กรุงเทพฯ--6 มิ.ย.--360 media
จากรายงานฉบับล่าสุดของ Trend Micro เกี่ยวกับแก๊งอาชญากรข้ามชาติ Pawn Storm (ที่มีนิกเนมต่างๆ ไม่ว่าจะเป็น APT28, Fancy Bear, Strontium เป็นต้น) ที่รายงานถึงความเคลื่อนไหวของทีมแฮ็กเกอร์ระดับโลกนี้ ซึ่งฝากผลงานไว้มากมายและยาวนานกว่าที่เราเคยคิด โดยเฉพาะการยกระดับมาทำผลิตภัณฑ์โซลูชั่นสำหรับขายแฮ็กเกอร์รายอื่นด้วย เราพบกิจกรรมของแก๊งนี้มาตั้งแต่ 17 ปีก่อนหน้า ซึ่งเน้นทำตลาดโจมตีกลุ่มหน่วยงานภาครัฐ, ทหาร, สื่อมวลชน, และองค์กรทางการเมืองต่างๆ ทั่วโลก ในรายงานฉบับนี้จะกล่าวถึงการเปลี่ยนกลุ่มเป้าหมายมาเน้นการหลอกลวงหรือสร้างข่าวลวงทางไซเบอร์ในช่วงสองปีที่ผ่านมา แถมมีความเคลื่อนไหวเพิ่มมากขึ้นถึงสี่เท่าภายในปีที่แล้วปีเดียว
ประวัติความเป็นมาของ Pawn Storm
ทีมนักวิจัยของเราได้พบร่องรอยการเคลื่อนไหวของ Pawn Storm มาตั้งแต่ปี 2547 แต่มีรายงานเป็นทางการฉบับแรกที่ตีพิมพ์ออกมาเกี่ยวกับอาชญากรกลุ่มนี้ในปี 2557 ซึ่งตั้งแต่นั้นเป็นต้นมาก็พบการโจมตีองค์กรระดับโลกทั้งหลายที่มักพบว่ามีความเกี่ยวข้องในเชิงต่อต้านหรือเป็นศัตรูทางการเมืองกับรัสเซีย แก๊งนี้ได้โจมตีองค์กรต่างๆ สำเร็จมาแล้วทั่วโลกด้วยกลยุทธ์การหลอกเอารหัสผ่านจากเหยื่อ ที่มีการวางแผนล่วงหน้าไว้อย่างละเอียด จำเพาะ และแยบยล
นอกจากการโจมตีในช่วงการเลือกตั้งของสหรัฐฯ ที่สร้างความฮือฮาพาดหัวสำนักข่าวทุกฉบับมาแล้วนั้น ก็มีองค์กรชื่อดังอีกหลายรายที่ตกเป็นเหยื่อในช่วง 3 ปีที่ผ่านมาอันได้แก่:
มิถุนายน 2557 – โจมตีเว็บไซต์รัฐบาลของโปแลนด์
กันยายน 2557 – โจมตีผู้ผลิตเชื้อเพลิงนิวเคลียร์รายใหญ่ของสหรัฐฯ ด้วยการสร้างเพจล็อกอิน Outlook Web Access หลอกๆ สำหรับพนักงานของบริษัท นอกจากนี้ยังใช้การโจมตีแบบเดียวกันนี้กับหน่วยงานทางการทหารทั้งในสหรัฐฯ และประเทศในโซนยุโรปด้วย
ธันวาคม 2557 – โจมตีบัญชีผู้ใช้ของพนักงานบริษัทหนังสือพิมพ์ยักษ์ใหญ่ในสหรัฐฯ กว่า 55 บัญชี รวมถึงแฮ็กบัญชีผู้ใช้ของตัวแทนการทหารของสหรัฐฯ อีกหลายครั้งภายในเดือนเดียวกัน
มกราคม 2558 – โจมตีบล็อกเกอร์ยูทูปชื่อดังสามราย ด้วยการโจมตีแบบหลอกลวงผ่าน Gmail ซึ่งการโจมตีดังกล่าวเกิดขึ้นเพียงแค่สี่วันหลังจากที่บล็อกเกอร์กลุ่มดังกล่าวได้สัมภาษณ์ประธานาธิบดีสหรัฐฯ บารัก โอบาม่า ที่ไวท์เฮาส์
กุมภาพันธ์ 2558 – ตรวจพบการใช้แอพอันตรายบน iOS เพื่อล้วงความลับ นอกจากนี้ยังมีการโจมตีหน่วยงานของนาโต้ในยูเครนด้วยเพจ OWA หลอกด้วย
เมษายน 2558 – โจมตีสมาชิกนาโต้หลายชาติ รวมไปถึงสถานีโทรทัศน์ฝรั่งเศสอย่าง TV5Monde จนทำให้ทีวีหลายช่องทั่วโลกต้องระงับสัญญาณ
กรกฎาคม 2558 – ถูกค้นพบโดย Trend Micro ว่ามีการใช้ประโยชน์จากช่องโหว่บนจาวาแบบ Zero-day
กรกฎาคม 2558 – ในเดือนเดียวกันนี้ ก็มีแก้ไขโดยรีไดเร็กต์หนึ่งในเซิร์ฟเวอร์ควบคุมสั่งการของแก๊งนี้มาที่ไอพีของ Trend Micro เอง
สิงหาคม 2558 – พบการสืบความลับภายในประเทศตัวเอง โดยเจาะกลุ่มชาวรัสเซียที่ต่อต้านรัฐบาล, สื่อมวลชน, ศิลปิน, ทหาร หรือรวมไปถึงคู่ครองของเจ้าหน้าที่ทางการสหรัฐฯ ด้วย
กันยายน 2558 – ทำเซิร์ฟเวอร์ปลอมที่ทำตัวเลียนแบบเซิร์ฟเวอร์ SFTP (Secure File Transfer Protocol) ของคณะกรรมการความปลอดภัยของฮอลแลนด์ พร้อมทั้งทำเซิร์ฟเวอร์ Outlook Web Access (OWA) ปลอมที่ใช้เล่นงานสมาชิกคณะกรรมการดังกล่าวที่มีส่วนร่วมในการสืบสวนเหตุการณ์ MH17
ตุลาคม 2558 – ทาง Trend Micro ตรวจพบการใช้โค้ดที่ใช้ช่องโหว่บน Adobe Flash แบบ Zero-day เพื่อเจาะกลุ่มเหยื่อที่เป็นกระทรวงการต่างประเทศหลายแห่ง โดยใช้อีเมล์หลอกลวงแบบเจาะจงเป้าหมาย
ในปี 2559 แก๊ง Pawn Storm ก็ยังคงทำการโจมตีทางไซเบอร์อย่างต่อเนื่อง รวมทั้งเริ่มมีการใช้เทคนิคที่หลากหลายมากขึ้นด้วย โดยนอกจากการหลอกลวงเพื่อล้วงความลับและรหัสผ่านจากเหยื่อที่มีมูลค่าสูงมากขึ้นเรื่อยๆ แล้ว ก็ยังมีการสร้างข่าวลวงทางไซเบอร์ด้วย ซึ่งเมื่อพิจารณาจากโดเมนหลอกที่มีการตั้งขึ้นมาแล้ว จะพบว่าแก๊งนี้เจาะกลุ่มเหยื่อที่เป็นพรรคการเมือง และสื่อมวลชนเป็นพิเศษ