แคสเปอร์สกี้ แลป ได้บันทึกการโจมตีกันเองระหว่างอาชญากรไซเบอร์ ซึ่งนับเป็นเรื่องผิดปกติและหายาก กลุ่มจารกรรมไซเบอร์ที่ชื่อว่า “เฮลซิ่ง” (Hellsing) เป็นกลุ่มอาชญากรขนาดเล็กแต่มีเทคนิคขั้นสูง เน้นพุ่งเป้าโจมตีรัฐบาลและหน่วยงานด้านการทูตในทวีปเอเชีย ในปี 2014 กลุ่มเฮลซิ่งได้ถูกโจมตีด้วยวิธีสเปียร์ฟิชชิ่ง จึงตัดสินใจจะโจมตีกลับ ซึ่งแคสเปอร์สกี้ แลป เชื่อว่านี่คือจุดเริ่มต้นของเทรนด์การโจมตีไซเบอร์แบบใหม่ที่เรียกว่า “สงคราม APT”

inf_equestre-v7_map_3

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ได้ค้นพบกิจกรรมครั้งสำคัญนี้ระหว่างการศึกษากลุ่ม “ไนกอน” (Naikon) ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่โจมตีองค์กรในภูมิภาคเอเชียแปซิฟิก ผู้เชี่ยวชาญพบว่าเป้าหมายหนึ่งของไนกอนได้สังเกตเห็นการพยายามโจมตีและแพร่กระจายเชื้อเข้าสู่ระบบโดยวิธีสเปียร์ฟิชชิ่งอีเมลที่มีไฟล์แนบไม่พึงประสงค์

เป้าหมายได้ตรวจสอบความถูกต้องของอีเมลที่ชื่อผู้ส่ง แต่ไม่ได้รับคำตอบที่น่าพอใจ ทั้งนี้เป้าหมายไม่ได้เปิดไฟล์ที่แนบมาด้วย หลังจากนั้นไม่นานเป้าหมายก็ได้ส่งอีเมลนั้นกลับไปยังผู้ส่ง พร้อมด้วยมัลแวร์ที่เป้าหมายได้สร้างขึ้นเอง กิจกรรมนี้เองที่ทำให้แคสเปอร์สกี้ แลป เริ่มต้นสอบสวนเหตุการณ์และค้นพบกลุ่มเฮลซิ่ง

วิธีการตอบโต้การโจมตีนี้ ชี้ให้เห็นว่ากลุ่มเฮลซิ่งต้องการระบุตัวตนของกลุ่มไนกอน และเก็บรวบรวมข้อมูลต่างๆ ที่เกี่ยวข้องด้วย

การวิเคราะห์เจาะลึกโดยผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ยังเปิดเผยร่องรอยการเดินทางของสเปียร์ฟิชชิ่งอีเมลที่มาพร้อมไฟล์แนบไม่พึงประสงค์ ซึ่งออกแบบสำหรับแพร่กระจายมัลแวร์จารกรรมระหว่างองค์กร ถ้าเหยื่อเปิดไฟล์แนบ ระบบคอมพิวเตอร์ก็จะติดเชื้อจากแบ็คดอร์ทันที ซึ่งจะสามารถสั่งการดาวน์โหลด อัพโหลด อัพเดทและลบการติดตั้งไฟล์ได้เอง จากข้อมูลของแคสเปอร์สกี้ แลป พบองค์กรที่เป็นเป้าหมายของกลุ่มเฮลซิ่งจำนวนมากถึง 20 องค์กร

IMG_8740 Jimmy_Vicente

เป้าหมายของเฮลซิ่ง

แคสเปอร์สกี้ แลป ตรวจพบและบล็อกมัลแวร์ของเฮลซิ่งในมาเลเซีย ฟิลิปปินส์ อินเดีย อินโดนีเซีย และสหรัฐอเมริกา โดยเหยื่อการโจมตีส่วนมากอยู่ในมาเลเซียและฟิลิปปินส์ ผู้โจมตีเลือกเฟ้นเหยื่อจากประเภทขององค์กร และเน้นการแพร่กระจายไปยังหน่วยงานรัฐบาลและหน่วยงานด้านการทูต

Vicente001_re

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ แลป กล่าวว่า “การที่กลุ่มเฮลซิ่งพุ่งเป้าการโจมตีไปยังไนกอน ถือเป็นปฏิบัติการแก้แค้นที่น่าสนใจมาก ในอดีต เราเคยเห็นกลุ่ม APT กระทบกระทั่งกันโดยบังเอิญขณะที่ขโมยข้อมูลจากเหยื่อและส่งเมลถึงทุกคน อย่างไรก็ดี เมื่อพิจารณาจากต้นตอและเป้าหมายของการโจมตีแล้ว นี่เป็นตัวอย่างการโจมตีกลุ่ม APT ที่เกิดขึ้นอย่างรอบคอบและตั้งใจ”

จากการวิเคราะห์ของแคสเปอร์สกี้ แลป กลุ่มเฮลซิ่งได้เริ่มปฏิบัติการตั้งแต่ปี 2012 เป็นอย่างน้อยและยังคงปฏิบัติการอยู่

Vicente003_re

การป้องกัน

การป้องกันการโจมตีของเฮลซิ่ง แคสเปอร์สกี้ แลป แนะนำขั้นตอนพื้นฐานเพื่อความปลอดภัยไว้ดังนี้

  • อย่าเปิดไฟล์แนบน่าสงสัยจากคนที่คุณไม่รู้จัก
  • ระมัดระวังแหล่งเก็บรักษาพาสเวิร์ดที่มีไฟล์ SCR หรือไฟล์สั่งการอื่นข้างใน
  • ถ้าไม่แน่ใจไฟล์แนบอันไหน ลองเปิดจากแซนด์บ็อกก่อน
  • ติดตั้งระบบปฏิบัติการที่ทันสมัยและติดตั้งแพทช์ครบ
  • อัพเดทแอพพลิเคชั่นอย่างสม่ำเสมอ เช่น Microsoft Office, Java, Adobe Flash Player and Adobe Reader

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและบล็อกมัลแวร์ทั้งจากเฮลซิ่งและไนกอนได้อย่างครบถ้วน

ข้อมูลเพิ่มเติมเกี่ยวกับเฮลซิ่งและปฏิบัติการแก้แค้น สามารถค้นคว้าเพิ่มเติมได้ที่เว็บไซต์ www.securelist.com