ขอบคุณภาพประกอบจาก : thehackernews.com
บริษัท Group-BI องค์กรเชี่ยวชาญด้านการสืบสวนและป้องกันอาชญากรรมทางไซเบอร์ที่มีสำนักงานใหญ่ตั้งอยู่ในสิงคโปร์ ระบุ พบมัลแวร์ที่ใช้เพื่อการจารกรรมข้อมูลและขโมยเอกสารลับจากสำนักบริหารรัฐบาลกลางรัสเซียได้จากการตรวจสอบตัวอย่างไวรัสคอมพิวเตอร์ชื่อ Webdav-O ที่ถูกอัพโหลดไปยังเว็บไซต์ VirusTotal เมื่อเดือน พ.ย.62 ซึ่งนางสาว Anastasia Tikhonova และนาย Dmitry Kupin สองนักวิจัยของ Group-BI พบว่าชุดคำสั่งและลักษณะการประมวลผลคำสั่งมีความคล้ายคลึงกับโทรจัน BlueTraveller ที่มีความเชื่อมโยงกลุ่มภัยคุกคามในจีนชื่อ TaskMasters โดย APT (Advanced Persistent Threat คืออาชญากรรมทางคอมพิวเตอร์ประเภทหนึ่ง ที่มีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ โดยส่วนใหญ่มักมีรัฐอยู่เบื้องหลังให้การสนับสนุน) ของจีนเป็นหนึ่งในภัยคุกคามที่มีความสามารถสูงในกลุ่มของนักเจาะระบบ ซึ่งส่วนใหญ่มักมุ่งเป้าไปที่หน่วยงานของรัฐ โรงงานอุตสาหกรรม ผู้รับเหมาทางทหาร และสถาบันวิจัย และมีวัตถุประสงค์หลักคือการจารกรรม โดยผู้โจมตีจะพยายามเข้าถึงข้อมูลที่เป็นความลับและแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด
รายงานดังกล่าวของ Group-BI จัดทำขึ้นหลังจากที่ Solar JSOC ศูนย์ตอบสนองต่อเหตุการณ์ความปลอดภัยไซเบอร์ในรัสเซีย และบริษัท SentinelOne ที่ให้บริการด้านการรักษาความปลอดภัยทางไซเบอร์ของสหรัฐฯ เปิดเผยข้อมูลการโจมตีของมัลแวร์ Mail-O เพื่อเข้าถึงบริการคลาวด์ Mail.ru ของสำนักบริหารรัฐบาลกลางรัสเซีย เมื่อ พ.ค.63 โดย SentinelOne พยายามหาความเชื่อมโยงกับมัลแวร์อื่น ๆ ซึ่งพบเครื่องมือ PhantomNet หรือ SManager ที่ถูกใช้โดยกลุ่มนักเจาะระบบชื่อ TA428
ด้าน Solar JSOC ระบุว่า เป้าหมายหลักของนักเจาะระบบ คือ การปรับแต่งค่าโครงสร้างพื้นฐานด้านไอทีและขโมยข้อมูลที่เป็นความลับ ซึ่งรวมถึงเอกสารและอีเมลของผู้บริหารที่สำคัญของรัฐบาลกลาง โดยอาชญากรไซเบอร์มีความเชี่ยวชาญเครื่องมือปกป้องข้อมูลที่ติดตั้งในหน่วยงานของรัฐ จึงสามารถกำหนดสิทธิ์ได้รับความลับในระดับสูงผ่านการใช้เครื่องมือหรือมัลแวร์ที่ไม่สามารถตรวจจับได้ นอกจากนี้ จากการตรวจสอบชุดเครื่องมือของ TA428 เพิ่มเติม พบว่า BlueTraveller และมัลแวร์ชนิดใหม่ที่ชื่อ Albaniiutas ที่ตรวจพบการคุกคามเมื่อ ธ.ค.63 มีความคล้ายคลึงกันหลายอย่าง ซึ่งหมายความว่า Albaniiutas และ Webdav-O อาจเป็นมัลแวร์อีกรุ่นของมัลแวร์ BlueTraveller ซึ่งการรวมตัวของกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีน อาจอยู่เบื้องหลังการโจมตีแบบกำหนดเป้าหมายต่อหน่วยงานรัฐบาลกลางรัสเซียเมื่อปี 2563
ที่มา : https://thehackernews.com/2021/08/russian-federal-agencies-were-attacked.html
