IT News

เข้าสู่ระบบ

ทำไมการแฮ็ก Windows จึงตำหนิกลุ่มเชื่อมโยงรัสเซีย

Leo Kelion, BBC - Technology, 2 พ.ย. 2559 : ผู้ชม 553

BBC - หัวหน้าของ Microsoft Windows กล่าวหา กลุ่มแฮ็กเกอร์ฉาวโฉ่เชื่อมโยงกับรัสเซีย ได้ใช้ประโยชน์จากข้อบกพร่องของระบบปฏิบัติการที่ยังไม่ได้แก้ไข

Terry Myerson กล่าวว่า Strontium กำลังใช้ประโยชน์จากข้อผิดพลาดเพื่อติดเชื้อเครื่องคอมพิวเตอร์เพื่อเข้าถึงข้อมูลสำคัญ

Strontium ยังเป็นที่รู้จักแกชื่อคือ APT28 และ Fancy Bear ก่อนหน้านี้ถูกกล่าวหาว่าโจมตีเครือข่ายโทรทัศน์ฝรั่งเศสและพรรคเดโมแครต สหรัฐ

Microsoft บอกว่า กำลังทำการแก้ไข และตั้งใจที่จะปล่อยแพทช์แก้ไขในสัปดาห์หน้า

นักวิจัยทางโลกไซเบอร์อีกราย กล่าวว่าการวิเคราะห์กิจกรรมของแฮกเกอร์ก่อนหน้านี้ ชี้ให้เห็นพวกเขาเป็นชาวรัสเซียหรืออย่างน้อยประชาชนของประเทศเพื่อนบ้านที่สามารถพูดรัสเซียและดูเหมือนว่าจะทำในผลประโยชน์ของมอสโกมากกว่าผลประโยชน์ส่วนบุคคล

FireEye บริษัทที่มีลูกค้ารวมถึงกระทรวงกลาโหมสหรัฐ ได้ไปให้ไกลมากโดยบอกว่าการโจมตี “ส่วนใหญ่มีแนวโน้มได้รับการสนับสนุนจากรัฐบาลรัสเซีย”

แต่การเชื่อมโยงไม่เคยได้รับการพิสูจน์อย่างแน่ชัดและเครมลินได้ปฏิเสธซ้ำ ๆ ถึงการมีส่วนร่วม


ทำไมเราได้ยินเกี่ยวกับเรื่องนี้ในตอนนี้?

นี่เป็นเรื่องที่ผิดปกติสำหรับบริษัท เทคโนโลยีขนาดใหญ่ที่จะเผยให้เห็นข้อบกพร่องในผลิตภัณฑ์ซอฟต์แวร์ของพวกเขาก่อนที่จะมีการแก้ไข เพราะมีธงปัญหาเพราะอาชญากรไซเบอร์

อันที่จริง Microsoft ได้วางแผนที่จะอยู่เงียบเกี่ยวกับข้อผิดพลาดนี้จนกว่าจะมีวิธีการแก้ปัญหา

แต่ Google บังคับมือของเขาเมื่อตีพิมพ์รายละเอียดของปัญหาในวันจันทร์

ไมโครซอฟท์รำคาญมาก แต่ Google ตัดสินการเคลื่อนด้วยการพูดว่า “ช่องโหว่นี้เป็นเรื่องสำคัญอย่างยิ่งเพราะเรารู้ว่ามีการใช้ประโยชน์อย่างแข็งขัน"


Microsoft บอกอะไรกับเรา?

Myerson ได้ยืนยันว่าปัญหาเกี่ยวกับไฟล์ระบบ ซึ่ง Windows จะต้องใช้ในการแสดงภาพ

บริษัทบอกว่าลูกค้าที่ใช้รุ่นล่าสุดทั้ง Windows 10 และเว็บเบราเซอร์ Edge ของ Microsoft เองควรจะปลอดภัย แต่ยอมรับว่ายังคงมีความเสี่ยง

แต่ก็กล่าวว่าการโจมตีจะทำงานเฉพาะผู้ใช้ที่มีการติดตั้ง Flash และปลั๊กอิน Adobe’s media รุ่นออกใหม่ได้มีการป้องกันแล้ว
เกี่ยวกับ Strontium เอง Microsoft กล่าวว่าแฮกเกอร์มาด้วยการโจมตีล้ำยุคหลายประเภท ที่เรียกว่าเป็น zero-days มากกว่ากลุ่มติดตามอื่น ๆ ในปีนี้

“Strontium มักจะใช้บัญชีอีเมลที่ถูกบุกรุกจากเหยื่อรายหนึ่งในการส่งอีเมลที่เป็นอันตรายกับเหยื่อรายที่สองและจะติดตามอย่างเสมอต้นเสมอปลายจนไปถึงเป้าหมายเฉพาะเจาะจงด้วยเวลาหลายเดือนจนกว่าพวกเขาจะประสบความสำเร็จในการเจาะเข้าคอมพิวเตอร์ของเหยื่อ” Myerson เขียนในบล๊อก

“เมื่อถึงภายใน Strontium จะเคลื่อนไหวทั่วทั้งเครือข่ายของเหยื่อ ฝังตัวเองอย่างล้ำลึกที่สุดเท่าที่จะรับประกันการเข้าถึงถาวรและขโมยข้อมูลที่สำคัญ”


Strontium เริ่มต้นเจาะเป้าหมายอย่างไร?

เชื่อว่าแฮกเกอร์ได้ใช้ spear phishing - เทคนิคที่เกี่ยวกับการกำหนดเป้าหมายที่เฉพาะเจาะจงด้วยอีเมลและข้อความอื่น ที่พยายามที่จะหลอกพวกเขาเปิดเผยการเข้าสู่ระบบของพวกเขา

ผู้บุกรุกมีชื่อเสียงในการฝังตัวถาวร

พวกเขาได้รับทราบถึงการส่งข้อความซ้ำไปยังบุคคลค่าสูง ถ้าจำเป็นอาจจะนานกว่าหนึ่งปีจนกว่าประสบความสำเร็จ


ใครเป็นเป้าหมาย?

ทั้ง Google และ Microsoft ได้กล่าวว่าผู้ที่ได้รับชุดล่าสุดของอีเมลหลอกล่อ

แต่ Microsoft ได้กล่าวว่า ก่อนหน้านี้เหยื่อทั่วไปของแฮกเกอร์ “มีเป้าหมายหลักเป็นสถาบัน รวมถึงหน่วยงานราชการ, สถาบันการทูตและกองกำลังทหารและสำนักงานในประเทศสมาชิกนาโตและบางประเทศในยุโรปตะวันออก”

“มีเป้าหมายเพิ่มเติมรวมถึงผู้สื่อข่าว ที่ปรึกษาทางการเมือง และองค์กรที่เกี่ยวข้องกับการเคลื่อนไหวทางการเมืองในเอเชียกลาง”




เรารู้อะไรอีกเกี่ยวกับ Strontium?

กลุ่มนี้ได้รับการเรียกว่า Sofacy, Sednit และ Pawn Storm และเชื่อมโยงกับการโจมตีย้อนหลังไปถึง 2007

ดูเหมือนว่ากลุ่มนี้ดำเนินการด้วยเว็บไซต์ของตัวเอง ที่เรียกตัวเองว่า Fancy Bears

ไซต์นี้ได้รับการใช้ปล่อยไฟล์ที่เป็นความลับทางการแพทย์ของนักกีฬาโอลิมปิกของสหรัฐปีก่อนหน้านี้ ซึ่งขโมยมาจาก World Anti-Doping Agency

เว็บไซต์แสดงให้ว่าเห็นกลุ่มนี้เป็นส่วนหนึ่งของการรวมตัวระดับความกว้างของแฮ็คติวิสต์ Anonymous ถึงแม้ว่าจะเป็นความพยายามในทิศทางที่ผิด

หลายเดือนก่อนหน้านี้ บริษัทความปลอดภัยไซเบอร์ CrowdStrike กล่าวหาแฮกเกอร์เจาะเครือข่ายคอมพิวเตอร์พรรคเดโมแครต พรรครัฐบาลสหรัฐ

มีข้อสังเกตว่าพวกเขาอาจจะมีส่วนเกี่ยวข้องกับ GRU หน่วยสืบราชการลับทางทหารของรัสเซีย

“พวกเขามีฝีมือเป็นเลิศ การดำเนินงานการรักษาความปลอดภัยรวดเร็ว และขยายการใช้เทคนิค ‘living-off-the-land’ ช่วยให้พวกเขาหลีกเลี่ยงโซลูชั่นรักษาความปลอดภัยจำนวนมากที่พวกเขาเผชิญได้อย่างง่ายดาย” ที่กล่าวในรายงาน

กิจกรรมอื่น ๆ ที่ตำหนิทีมนี้รวมถึง:



  • การโจมตีสามบล็อกเกอร์ YouTube ที่สัมภาษณ์ประธานาธิบดีโอบามาในเดือนมกราคม 2016

  • เจาะช่องโหว่ที่เกือบทำลาย TV5Monde บริษัทสื่อฝรั่งเศสในเดือนเมษายนปี 2015 เครือข่ายโทรทัศน์ของ บริษัทนี้ไม่สามารถออกอากาศได้ และเว็บไซต์ถูกทำให้เสียโฉมด้วยข้อความปรากฏเริ่มแรกที่สร้างขึ้นโดยผู้ที่เรียกว่าผู้เห็นใจรัฐอิสลาม

  • แฮ็คเครือข่ายคอมพิวเตอร์ของ Bundestag ที่ค้นพบในเดือนพฤษภาคมปี 2015 ประมาณ 20,000 บัญชีเป็นของนักการเมืองเยอรมันและเจ้าหน้าที่คิดว่าได้รับอันตราย

  • ความพยายามในปี 2015 ที่จะขโมยข้อมูลจากนักตรวจสอบด้านความปลอดภัยที่ค้นหาเกี่ยวกับเที่ยวบิน MH17 ของมาเลเซียแอร์ไลน์ ที่ถูกยิงตกเหนือน่านฟ้ายูเครนในปีก่อนหน้า

  • มีความพยายามอย่างน้อยสองครั้งที่จะขโมยข้อมูลจากกระทรวงกิจการภายใน จอร์เจีย ประมาณปี 2013 และความพยายามต่อไปมีเป้าหมายเป็นกระทรวงกลาโหมของประเทศนี้




เป็นเพียงคอมพิวเตอร์ที่ใช้ Windows ที่มีความเสี่ยง?

ก่อนหน้านี้ บริษัทรักษาความปลอดภัยไซเบอร์ Trend Micro ได้เชื่อมโยงแฮ็คเกอร์รายนี้กับมัลแวร์ที่ออกแบบมาเพื่อติดเชื้อ jailbroken iPhone และ iPad

Microsoft กล่าวว่า ได้สังเกตกลุ่มนี้ใช้เว็บโดเมนกำหนดเองที่สร้างอันตรายกับ Mac และ Linux คอมพิวเตอร์ในรณรงค์อื่น ๆ


จริงๆ แล้ว ควรตำหนิเครมลินหรือไม่?

ในอดีตที่ผ่านมา Dmitry Peskov โฆษกเครมลิน ได้ปฏิเสธข้อกล่าวหาแฮ็กเกอร์ได้รับการกำกับหรือสนับสนุนจากรัฐบาลหรือหน่วยสืบราชการลับของรัสเซีย

เขาได้กล่าวว่าการอ้าง “ไม่มีมูลความจริง” และ “ไม่ได้มีอะไรที่จับต้องได้”

“ไม่มีหลักฐานชัดเจน” Alan Woodward ที่ปรึกษาด้านการรักษาความปลอดภัยไซเบอร์ ผู้ให้คำปรีกษากับ Europol และได้ทำงานกับ GCHQ ในอดีต กล่าว

“แต่ปริมาณของหลักฐานแวดล้อมสนับสนุนอย่างแน่นอน”

“สิ่งที่ดีที่สุดของหน่วยงานภาครัฐ คือ การพูดดูเหมือนว่า รัฐบาลรัสเซียไม่ได้ทำอะไรเพื่อหยุดพวกเขา ซึ่งชนิดของการพูดได้เล่าเรื่องราวในตัวเอง”

IT A - Z
> zero-day exploit
> iPhone
> Amazon Elastic Compute Cloud (Amazon EC2)
> 4G (fourth-generation wireless)
> Web 2.0
> smartphone
> SAP
> RFID
> Zachman framework
> public cloud
IT News
> พบมัลแวร์ชนิดใหม่ซ่อนอยู่ใน Google Play Store
> Bitcoin จะเป็นสกุลเงินเดียวของโลกในที่สุด ซีอีโอ Twitter บอก
> Google กำลังซื้อ Lytro สตาร์ทอัพกล้อง light-field
> Trump สั่งห้ามซื้อคริปโตเคอร์เรนซี่แห่งชาติใหม่ของเวเนซุเอลา
> YouTube จะเพิ่มเกร็ดข้อมูล Wikipedia ในวิดีโอสมรู้ร่วมคิด
> รายได้ของ Lyft เติบโตมากกว่า Uber เกือบสามเท่า
> British Airways ขยายการทดลองประตูไบโอเมตริกซ์ผ่านขึ้นเครื่อง
> ยุโรปกำลังมี Wi-Fi ฟรีในพื้นที่สาธารณะ ก้าวเล็ก ๆ ที่เตรียมเดินหน้าสู่ 5 G
> ก.ล.ต. สหรัฐ กำลังปราบปราม “การเสนอขาย” คริปโตเคอร์เรนซี่
> ภาพรั่วแสดงสมาร์ทวอทช์ “ดึงคูดใจมวลชน” รุ่นต่อไปของ Fitbit

Loading
Microsoft Access
Access
ไชยวัฒน์ ตระการรัตน์สันติ สั่งซื้อผ่าน PayPal ในราคา 280 บาท
อุ้มผาง เบื้องหลังธรรมชาติ
Umphang
รู้จักอุ้มผางในอีกแง่มุม โดย ประชา แม่จัน
สั่งซื้อผ่าน PayPal ในราคา 90 บาท
สงวนลิขสิทธิ์ (C) widebase