท ตัวนี้ได้ทันท่วงที
• พัฒนาความรู้ สมรรถนะของทีมไซเบอร์ซีเคียวริตี้ที่ดูแลความปลอดภัยไซเบอร์ให้คุณ เพื่อรับมือกับภัยคุกคามแบบมีเป้าหมายเจาะจงตัวล่าสุดได้อย่างมีประสิทธิภาพ ด้วยการเทรนนิ่งออนไลน์ Targeted Malware Reverse Engineering ซึ่งพัฒนาขึ้นโดยทีมผู้เชี่ยวชาญโดยตรงจากแคสเปอร์สกี้

ติดตั้งโซลูชั่น anti-APT และ EDR ซึ่งจะช่วยในการตรวจจับภัยไซเบอร์ ช่วยสืบสวนหาที่มา และช่วยแก้ขสถานการณ์ฉุกเฉินได้ทันการณ์ จัดหาแหล่งข้อมูลวิเคราะห์เชิงลึกของภัยไซเบอร์ล่าสุดให้แก่ทีม SOC ของคุณ และจัดการเทรนนิ่งแบบมืออาชีพที่เหมาะสมเพื่อยกระดับฝีมือและความรู้ของทีม ทั้งหมดนี้ คุณสามารถหาได้ที่ Kaspersky Expert Security Framework