มัลแวร์ทำลายล้างขั้นแอดว้านซ์ตัวใหม่ออกอาละวาด จาก Shamoon สู่ StoneDrill

ยังไม่ทันพักหายใจ ภัยมัลแวร์ Shamoon  ออกอาละวาด

พบ Wiper ตัวใหม่ออกลุยตะวันออกกลางและยุโรปอีกแล้ว

ทีมวิเคราะห์และวิจัยระดับโลกของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) ค้นพบมัลแวร์กลุ่ม wiper ตัวใหม่ที่มีความซับซ้อนร้ายกาจขึ้นกว่าเดิม ชื่อ StoneDrill เช่นเดียวกับ wiper ที่ก็ดังไม่น้อยชื่อ Shamoon ที่ได้ทำลายล้างทุกอย่างบนเครื่องคอมพิวเตอร์ที่เป็นเหยื่อ คราวนี้ StoneDrill มาพร้อมกับความร้ายกาจเหนือชั้นด้วยเทคนิคขั้นแอดว้านซ์ที่สามารถต่อต้านการถูกตรวจจับ รวมทั้งทูลจารกรรมในคลังสรรพาวุธ (arsenal) นอกจากเป้าหมายโจมตีในแถบตะวันออกกลางแล้ว ก็ยังตรวจพบเป้าหมายของ StoneDrill อีกหนึ่งแห่งในยุโรป ที่ wiper ที่ถูกใช้ในตะวันออกกลางมิได้ปรากฎหรือถูกพบมาก่อนหน้านี้

เมื่อปี 2012  Shamoon (หรือรู้จักกันอีกชื่อว่า Disttrack) Wiper สร้างชื่อเสีย(ง) เกรียวกราวด้วยการเจาะเข้าสกัดการทำงานของเครื่องคอมพิวเตอร์ในบริษัทน้ำมันแถบตะวันออกกลางได้ถึง 35,000 เครื่อง การจู่โจมนี้ทิ้งหายนะไว้ให้ 10% ของน้ำมันสำรองของโลกตกอยู่ในความเสี่ยง ถือเป็นกรณีที่โดดเด่นมาก และหลังจากเหตุการณ์นี้ตัว actor ผู้ก่อการก็กลบดานหายเงียบไปเลย ต่อมาช่วงปลายปี 2016 พบว่าได้กลับมาในคราบ Shamoon 2.0 – เป็นเคมเปญชั่วร้ายที่ยิ่งขยายต่อยอดหนักขึ้นกว่าเดิม โดยปรับอัพเดท จากมัลแวร์เวอร์ชั่นปี 2012 อย่างหนักหน่วง

ขณะที่ทำการสำรวจตรวจสอบการจู่โจมเหล่านี้ นักวิจัยของทางแคสเปอร์สกี้ แลป ก็ได้ค้นพบโดยบังเอิญมัลแวร์ที่ถูกสร้างขึ้นมาใน รูปแบบสไตล์ เดียวกันกับ Shamoon 2.0 และในเวลาเดียวกัน ก็มีความแตกต่างออกไปจาก และมีความสลักซับซ้อนมากกว่า Shamoon เราเรียกมันว่า StoneDrill

StoneDrill – มัลแวร์กลุ่ม wiper ที่มีคอนเนคชั่น

ยังไม่เป็นที่รู้แน่ชัดว่า StoneDrill แพร่กระจายตัวอย่างไร แต่เมื่อใดที่เข้ามาอยู่บนเครื่องเหยื่อได้ มันจะฉีดพ่นตัวเองเข้าไป memory process ของบราวเซอร์ที่ยูสเซอร์ชอบใช้ ระหว่าง process จะใช้สองเทคนิคในการต่อต้าน emulation ซึ่งเป็นเทคนิคที่ถือได้ว่าซับซ้อนก้าวหน้า มีหน้าที่หลอกล่อโซลูชั่นความปลอดภัยที่ติดตั้งไว้ จากนั้น มัลแวร์จะเริ่มต้นทำลายดิสก์ไฟล์ของเครื่องนั้นๆ

ตอนนี้ เราสามารถระบุเป้าหมายของ StoneDrill wiper ได้สองแห่งด้วยกัน หนึ่งอยู่ที่ตะวันออกกลาง และอีกหนึ่งอยู่ที่ยุโรป

นอกจาก wiping module ของมัลแวร์ StoneDrill ที่ถูกพบโดยนักวิจัยของแคสเปอร์สกี้ แลปไปแล้วนั้น ต่อมาได้พบ backdoor อีกด้วย และชัดเจนว่าพัฒนาขึ้นโดยผู้เขียนโค้ดเดียวกัน เพื่อวัตถุประสงค์ในการก่อจารกรรม โดยผู้เชี่ยวชาญพบคอมมานด์และคอนโทรลพาเนล 4 ตัวที่ผู้ก่อจารกรรมใช้ในปฏิบัติการจู่โจมเป้าหมายที่ยังไม่ทราบจำนวน โดยอาศัย StoneDrill backdoor นั่นเอง

บางทีสิ่งที่น่าสนใจที่สุดเกี่ยวกับ StoneDrill คือดูเหมือนว่าจะมีคอนเนคชั่นไปยัง wipers และปฏิบัติการจารกรรมที่ถูกจับตาอยู่หลายตัว เมื่อนักวิจัยของแคสเปอร์สกี้ แลปตรวจพบ StoneDrill โดยอาศัยกฎของยารา (Yara-rules) ที่สร้างขึ้นเพื่อระบุตัว samples ที่ยังไม่เคยรู้จักของ Shamoon โดยพวกเขาตระหนักว่าตนกำลังจ้องมองไปที่โค้ดชั่วร้ายที่มีความแปลกพิเศษไม่เหมือนใคร ที่ดูจะได้รับการเขียนขึ้นมาแยกต่างหากจาก Shamoon ถึงแม้ว่าทั้งสองครอบครัว – Shamoon และ StoneDrill – จะไม่ได้ใช้โค้ดเบสที่เหมือนกันก็ตาม แต่รูปแบบวิธีการคิดของคนเขียนโค้ด รวมไปถึง สไตล์การเขียนโปรแกรมนั้นมีความคล้ายคลึงกันอย่างเห็นได้ชัดเจน  และนี่ก็คือเหตุผลที่ว่าทำไมจึงเป็นไปได้ที่จะระบุ StoneDrill ด้วยการใช้กฎยาราที่พัฒนาโดยมี Shamoon เป็นแหล่งข้อมูล  

นอกจากนี้ ยังสังเกตุพบความคล้ายคลึงกับโค้ดของมัลแวร์ที่รู้จักอยู่ก่อนแล้ว  แต่คราวนี้ ไม่ใช่ระหว่าง Shamoon และ StoneDrill อันที่จริง StoneDrill ใช้โค้ดบางส่วนที่เคยพบใน NewsBeef APT หรือที่รู้จักกันในชื่อ Charming Kitten – อีกหนึ่งของเคมเปญชั่วร้ายที่ออกอาละวาดในช่วงสองสามปีที่ผ่านมา

“เรารู้สึกทึ่งเป็นอย่างมากกับความละม้ายคล้ายคลึงระหว่างปฏิบัติการทั้งสามตัวนี้ หรือว่า StoneDrill จะเป็น wiper ที่ถูกใช้งานโดยตัวกระตุ้นของ Shamoon? หรือ StoneDrill และ Shamoon จะเป็นสองกลุ่มที่แตกต่างกัน และมิได้มีความเชื่อมโยงเกี่ยวข้องกัน ที่บังเอิญมีเป้าหมายการโจมตีคือองค์กรของซาอุดิอาระเบียในห้วงเวลาเดียวกัน? หรือ เป็นสองกลุ่มที่แยกกัน แต่มีอุดมการณ์วัตถุประสงค์เดียวกัน? ทฤษฎีหลังสุดนี้มีความเป็นไปได้ไม่น้อยทีเดียว: เมื่อมาพิจารณาที่ตัวมัลแวร์ พอจะสรุปสิ่งที่พบได้ว่า Shamoon ฝังเซ็คชั่นภาษาอารบิก-เยเมนเอาไว้ ส่วน StoneDrill ฝังภาษาเปอร์เซียนเป็นส่วนใหญ่ นักวิเคราะห์ภูมิศาสตร์การเมืองคงจะไม่ลังเลที่จะระบุว่าอิหร่านและเยเมนเป็นผู้เล่นในความขัดแย้งอิหร่าน-ซาอุดิอาระเบีย และเหยื่อส่วนใหญ่พบในซาอุดิอาระเบีย แต่อย่างไรก็ตาม เราก็มิได้ตัดความเป็นไปได้ว่าทั้งหมดนี้อาจเป็นกลลวงก็ได้” โมฮาหมัด อะมิน ฮาสบีนี นักวิจัยระบบความปลอดภัยอาวุโส ทีมวิเคราะห์และวิจัยระดับโลก (Global Research and Analysis Team – GReAT) แคสเปอร์สกี้ แลป กล่าวให้ความเห็น

ผลิตภัณฑ์จากแคสเปอร์สกี้ แลป ทำการตรวจจับและป้องกันมัลแวร์ที่เกี่ยวโยงกับ Shamoon, StoneDrill และ NewsBeef เป็นผลสำเร็จ

เพื่อให้การป้องกันองค์กรให้พ้นจากภัยการจู่โจม ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลปได้ให้คำแนะนำดังต่อไปนี้:

• ทำการประเมินระบบความปลอดภัยของเน็ตเวิร์คที่ทำหน้าที่ควบคุม (เช่น การตรวจสอบระบบความปลอดภัย, การทดสอบการเจาะเข้าระบบ, การวิเคราะห์ช่องโหว่) เพื่อระบุหาและอุดรูรั่วช่องโหว่ต่างๆ พิจารณาสอบทานนโยบายความปลอดภัยของเวนเดอร์และผู้ร่วมค้าภายนอก กรณีที่มีแอคเซสเข้ามายังเน็ตเวิร์กได้

• ใช้ข้อมูลเชิงวิเคราะห์จากแหล่งที่น่าเชื่อถือ: ข้อมูลเชิงวิเคราะห์จากแหล่งที่น่าเชื่อถือ มีชื่อเสียงของเวนเดอร์ภายนอกองค์กรนั้นจะช่วยให้คาดการณ์การเข้าจู่โจมในภายหน้าได้ดีขึ้น  ทั้งนี้ โครงสร้างอุตสาหกรรมขององค์กรอาจตกเป็นเป้าหมายเมอื่ใดก็ได้  ทีมงานรับมือเหตุด่วนเหตุร้ายต้องพร้อม เช่น ทีม ICS CERT ของแคสเปอร์สกี้ แลป ให้บริการข้อมูลลึกเชิงวิเคราะห์ของอุตสาหกรรมต่างๆได้ โดยไม่คิดค่าใช้จ่าย

• ฝึกอบรมพนักงาน ใส่ใจเป็นพิเศษต่อพนักงานกลุ่มปฏิบัติการและวิศวกรรม และเพิ่มเติมความรู้เกี่ยวกับภัยคุกคามการจู่โจมต่างๆ

• จัดการป้องกันทั้งภายนอกและภายในในส่วนบริเวณที่เกี่ยวข้องเชื่อมโยง นโยบายด้านความปลอดภัยที่ถูกต้องเหมาะสมจะต้องเน้นให้ความสำคัญต่อการตรวจจับการบุกรุกคุกคามต่อระบบ และการรับมือสถานการณ์เพื่อสกัดกั้นก่อนที่เจาะเข้ามาจารกรรม เข้าถึงสิ่งที่มีความสำคัญยิ่งขององค์กรไปได้

• ประเมินมาตรการการป้องกันขั้นแอดว้านซ์: รวมทั้งทำการตรวจสอบความสมบูรณ์พร้อมของคอนโทรลเลอร์ และการเฝ้าระวังเน็ตเวิร์ค เพื่อเพิ่มอัตราความปลอดภัยโดยรวม และลดโอกาสที่จะถูกเจาะเข้าระบบมาได้  แม้ว่าจะไม่สามารถปรับแก้ ลบออก หรืออุดรูรั่วให้บางโหนดที่มีความเสี่ยงอยู่แล้วเป็นปกติก็ตาม

ข้อมูลเพิ่มเติม

• ศึกษาเพิ่มเติมเกี่ยวกับ Shamoon 2.0 และ StoneDrill ได้ที่บล็อกโพสต์  Securelist.com

https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill

• หากต้องการอ่านเพิ่มเกี่ยวกับการโจมตีของ Shamoon ที่ตรวจพบก่อนหน้านี้

https://securelist.com/?s=shamoon

รายงานข้อมูลเชิงวิเคราะห์ Shamoon, StoneDrill และ NewsBeef มีบริการสำหรับผู้ทีสมัครเป็นสมาชิกเพื่อรับรายงาน Kaspersky Lab’s Private Intelligence Reports ที่จัดส่งให้คุณโดยเฉพาะ จากแคสเปอร์สกี้ แลป โปรดติดต่อ: intelreports@kaspersky.com

###

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com