Clear
Lead Graphic Papers

ข่าวสั้น

เปิดหมวกกลุ่มแฮกเกอร์ Whitefly ผู้อยู่เบื้องหลังการเจาะระบบขโมยข้อมูลผู้ป่วยจาก SingHealth ประเทศสิงคโปร์

เมื่อเดือนกรกฎาคม 2561 หน่วยงาน SingHealth ของประเทศสิงคโปร์ ซึ่งเป็นหน่วยงานด้านสาธารณสุขที่ใหญ่ที่สุดในประเทศ ได้ถูกผู้ประสงค์ร้ายเจาะระบบขโมยข้อมูลผู้ป่วยออกไปกว่า 1.5 ล้านรายการ ทางบริษัท Symantec ได้วิเคราะห์การโจมตีและเปิดเผยรายละเอียดผู้อยู่เบื้องหลัง โดยพบว่ากลุ่มแฮกเกอร์ที่เจาะระบบ SingHealth มีชื่อว่า Whitefly คาดว่าน่าจะเริ่มปฏิบัติการมาตั้งแต่ปี 2560 กลุ่มเป้าหมายหลักของการโจมตีคือหน่วยงานในประเทศสิงคโปร์ (เช่น สาธารณสุข สื่อสารมวลชน โทรคมนาคม) จุดประสงค์เพื่อขโมยข้อมูลที่มีความสำคัญและมีผลกระทบสูง

ช่องทางการโจมตี ในขั้นแรกจะใช้วิธีส่งอีเมลแนบไฟล์มัลแวร์เพื่อหลอกให้เหยื่อเปิด โดยปลอมว่าเป็นไฟล์เอกสารหรือไฟล์รูปภาพที่เกี่ยวข้องกับการรับสมัครงาน หากเหยื่อหลงเชื่อและเปิดไฟล์ดังกล่าว มัลแวร์ที่ชื่อ Vcrodat จะถูกดาวน์โหลดมาติดตั้งลงในเครื่อง ตัวมัลแวร์ Vcrodat จะอยู่ในรูปแบบของไฟล์ DLL ในการรันมัลแวร์จะใช้เทคนิค DLL Hijacking โดยอาศัยหลักการทำงานของ Windows ที่อนุญาตให้โปรแกรมเรียกใช้ไฟล์ DLL ได้โดยระบุเพียงแค่ชื่อไฟล์ ไม่จำเป็นต้องระบุพาธเต็ม ลำดับของการค้นหาไฟล์ DLL ในเครื่อง ตัว Windows จะเริ่มต้นค้นหาไฟล์ DLL จากพาธเดียวกับที่โปรแกรมถูกรันก่อน หากไม่เจอถึงจะไปค้นหาจากพาธอื่นเช่น System32 หรือ Windows ดังนั้นด้วยหลักการนี้ กลุ่มแฮกเกอร์จึงสามารถหลอกให้เครื่องรันมัลแวร์ได้ด้วยการตั้งชื่อไฟล์ DLL ของมัลแวร์ Vcrodat ให้เป็นชื่อไฟล์เดียวกับ DLL ที่นิยมใช้งานในระบบปฏิบัติการ Windows หลังจากที่ตัวมัลแวร์ถูกเรียกขึ้นมาทำงาน จะเก็บรวบรวมข้อมูลของเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อแล้วส่งออกไปยังเครื่องควบคุมและสั่งการ (Command & Control หรือ C&C) เพื่อรอรับคำสั่งและดาวน์โหลดเครื่องมือเจาะระบบอื่นๆ มาติดตั้งลงในเครื่องเหยื่อเพื่อเตรียมทำงานในลำดับถัดไป

หลังจากที่สามารถติดตั้งมัลแวร์ Vcrodat ลงในเครื่องคอมพิวเตอร์ที่อยู่ภายในหน่วยงานได้แล้ว เครื่องดังกล่าวจะถูกใช้เป็นฐานในการรวบรวมข้อมูลเพื่อเจาะระบบเข้าไปยังเครื่องอื่นๆ ในเครือข่าย โดยจะมีการดาวน์โหลดเครื่องมือชื่อ Mimikatz เพื่อมารวบรวมชื่อผู้ใช้และรหัสผ่านสำหรับเข้าใช้งานระบบ หลังจากที่ได้ข้อมูลมา ก็จะนำไปล็อกอินเข้าไปยังเครื่องอื่นๆ ในเครือข่ายต่อไปเรื่อยๆ จนกระทั่งสามารถเข้าถึงเครื่องที่มีข้อมูลสำคัญได้ การโจมตีนี้อาจใช้ระยะเวลานานหลายเดือนเนื่องจากจุดประสงค์หลักคือขโมยข้อมูลออกมาให้ได้เยอะที่สุด ระหว่างนั้นเครื่องที่ถูกควบคุมก็จะมีการรับส่งข้อมูลกับเครื่อง C&C อยู่ตลอดและอาจมีการดาวน์โหลดเครื่องมืออื่นๆ มาติดตั้งเพิ่มเติมเพื่อให้สามารถทำงานได้ซับซ้อนขึ้น ตัวอย่างเช่นเครื่องมือชื่อ Termite ที่ใช้เพื่อควบคุมเครื่องจำนวนมากในเวลาเดียวกัน ทั้งนี้ ทาง Symantec ยังพบว่า ในการโจมตีบางครั้งจะมีการใช้มัลแวร์ชื่อ Nibatad เพื่อขโมยข้อมูลร่วมด้วย

ข้อมูลค่าแฮช MD5 และ SHA2 ของมัลแวร์และเครื่องมือเจาะระบบที่เกี่ยวข้องสามารถดูได้จากที่มา เนื่องจากทาง Symantec แจ้งว่าพบการใช้เครื่องมือนี้โจมตีหน่วยงานในประเทศอื่นนอกจากสิงคโปร์ด้วย ผู้ดูแลระบบอาจพิจารณาตรวจสอบเครื่องคอมพิวเตอร์ในเครือข่ายเพื่อประเมินความเสี่ยง

วันที่: 2019-03-07 | ที่มา: Symantec | Share on Facebook Share on Twitter Share on Google+

Clear