ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ออกประกาศเตือนหน่วยงานที่ดูแลด้านไอทีในประเทศไทย ประกาศแจ้งเตือนหลังพบปฏิบัติการ GhostSecret ล้วงข้อมูลโครงสร้างพื้นฐานสำคัญและหน่วยงานอื่น ๆ กว่า 17 ประเทศ พบส่วนใหญ่เป็นเครื่องในประเทศไทย และใช้เซิร์ฟเวอร์ไทยเป็นฐานการโจมตีด้วย
โดยบริษัท McAfee บริษัทด้านรักษาความปลอดภัยชื่อดัง ได้เผยแพร่การค้นพบปฏิบัติการโจมตีขโมยข้อมูลด้วยมัลแวร์ ซึ่งมุ่งเป้าไปยังหน่วยงานโครงสร้างพื้นฐานสำคัญ หน่วยงานภาคอุตสาหกรรมบันเทิง ภาคการเงิน ภาคสาธารณสุข ในประเทศต่าง ๆ กว่า 17 ประเทศ รวมถึงประเทศไทย เมื่อ 24 เมษายน 2018 โดยเริ่มพบตั้งแต่เดือนกุมภาพันธ์ 2018 ปฏิบัติการดังกล่าวถูกตั้งชื่อว่า GhostSecret ซึ่งดำเนินการโดยกลุ่มแฮกเกอร์ที่ชื่อ Hidden Cobra และพบการใช้เซิร์ฟเวอร์ในประเทศไทยในการโจมตี ซึ่งหมายเลขไอพีของระบบเป็นกลุ่มเดียวกับที่พบในการโจมตีบริษัท Sony นอกจากนี้ยังพบว่าลักษณะมัลแวร์ที่ใช้โจมตีคล้ายกับมัลแวร์ที่ใช้โจมตีบริษัท Sony ด้วยเช่นกัน
โดยมัลแวร์ดังกล่าวมีความสามารถหลายประการ และอาจทำให้เกิดผลกระทบอย่างรุนแรงต่อระบบคอมพิวเตอร์ที่มีข้อมูลสำคัญ ซึ่งผลกระทบในเชิงต่าง ๆ เช่น
• สูญเสียข้อมูลสำคัญ/ข้อมูลความลับขององค์กร
• สูญเสียความพร้อมใช้งาน ทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้ปกติ
• สูญเสียค่าใช้จ่ายที่เกิดขึ้นจากการกู้คืนระบบ
โดยปฏิบัติการ GhostSecret ได้เริ่มจากโจมตีหน่วยงานภาคการเงินของประเทศตุรกีในเดือนกุมภาพันธ์ 2561 และในช่วงวันที่ 14 ถึง 18 มีนาคม 2561 ได้ขยายขอบเขตการโจมตีไปยังหน่วยงานต่าง ๆ กว่า 17 ประเทศ รวมถึงประเทศไทยที่พบ 45 ระบบติดมัลแวร์ดังกล่าว
ลักษณะมัลแวร์และช่องทางการโจมตีนั้น เมื่อช่วงเดือนกุมภาพันธ์ 2018 พบว่าผู้ประสงค์ร้ายได้ส่งอีเมลแนบไฟล์เอกสาร Microsoft Word ซึ่งมีโค้ดอันตรายฝังอยู่ ส่งไปยังหน่วยงานภาคการเงินในประเทศตุรกี โค้ดอันตรายดังกล่าวโจมตีอาศัยช่องโหว่ของ Adode Flash (หมายเลข CVE 2018-4878) เพื่อเผยแพร่มัลแวร์ที่ชื่อ Bankshot
ช่วงเดือนมีนาคม 2561 ผู้ประสงค์ร้าย ใช้มัลแวร์เพื่อขโมยข้อมูล โดยมัลแวร์บางตัวที่ใช้ในการโจมตี เช่น Bankshot2 มีลักษณะคล้ายกับ Bankshot ที่ใช้โจมตีเดือนกุมภาพันธ์ และบางตัวเหมือนกับมัลแวร์สายพันธุ์ Destover ที่ใช้ในการโจมตีบริษัท Sony โดยมัลแวร์ Bankshot2 มีความสามารถและพฤติกรรม คือ
• ขโมยข้อมูลในเครื่องและส่งไปยังเครื่องเซิร์ฟเวอร์โดยอัตโนมัติ
• ติดต่อเครื่องเซิร์ฟเวอร์ผ่าน พอร์ต 443
• ติดต่อเครื่องเซิร์ฟเวอร์โดยใช้โปรโตคอลที่ผู้ประสงค์ร้ายสร้างเอง
• ลบไฟล์ต่าง ๆ ในเครื่อง
• ติดตั้ง Service อื่น ๆ ในเครื่อง
• เรียกดูรายการ Process ที่ทำงานในเครื่อง
วิธีรับมือและแก้ไข
• เบื้องต้นอาจพิจารณาบล็อกการเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทาง จากข้อมูลในส่วนข้อแนะนำในการตรวจสอบ
• ในกรณีที่พบว่าเครื่องคอมพิวเตอร์ติดมัลแวร์ ควรตัดการเชื่อมต่อจากเครือข่ายทันที เช่น การดึงสายแลนด์ออก
• ใช้เทคนิค Application whitelist เพื่อป้องกันมัลแวร์และโปรแกรมที่ไม่ได้รับการอนุญาตสามารถทำงานบนเครื่องคอมพิวเตอร์ได้ โดยจัดการให้มีเพียงโปรแกรมที่ระบุและตรวจสอบแล้วทำงานบนเครื่องคอมพิวเตอร์ ส่วนโปรแกรมอื่นๆ ซึ่งรวมถึงมัลแวร์จะไม่สามารถทำงานได้
• อัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ โดยช่องโหว่ของโปรแกรมและระบบปฏิบัติการนั้นจะเป็นเป้าหมายในการการโจมตีอยู่บ่อยครั้ง การติดตั้งแเพตช์ในเวอร์ชันล่าสุดจะถือได้ว่าเป็นการลดความเสี่ยงจากการถูกโจมตีได้เป็นอย่างดี
• หมั่นอัปเดตโปรแกรมป้องกันไวรัส และดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางทางการหรือแหล่งที่น่าเชื่อถือ
• จำกัดสิทธิของผู้ใช้งาน (Permissions) ในการติดตั้งและรันโปรแกรมต่างๆ โดยยึดหลัก “least privilege” สำหรับทุกระบบและทุกบริการ การจำกัดสิทธิ์ดังกล่าวจะเป็นการป้องกันมัลแวร์ในการรัน และการแพร่กระจายในระบบเครือข่ายคอมพิวเตอร์
• หลีกเลี่ยงในเปิด Macro จากไฟล์เอกสารแนบที่มากับอีเมล เนื่องจากอาจมีการเรียกทำงานโค้ดที่ซ่อนตัวอยู่ในไฟล์ดังกล่าว ส่งผลให้ติดมัลแวร์บนเครื่องคอมพิวเตอร์ และก่อให้เกิดความเสียหายได้ กรณีหน่วยงานและองค์กรขนาดใหญ่ ควรบล็อกอีเมลที่มีไฟล์แนบจากแหล่งไม่น่าเชื่อถือ
ซึ่งตอนนี้ไทยเซิร์ตอยู่ในระหว่างการประสานไปยังหน่วยงานที่เกี่ยวข้องเพื่อเข้าถึงข้อมูลในเซิร์ฟเวอร์ที่ใช้ในการโจมตี เพื่อวิเคราะห์ร่วมกับ Mcafee และหน่วยงานอื่นที่เกี่ยวข้อง และรวบรวมรายการผู้ตกเป็นเหยื่อในประเทศไทยเพื่อดำเนินการประสานแจ้งเหตุและให้ความช่วยเหลือต่อไป ทั้งนี้หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารถประสานกับไทยเซิร์ตได้ทางอีเมล [email protected] หรือโทรศัพท์ 0-2123-1212 รายละเอียดเกี่ยวกับปฏิบัติการ GhostSecret สามารถคลิกชมรายละเอียดทั้งหมดได้ทางลิงค์ด้านล่าง
ข้อมูลจาก ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT)