กรุงเทพฯ--4 ก.ค.--แคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลป ประกาศรายงานการวิจัยใหม่ล่าสุดเรื่องการฝังมัลแวร์ในระบบควบคุมระยะไกล (Remote Control System หรือ RCS) และการค้นพบโทรจันโมบายตัวใหม่ในระบบแอนดรอยด์และไอโอเอสที่ไม่เคยมีการค้นพบมาก่อน ซึ่งโมดูลนี้เป็นทูลสปายแวร์ชื่อ “กาลิเลโอ” (Galileo) ที่ถือว่า “ถูกกฎหมาย” พัฒนาโดยบริษัทสัญชาติอิตาเลียน ชื่อ “Hacking Team”
รายงานนี้จัดทำขึ้นโดยแคสเปอร์สกี้ แลป ร่วมกับซิติเซน แลป สำหรับเหยื่อที่ระบุไว้ในรายงานนั้น ประกอบด้วยกลุ่มแอคทิวิสต์ กลุ่มสิทธิมนุษยชน นักข่าวและนักการเมือง
โครงสร้างระบบการควบคุมระยะไกล (RCS)
แคสเปอร์สกี้ แลป ทำการวิจัยเพื่อค้นหาเซิร์ฟเวอร์ควบคุมและสั่งการ (Command and Control Server - C&C) ของโทรจันกาลิเลโอทั่วโลก ในกระบวนการระบุตัวโทรจัน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ใช้ตัวบ่งชี้พิเศษและข้อมูลการเชื่อมโยงจากกลุ่มตัวอย่าง
ในการวิเคราะห์ล่าสุด นักวิจัยสามารถระบุตัว C&C server ของ RCS ได้มากกว่า 320 เซิร์ฟเวอร์ใน 40 กว่าประเทศ เซิร์ฟเวอร์ส่วนใหญ่อยู่ในสหรัฐอเมริกา คาซัคสถาน เอกวาดอร์ สหราชอาณาจักร และแคนาดา และพบที่ประเทศไทย จำนวน 1 เซิร์ฟเวอร์
เซอร์เจย์ โกโลวานอฟ นักวิจัยของแคสเปอร์สกี้ แลป กล่าวว่า “การพบเซิร์ฟเวอร์ในประเทศดังกล่าวไม่ได้หมายความว่าเป็นเซิร์ฟเวอร์ที่ดำเนินการโดยหน่วยงานรัฐของประเทศนั้น แต่อาจหมายถึงการใช้ C&C นั้นเพื่อควบคุมกิจกรรมในประเทศนั้นๆ ซึ่งมีความเสี่ยงน้อยกว่าในด้านกฎหมายข้ามพรมแดนและการบุกยึดเซิร์ฟเวอร์”
การฝังระบบการควบคุมระยะไกล (RCS) ในโมบายดีไวซ์
แม้ว่าจะเคยมีการกล่าวถึงโทรจันของ Hacking Team ในระบบแอนดรอยด์และไอโอเอสมาก่อนหน้านี้แล้ว แต่ก็ยังไม่มีใครเคยระบุตัวหรือตรวจจับการโจมตีของโทรจันนี้ได้ ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ทำการค้นคว้าวิจัยมัลแวร์ RCS นี้มาหลายปี จนกระทั่งเมื่อต้นปี 2014 นี้ จึงสามารถระบุตัวอย่างของโมดูลนี้ได้ นอกจากนี้ ยังพบตัวอย่างอื่นๆ จากการรายงานของ Kaspersky Security Network (KSN) อีกด้วย
ทิศทางการติดเชื้อ: ผู้ดำเนินการอยู่เบื้องหลัง “กาลิเลโอ” นี้ ได้สร้างการฝังตัวแบบพิเศษสำหรับเป้าหมายเฉพาะ เมื่อตัวอย่างมังแวร์พร้อมทำงาน ผู้โจมตีจะส่งมัลแวร์ไปยังโมบายดีไวซ์ของเหยื่อที่เล็งเป้าไว้ เรียกว่า การโจมตีแบบสเปียร์ฟิชชิ่ง (spear phishing) ผ่านโซเชียลเน็ตเวิร์ก หรือช่องโหว่อย่างซีโร่เดย์ รวมถึงการติดเชื้อผ่านการเชื่อมต่อ USB
หนึ่งในการค้นพบสำคัญคือการได้รู้วิธีการแพร่โทรจันกาลิเลโอไปยังไอโฟน ซึ่งจะต้องเป็นเครื่องที่ผ่านการเจลเบรกมาแล้ว แต่เครื่องที่ยังไม่เจลเบรกก็สามารถตกเป็นเหยื่อได้เช่นกัน เพราะผู้โจมตีจะใช้ทูลทำการเจลเบรกไอโฟนผ่านคอมพิวเตอร์ที่ติดเชื้อได้ เพื่อหลีกเลี่ยงภัยร้ายนี้ ผู้เชี่ยวชาญแนะนำว่า ประการแรกห้ามเจลเบรกเครื่อง และประการที่สอง จะต้องอัพเดทเวอร์ชั่นไอโอเอสให้เป็นรุ่นล่าสุดอยู่เสมอ
การสอดส่องตามคำสั่ง: โมบายโมดูลของ RCS ได้รับการออกแบบอย่างพิถีพิถันเพื่อให้การสอดส่องเครื่องได้ตามฟังก์ชั่นที่กำหนด ยกตัวอย่างเช่น การจัดการแบตเตอรี่ของโมบายดีไวซ์ การบันทึกเสียงเมื่อเครื่องเชื่อมต่อเครือข่ายไวไฟ การเปลี่ยนซิมการ์ด หรือการชาร์จอุปกรณ์
โดยทั่วไปแล้ว โทรจัน RCS จะสามารถดำเนินการสอดส่องได้หลายรูปแบบ ทั้งการรายงานสถานที่อยู่ของเหยื่อ การถ่ายรูป การคัดลอกตารางงานจากปฏิทิน การจดทะเบียนซิมการ์ดใหม่ในเครื่องที่ติดเชื้อ และการแทรกแซงสายโทรศัพท์และข้อความ รวมถึงข้อความที่ส่งจากแอพพลิเคชั่นทั้งหลายอย่าง Viber, WhatsApp และ Skype
การตรวจจับ: ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับทูลสปายแวร์ RCS/DaVinci/Galileo ได้ในชื่อต่อไปนี้
- Backdoor.Win32.Korablin
- Backdoor.Win64.Korablin
- Backdoor.Multi.Korablin
- Rootkit.Win32.Korablin
- Rootkit.Win64.Korablin
- Rootkit.OSX.Morcut
- Trojan.OSX.Morcut
- Trojan.Multi.Korablin
- Trojan.Win32.Agent
- Trojan-Dropper.Win32.Korablin
- Trojan-PSW.Win32.Agent
- Trojan-Spy.AndroidOS.Mekir
- Backdoor.AndroidOS.Criag
ข้อมูลเพิ่มเติม
- HackingTeam 2.0: The Story Goes Mobile
http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile