แคสเปอร์สกี้พบความเชื่อมโยงการโจมตี SolarWinds กับแบ็คดอร์ Kazuar

เมื่อวันที่ 13 ธันวาคมที่ผ่านมา ทาง FireEye, Microsoft และ SolarWinds แจ้งข่าวการค้นพบการโจมตีซัพพลายเชนด้วยมัลแวร์ที่ไม่เคยพบมาก่อนชื่อว่า “Sunburst” เป็นปฏิบัติการขนาดใหญ่และมีความซับซ้อนที่เข้าโจมตีลูกค้าของ SolarWinds’ Orion IT โดยผู้เชี่ยวชาญของแคสเปอร์สกี้ตรวจพบความคล้ายคลึงหลายจุดในโค้ดของ Sunburst กับแบ็คดอร์ที่รู้จักอยู่แล้วของ Kazuar ซึ่งเป็นมัลแวร์ที่ยึดเครื่องและใช้งานจากระยะไกล การคันพบในจุดนี้ให้ข้อมูลเชิงลึกหลายประการที่เป็นประโยชน์แก่นักวิจัยในการสืบสวนเกี่ยวกับการโจมตีครั้งนี้ให้กระจ่างแจ้งต่อไป

ทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบสิ่งหนึ่งขณะศึกษาแบ็คดอร์ Sunburst นั่นคือ ฟีเจอร์จำนวนหนึ่งที่ทับซ้อนคาบเกี่ยว (overlap) กับฟีเจอร์ในแบ็คดอร์ที่ถูกพบมาแล้วที่ชื่อ Kazuar ซึ่งใช้ .NET framework เขียนขึ้นมาก่อน ตามที่ Palo Alto ได้รายงานไว้เมื่อปี 2560 และใช้ในการก่อจารกรรมทั่วโลก ความคล้ายคลึงที่พบในโค้ดหลายจุดบ่งชี้ความเชื่อมโยงระหว่าง Kazuar และ Sunburst แม้ว่าจะยังไม่ชัดเจนในเรื่องการทำงานก็ตาม 

ฟีเจอร์ที่มีความเหมือนกันระหว่าง Sunburst และ Kazuar นี้รวมเหยื่อ UID generation algorithm ด้วย ซึ่งเป็นอัลกอริธึ่ม ที่ไม่เคลื่อนไหว และการใช้ต่อยอดของ FNV-1a hash ตามที่ผู้เชี่ยวชาญพบ ชิ้นส่วนของโค้ดเหล่านี้ไม่เหมือนกันทั้งหมด 100% บ่งชี้ว่ามีความเป็นไปได้ที่ Kazuar และ Sunburst มีความเกี่ยวข้องกัน แม้รายละเอียดจะยังไม่ชัดเจน

หลังจากที่มัลแวร์ Sunburst ถูกนำออกมาใช้งานครั้งแรกเมื่อเดือนกุมภาพันธ์ ปี 2563 นั้น Kazuar ก็วิวัฒนาการเปลี่ยนแปลงมาอย่างต่อเนื่องและต่อมาในปีเดียวกันก็พบ variants หลายตัวที่มีความคล้ายคลึงกับหลายส่วนของ Sunburst มากยิ่งขึ้น 

โดยรวม ระหว่างช่วงที่ Kazuar ดำเนินการแปลงกายอยู่นั้น ผู้เชี่ยวชาญก็ได้สังเกตุวิวัฒนาการหลายจุดในฟีเจอร์ และพบความคล้ายคลึงกับ Sunburst ในฟีเจอร์สำคัญ อาจเป็นเพราะ Sunburst ถูกพัฒนาขึ้นโดยกลุ่มเดียวกับกลุ่มที่พัฒนา Kazuar ผู้พัฒนา Sunburst ใช้ Kazuar เป็นแรงส่งไปจุดต่อไป การที่ผู้พัฒนาย้ายทีม หรือทั้งสองกลุ่มอาจใช้มัลแวร์จากแหล่งเดียวกันก็เป็นได้ 

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า ความเกี่ยวข้องเชื่อมโยงที่ระบุพบมิได้ชี้ว่าใครเป็นผู้อยู่เบื้องหลังการโจมตี SolarWinds อย่างไรก็ตาม ก็ได้รับรู้ข้อมูลเชิงลึกเพิ่มมากขึ้นที่เป็นตัวสนับสนุนการทำงานสืบสวนของทีมนักวิจัย เราเชื่อว่าเป็นเรื่องสำคัญที่นักวิจัยทั่วโลกร่วมกันสืบสวนความคล้ายคลึงเหล่านี้ และมุ่งมั่นที่จะสืบค้นเบื้องหลังเกี่ยวกับ Kazuar และที่มาของ Sunburst มัลแวร์ที่ใช้ในการละเมิดกรณี SolarWinds เมื่อพิจารณาจากประสบการณ์ในอดีต เช่น กรณี WannaCry ในช่วงแรกจะมีข้อมูลน้อยมากที่เชื่อมโยงไปยังกลุ่มลาซารัส ต่อมา จึงปรากฎหลักฐานเพิ่มขึ้นจนทำให้ทีมงานของเราและของอีกหลายหน่วยงานสามารถเชื่อมโยงทั้งสองส่น เข้าด้วยกันได้วามมั่นใจ และการทำวิจัยเจาะลึกในเรื่องนี้ถือว่ามีความสำคัญอย่างยิ่งต่อการจับต้นชนปลายเรื่องราวทั้งหมดเข้าด้วยกัน” 

ข้อมูลเพิ่มเติม

  • รายละเอียดทางเทคนิคของความคล้ายคลึงระหว่าง Sunburst และ Kazuar

https://securelist.com/sunburst-backdoor-kazuar/99981/

  • งานค้นคว้าวิจัยของแคสเปอร์สกี้เกี่ยวกับ Sunburst

https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/

  • วิธีการที่แคสเปอร์สกี้ป้องกันลูกค้าให้พ้นจาก Sunburst 

https://securelist.com/how-we-protect-against-sunburst-backdoor/99959/

คำแนะนำจากแคสเปอร์สกี้เพื่อเลี่ยงความเสี่ยงจากการติดเชื้อมัลแวร์ เช่น Sunburst

  • สนับสนุนทีม SOC ของคุณด้วยข้อมูลวิเคราะห์ล่าสุดเกี่ยวกับภัยไซเบอร์ พอร์ทัลของแคสเปอร์สกี้ Kaspersky Threat Intelligence Portal เปิดโอกาสให้บริษัทหน่วยงานองค์กรเข้ามาเรียกดูข้อมูล TI ได้ โดยจะมีข้อมูลการโจมตีไซเบอร์และข้อมูลวิเคราะห์ที่แคสเปอร์สกี้ได้รวบรวมไว้มากกว่า 20 ปี โดยไม่มีค่าใช้จ่าย และสามารถที่ตรวจสอบไฟล์, URLs และ IP addresses https://opentip.kaspersky.com/ 
  • หน่วยงานที่ต้องการดำเนินการสืบสวนกรณีต่างๆ ของตนเอง จะได้รับประโยชน์จาก Kaspersky Threat Attribution Engine เอ็นจินนี้จะทำการจับคู่เทียบโค้ดไม่พึงประสงค์ที่พบกับฐานข้อมูลมัลแวร์ เทียบหาความเหมือนในโค้ด ว่าเคยพบหรือโยงไปยังเคสเปญ APT ที่เคยพบมาก่อน

###

About naruethai

Check Also

ลาซารัสยังไม่หยุด! แคสเปอร์สกี้เผยเหตุการณ์โจมตีสองรายการเชื่อมโยงงานวิจัยวัคซีนสกัดโรคระบาด

ช่วงปลายปี 2020 นักวิจัยของแคสเปอร์สกี้ระบุพบความเคลื่อนไหวของ APT จำนวน 2 รายการที่มีเป้าหมายเป็นงานค้นคว้าวิจัยเกี่ยวกับ COVID-19 หน่วยงานของกระทรวงสาธารณสุข และบริษัทธุรกิจยาและเวชภัณฑ์ ซึ่งทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ประเมินว่าต้องมีความเกี่ยวโยงกับกลุ่มลาซารัส (Lazarus) อันอื้อฉาวอย่างแน่นอน 

จับตาอนาคตยุคดิจิทัลกับการต่อกรภัยคุกคามไซเบอร์

เผลอแป๊บเดียวเราก็อยู่กับความไม่แน่นอนของวิกฤตโควิด-19 มาเกือบครบปีแล้ว ซึ่งทั้งปีที่ผ่านมา เทคโนโลยีดิจิทัลนับว่ามีบทบาทสำคัญในการเสริมประสิทธิภาพการทำงานและสร้างโอกาสทางการตลาดบนฐานวิถีธุรกิจใหม่ผ่านการเชื่อมต่อออนไลน์ แต่ในทางกลับกัน เราก็ไม่อาจหลีกเลี่ยงภัยคุกคามไซเบอร์ที่มุ่งทำลายระบบไอที ข้อมูลขององค์กรและลูกค้าจนส่งผลเสียหายต่อธุรกิจ ดังนั้น การมองหาเทคโนโลยีที่ปรับเปลี่ยนได้คล่องตัวแบบอไจล์ (Agile) จะช่วยให้องค์กรสามารถรับมือรูปแบบการทำงานใหม่ ภัยคุกคามรูปแบบต่าง ๆ รวมถึงความต้องการของลูกค้าที่มาพร้อมความคาดหวังในการคุ้มครองข้อมูลส่วนตัวมากขึ้น