Operation Blockbuster ปฏิบัติการขจัดการก่อการร้ายและจารกรรมไซเบอร์

ความเคลื่อนไหวครั้งสำคัญในวงการรักษาความปลอดภัย เมื่อแคสเปอร์สกี้ แลป (Kaspersky Lab) ร่วมกับโนเว็ตต้า (Novetta) และพาร์ตเนอร์ในวงการอื่นๆ แถลงถึงความร่วมมือและการมีส่วนร่วมกันใน Operation Blockbuster ซึ่งมีเป้าหมายเพื่อขจัด กิจกรรมก่อการร้ายของลาซารัสกรุ๊ป (Lazarus Group) ซึ่งเป็นกลุ่มวายร้ายที่รับผิดชอบต่อการทำลายล้างข้อมูลครั้งใหญ่ รวมทั้งการก่อจารกรรมไซเบอร์ต่อบริษัทใหญ่ๆ ทั่วโลกหลายบริษัทด้วยกัน เชื่อกันว่าเป็นผู้อยู่เบื้องหลังการจู่โจมโซนี่พิคเจอร์สเอนเตอร์เทนเม้นท์เมื่อปี 2014 และปฏิบัติการ DarkSeoul ที่พุ่งเป้าไปยังสื่อและสถาบันการเงินเมื่อปี 2013

หลังการจู่โจมสร้างความเสียหายให้แก่บริษัทผลิตภาพยนตร์โด่งดัง Sony Pictures Entertainment (SPE) เมื่อปี 2014 ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team หรือ GReAT) ได้เริ่มการสืบสวนวิเคราะห์ตัวอย่างของมัลแวร์ Destover ที่รู้กันว่าเป็นตัวที่ถูกใช้ในการจู่โจม นำไปสู่การวิจัยที่กว้างขวาง และเข้าไปยังคลัสเตอร์ที่เกี่ยวโยงกับการก่อจารกรรมไซเบอร์ และเคมเปญวินาศกรรมไซเบอร์ที่มีเป้าหมายเป็นสถาบันการเงิน สื่อ และธุรกิจอุตสาหกรรมการผลิตก็รวมอยู่ด้วย

ผู้เชี่ยวชาญของบริษัทสามารถจัดกลุ่มรูปแบบการจู่โจมเข้าด้วยกันได้หลายกลุ่ม โดยอิงจากลักษณะเฉพาะตัวของมัลแวร์ ที่แม้จะต่างกลุ่มกันก็ต้องมีส่วนที่เหมือนกัน จึงตัดสินได้ว่าทั้งหมดนี้เป็นมัลแวร์ที่มี แอ็คเตอร์หรือตัวกระตุ้นกิจกรรมภัยไซเบอร์ตัวเดียวกัน ผู้ที่เข้าร่วมปฏิบัติการ Operation Blockbuster ทุกรายต่างก็ยืนยันเช่นเดียวกันจากการวิเคราะห์ของเขาเหล่านั้น

แอ็คเตอร์หรือตัวกระตุ้นการเริ่มการจู่โจม (threat actor) ของลาซารัสกรุ๊ปทำงานมาหลายปีก่อนเกิดเหตุการณ์ SPE และยังทำงานต่อมาอีกหลังจากนั้น แคสเปอร์สกี้ แลปและผู้เข้าร่วมการวิจัยค้นคว้าใน Operation Blockbuster ยืนยันความเชื่อมโยงระหว่างมัลแวร์ที่ใช้ในหลายๆ เคมเปญ เช่น Operation DarkSeoul ที่จู่โจมธนาคารและธุรกิจสื่อในกรุงโซล หรือ Operation Troy ที่พุ่งเป้ามาที่การทหารของเกาหลีใต้ รวมทั้งโซนี่พิคเจอร์ส

ระหว่างการสืบสวนค้นคว้า นักวิจัยของแคสเปอร์สกี้ แลปได้แลกเปลี่ยนการผลการวิจัยเบื้องต้นกับ เอเลี่ยนโวล์ท แลปซึ่งต่อมาภายหลังทั้งสองห้องปฏิบัติการได้รวมพลังกันดำเนินการสืบสวนค้นคว้าด้วยกัน และบริษัทอื่นๆ ก็ทำการสืบสาวเรื่องราวกิจกรรมของลาซารัสกรุ๊ปในเวลาเดียวกัน รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยต่างก็ค้นคว้าวิจัยกันอย่างหนัก หนึ่งในบริษัทเหล่านี้ ได้แก่ โนเว็ตต้าซึ่งได้ริเริ่มการตีพิมพ์เผยแพร่ข้อมูลสำคัญเกี่ยวกับกิจกรรมของลาซารัสกรุ๊ปที่ค้นพบจากการวิจัยโดยละเอียด ซึ่งต่อมา ในฐานะที่เป็นส่วนหนึ่งของ Operation Blockbuster ทั้งโนเว็ตต้า เอเลี่ยนโวล์ท แลป และพาร์ตเนอร์ผู้ร่วมงานอื่นๆ ในวงการ รวมทั้งแคสเปอร์สกี้ แลป ต่างก็เผยแพร่ผลการค้นคว้าที่ได้มาเพื่อให้เป็นประโยชน์ต่อสาธารณชนทั่วไปเช่นกัน

งมเข็มในกองฟาง

จากการวิเคราะห์ตัวอย่างมัลแวร์เป็นจำนวนมากที่พบในเหตุจู่โจมระบบความปลอดภัยไซเบอร์ต่างๆ และจากการสร้างกฎการตรวจหาแบบพิเศษ ทำให้แคสเปอร์สกี้ แลป เอเลี่ยนโวล์ท และผู้เชี่ยวชาญอื่นๆ ที่เข้าร่วม Operation Blockbuster สามารถระบุการจู่โจมที่มีลาซารัสกรุ๊ปอยู่เบื้องหลังได้

การวิเคราะห์วิธีการที่ตัวแอ็คเตอร์ใช้ทำงานจากตัวอย่างต่างๆ พบว่าล้วนโยงกลับไปยังกลุ่มเดียว โดย เฉพาะอย่างยิ่ง พบด้วยว่าผู้บุกรุกได้นำโค้ด – ยืมบางส่วนมาจากโปรแกรมประสงค์ร้ายอันหนึ่งมาใช้ใหม่ในโปรแกรมอื่นๆ

นอกจากนั้น นักวิจัยสามารถที่จะจับความคล้ายคลึงในลักษณะวิธีการทำงานของผู้บุกรุก ระหว่างการวิเคราะห์สิ่งแปลกปลอมของการจู่โจมแต่ละครั้ง พบว่า droppers – ไฟล์พิเศษที่ใช้ติดตั้งค่าที่ผันแปรที่บรรจุส่วนที่ประสงค์ร้ายที่ต่างออกไป– ทั้งหมดจะเก็บเป็น ZIP ไฟล์เข้ารหัส ซึ่งรหัสสำหรับใช้ในเคมเปญต่างๆ นั้นจะเหมือนกัน และถูก hardcode อยู่ใน dropper มีการติดตั้งการป้องกันรหัสผ่านเพื่อมิให้ระบบทำการถอดและวิเคราะห์ข้อมูลที่เก็บไว้โดยอัตโนมัติ แต่ในความเป็นจริง กลับช่วยให้นักวิจัยระบุกรุ๊ปได้

วิธีการพิเศษที่อาชญากรไซเบอร์พยายามใช้ลบร่องรอยอาชญากรรมของตนออกจากระบบที่ติดเชื้อ รวมทั้งเทคนิคอื่นๆ ที่ใช้หลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์แอนตี้ไวรัสนั้น เปิดช่องทางให้นักวิจัยมีช่องทางเพิ่มขึ้นในการจับกลุ่มการจู่โจมที่มีความเชื่อมโยงกัน ในที่สุด ก็สามารถระบุความเชื่อมโยงของการจู่โจมแบบมีเป้าหมายเหล่านั้นได้ ซึ่งแต่เดิมไม่สามารถระบุผู้อยู่เบื้องหลังได้ว่าแท้จริงแล้วโยงกลับมายังแอ็คเตอร์เดียวนั้นเอง

สภาพภูมิศาสตร์ของปฏิบัติการก่อการร้าย

จากการวิเคราะห์วันที่รวบรวมตัวอย่างมัลแวร์ พบว่าการเก็บตัวอย่างครั้งแรกเริ่มที่สุดอาจจะเป็นตั้งแต่ปี 2009 นับเป็นเวลา 5 ปีก่อนการจู่โจมโซนี่อันโด่งดัง มีตัวอย่างใหม่ๆ เกิดขึ้นมากมายตั้งแต่ปี 2010 จึงจัดได้ว่าลาซารัสกรุ๊ปนี้เป็นแอ็คเตอร์ที่มีความมั่นคง ยืนยงตัวหนึ่งทีเดียว จากเมต้าดาต้าที่ถอดมาจากตัวอย่างที่นำมาวิเคราะห์สืบสวน พบว่าโปรแกรมประสงค์ร้ายส่วนมากที่ลาซารัสกรุ๊ปใช้งานนั้นมักจะถูกเก็บรวบรวมช่วงระหว่างชั่วโมงทำงานในไทม์โซน GMT+8 – GMT+9

“ดังเช่นที่เราได้คาดการณ์ไว้ จำนวนการจู่โจมแบบลบล้างข้อมูล (wiper attacks) นั้นได้ขยายตัวอย่างต่อเนื่อง เพราะมัลแวร์ประเภทนี้ใช้เป็นอาวุธไซเบอร์ที่มีประสิทธิภาพทำลายล้างสูง พลังอำนาจในการล้างคอมพิวเตอร์ได้เป็นพันๆ เครื่องได้เพียงแค่กดปุ่มเดียวนั้น จึงเป็นรางวัลชั้นเยี่ยมสำหรับทีมผู้ร้ายที่คอยหาประโยชน์จากระบบเครือข่าย (Computer Network Exploitation team) ที่มีหน้าที่ในการบิดเบือนข้อมูลและหยุดการทำงานของเอ็นเตอร์ไพร้ซ์ที่เป็นเหยื่อเป้าหมาย มูลค่าในฐานะที่เป็นส่วนหนึ่งของการดำเนินสงครามแบบไฮบริดลูกผสม (hybrid warfare) ที่การจู่โจมแบบล้างข้อมูล จะมาคู่กับการจู่โจมเพื่อชะงักการเคลื่อนไหว (kinetic attacks) คือการทำให้โครงสร้างพื้นฐานของประเทศหนึ่งๆ หยุดชะงักนั้นเป็นการทดลองที่น่าสนใจ และใกล้เคียงความเป็นจริงมากเกินกว่าที่เราจะทำตัวสบายๆ กับเรื่องเหล่านี้ได้ แคสเปอร์สกี้ แลป ร่วมกับพาร์ตเนอร์ในวงการอุตสาหกรรม ล้วนภาคภูมิใจที่สามารถสร้างความคืบหน้าและเจาะเข้าปฏิบัติการของแอ็คเตอร์ก่อการร้ายที่ไร้สำนึกผิดชอบชั่วดี ที่คอยจ้องหาทางใช้เทคนิคที่มีผลทำลายล้างร้ายกาจเช่นนี้ได้” ฮวน เกอร์เรโร่ นักวิจัยความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว

“แอ็คเตอร์นี้มีทักษะที่จำเป็น และมีความมุ่งมั่นในการก่อวินาศกรรมไซเบอร์ วัตถุประสงค์คือการโจรกรรมข้อมูล หรือก่อให้เกิดความสูญเสีย เสียหาย เมื่อผนวกกับการใช้เทคนิคบิดเบือนข้อมูลและล่อลวงในช่วงหลายปีที่ผ่านมา อาชญากรสามารถก่อการร้ายได้เป็นผลสำเร็จอยู่หลายครั้ง ปฏิบัติการ Operation Blockbuster เป็นตัวอย่างของการแบ่งปันข้อมูลทั่ววงการ และความร่วมมือสามารถยกมาตรฐานให้สูงขึ้น และป้องกันแอ็คเตอร์ตัวนี้จากการออกอาละวาดต่อไปภายภาคหน้า” เจมี่ บลาสโค หัวหน้าฝ่ายนักวิทยาศาสตร์ เอเลี่ยนโวล์ท กล่าว

“ทั้งโนเว็ตต้า แคสเปอร์สกี้ แลป และพาร์ตเนอร์อื่นๆ ยังคงความพยายามในการระบุหาวิธีการในการทำลายล้างกลุ่มที่ออกปฏิบัติการจู่โจมไปทั่วโลก รวมทั้งพยายามที่จะขจัด และลดความสามารถในการก่อการร้ายลงโดยผ่าน Operation Blockbuster” อังเดร ลุดวิก ผู้อำนวยการฝ่ายเทคนิคอาวุโส กลุ่มวิจัยและการห้ามการลักลอบ บริษัท โนเว็ตต้า กล่าว “ระดับความลึกของการวิเคราะห์เชิงเทคนิคของ Operation Blockbuster นั้นเป็นสิ่งที่หายากมาก และการแบ่งปันผลการวิจัยค้นคว้ากับพาร์ตเนอร์ในวงการเดียวกันนั้นก็หาได้ยากเช่นกัน ดังนั้น เราทุกคนจึงได้รับประโยชน์ ได้รับความเข้าใจที่แจ่มชัดยิ่งขึ้น ซึ่งยิ่งหายากยิ่งไปกว่า”

• ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยแคสเปอร์สกี้ แลป สามารถอ่านได้ที่ https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed
• ข้อมูลเพิ่มเติมเกี่ยวกับการสืบสวนวิเคราะห์ลาซารัสกรุ๊ป โดยโนเว็ตต้า สามารถอ่านได้ที่ www.OperationBlockbuster.com