แคสเปอร์สกี้ แลป เผย ‘Crouching Yeti’ ตัวการป่วนภาคอุตสาหกรรม

แคสเปอร์สกี้ แลปเปิดโปงโครงสร้างการปฏิบัติการของกลุ่ม Crouching Yeti หรือรู้จักกันอีกชื่อว่าEnergetic Bearใช้ภาษารัสเซียเป็นกลุ่มที่รวบรวมเซิร์ฟเวอร์ที่มีช่องโหว่ทั่วโลกจากข้อมูลการวิจัย

พบว่า ตั้งแต่ปี2016 เป็นต้นมามีเซิร์ฟเวอร์ในหลายประเทศถูกโจมตี เพื่อใช้เป็นทางผ่านไปยังเป้าหมายอื่นหรือบางครั้งเจาะเข้าเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ภาษารัสเซียเพื่อกระจายมัลแวร์ (watering holes)

Crouching Yeti เป็นกลุ่ม APT (advanced persistent threat)ที่ใช้ภาษารัสเซีย ที่ทางแคสเปอร์สกี้ แลปเฝ้าดูพฤติกรรมมาตั้งแต่ปี 2010 เป็นที่รู้กันดีว่ามีเป้าหมายที่กลุ่มอุตสาหกรรมทั่วโลก โดยเฉพาะเน้นที่ระบบด้านพลังงานมุ่งโจรกรรมข้อมูลมีค่าจากระบบของเหยื่อเทคนิคการโจมตีที่ใช้ คือ watering hole ด้วยการโจมตีเว็บไซต์ที่เป็นที่นิยมมีคนเข้าใช้งานเยอะ จากนั้นกระจายลิ้งก์ที่นำโยงผู้ใช้เว็บไปยังเซิร์ฟเวอร์ของผู้ร้าย

เมื่อเร็วๆ นี้ แคสเปอร์สกี้ แลปได้ค้นพบเซิร์ฟเวอร์จำนวนหนึ่งที่ถูกโจมตีเป็นขององค์กรในรัสเซียสหรัฐอเมริกาตุรกี และประเทศในยุโรปข้อมูลจากนักวิจัยระบุว่ามีการโจมตีช่วงปี 2016 และ 2017 ด้วยจุดประสงค์ต่างกันไป นอกจากโจมตีผ่านเว็บไซต์แล้ว (watering hole) ในบางกรณี จะใช้เป็นทางผ่านไปยังเป้าหมายที่แท้จริงต่อไป

ในการวิเคราะห์เซิร์ฟเวอร์ที่ติดเชื้อนั้น นักวิจัยได้พบว่ามีเว็บไซต์รวมทั้งเซิร์ฟเวอร์ในรัสเซียอเมริกายุโรป และละตินอเมริกา ที่ถูกสแกนด้วยทูลหลายแบบน่าที่จะเพื่อหาเซิร์ฟเวอร์ที่เหมาะจะโฮสต์ทูลเอาไว้ เพื่อพัฒนามาเป็นการโจมตีภายหลัง บางเว็บไซต์ที่ถูกสแกนอาจจะถูกเก็บไว้เป็นตัวเลือกสำหรับใช้เป็น waterhole

ทั้งนี้ ประเภทของเว็บไซต์และเซิร์ฟเวอร์ที่ผู้ร้ายสนใจนั้นมีหลากหลายแบบ นักวิจัยของแคสเปอร์สกี้ แลปพบว่าผู้บุกรุกสแกนเว็บไซต์ประเภทต่างๆ จำนวนมาก เช่น ร้านค้าและบริการออนไลน์หน่วยงานราชการเอ็นจีโอธุรกิจการผลิต เป็น

ผู้เชี่ยวชาญยังพบด้วยว่ากลุ่มนี้ได้ใช้ทูลที่มีอยู่แพร่หลายทั่วไปในการกระทำการอีกด้วย ซึ่งทูลพวกนี้ออกแบบสำหรับการวิเคราะห์เซิร์ฟเวอร์สำหรับค้นหาและจัดเก็บข้อมูล และยังพบไฟล์sshdที่ปรับแต่งให้มีแบคดอร์อีกด้วยซึ่งถูกใช้แทนที่ไฟล์ตั้งต้นและอาจที่จะได้รับสิทธิ์ด้วย ‘master password’

“CrouchingYeti เป็นกลุ่มผู้ร้ายไซเบอร์ที่มีชื่อเสียงร้ายกาจที่ใช้ภาษารัสเซียที่ออกอาละวาดมาหลายปีแล้ว และยังประสบความสำเร็จเรื่อยมาในการเข้าโจมตีเป้าหมายธุรกิจด้านอุตสาหกรรมด้วยเทคนิคการโจมตีแบบwatering hole ที่มักเลือกใช้ และยังค้นพบด้วยว่ากลุ่มนี้เจาะเข้าเซิร์ฟเวอร์

ไม่เพียงแต่เพื่อจะแฝงตัวเข้าไปแพร่กระจายเชื้อมัลแวร์เท่านั้น แต่ยังเพื่อคอยสแกนข้อมูลต่อไปอีกด้วย และใช้ทูลแบบโอเพ่นซอร์สที่ทำให้ตามจับตัวได้ยากขึ้นอีกด้วย”วลาดิเมียร์ แดชเชนโก หัวน้ากลุ่มวิจัยช่องโหว่ (Vulnerability Research Group) ประจำ ICS CERT แคสเปอร์สกี้ แลป

“กิจกรรมของกลุ่มนี้ มีอาทิ สอดส่องลอบเก็บข้อมูลโจรกรรมข้อมูลเพื่อการสอบสิทธิ์ในการเข้าใช้ (authentication data) และสแกนข้อมูลต่างๆ ถูกนำมาใช้เพื่อเปิดฉากการโจมตีต่อไปความหลากหลายของเซิร์ฟเวอร์ที่ติดเชื้อมัลแวร์ และข้อมูลที่ถูกสแกนเป็นตัวบ่งชี้ว่ามีความเป็นไปได้ที่ว่ามีผู้อยู่เบื้องหลังการปฏิบัติการของกลุ่มนี้” วลาดิเมียร์กล่าวเพิ่มเติม

Crouching Yeti

แคสเปอร์สกี้ แลปแนะนำว่าองค์กรต่างๆ ควรที่จะมีกรอบที่ชัดเจนในการป้องกันตนเองจากการคุกคามทางไซเบอร์ ซึ่งประกอบด้วย โซลูชั่นสำหรับความปลอดภัยโดยเฉพาะ ที่ออกแบบเพื่อป้องกันจากการโจมตีแบบตั้งเป้าหมายพร้อมด้วยฟีเจอร์การตรวจจับและรับมือกับการคุกคาม

รวมทั้งบริการคำแนะนำโดยผู้เชี่ยวชาญและข้อมูลจำเพาะที่เกี่ยวข้องแพลตฟอร์มเพื่อต้อต้านการคุกคามแบบตั้งเป้าหมายของแคสเปอร์สกี้ แลปนี้เป็นส่วนหนึ่งของ Kaspersky Threat Management and Defenseสามารถตรวจจับการคุกคามได้ตั้งแต่ระยะเริ่มแรก

ด้วยการวิเคราะห์กิจกรรมที่น่าสงสัยบนเน็ตเวิร์กและ Kaspersky EDR ช่วยเพิ่มขีดความสามารถในการตรวจดูเอนด์พอยนท์การตรวจสอบและการรับมือกับภัยคุกคามแบบออโตเมชั่น สนับสนุนด้วยข้อมูลจำเพาะเกี่ยวกับภัยคุกคามจากทั่วโลกรวมทั้งบริการคำแนะนำจากผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ที่มีความเชี่ยวชาญประสบการณ์เฉพาะทางในการไล่ล่าและจัดการกับภัยไซเบอร์