การสำรวจมัลแวร์ที่ได้รับการสนับสนุนจากรัฐอย่างละเอียด

การละเมิดอย่างซับซ้อนของ Turla ต่อรัฐบาลสหภาพยุโรป
อาณาจักรของสงครามไซเบอร์ได้ประสบพบเห็น ความก้าวหน้าครั้งสำคัญกับการมาถึงของ Turlaกลุ่มแฮกเกอร์
เป็นที่รู้จักถึงวิธีการอันซับซ้อนในการละเมิดความปลอดภัยของรัฐบาลสหภาพยุโรปหลายแห่ง
เรื่องราวเริ่มคลี่คลายในช่วงปลายปี 2559 เมื่อการตรวจสอบความปลอดภัยทางไซเบอร์ในเยอรมนีในปี 2560 เผยให้เห็นถึงช่องโหว่
เวอร์ชันของ Microsoft Outlook ได้ถูกนำไปใช้งานในหน่วยงานรัฐบาลต่างๆ โดย Turla ตั้งแต่เป็นอย่างน้อย
เมื่อปีที่แล้ว.

การดำเนินการนี้แสดงให้เห็นถึงแนวทางที่ละเอียดและซับซ้อนหลายชั้น เริ่มต้นด้วยการฟิชชิ่ง – เทคนิคหลอกลวง
ที่ออกแบบมาเพื่อทำให้เหยื่อเชื่อว่าพวกเขากำลังติดต่อกับหน่วยงานที่เชื่อถือได้ Turla ได้ดำเนินการระบบอย่างมีระเบียบ
โดยการติดตั้งโทรจันชุดหนึ่ง ซึ่งในแต่ละขั้นตอนจะมอบการเข้าถึงระบบที่ลึกขึ้น และสุดท้ายได้ใช้ช่องโหว่ใน
Microsoft Outlook ในการดักจับอีเมลทั้งหมดจากเครื่องที่ติดไวรัส

ความซับซ้อนของมัลแวร์ของ Turla นั้นน่าทึ่ง โดยการรวมองค์ประกอบของไวรัส, โทรจัน, รูทคิท และ
เวิร์ม ซึ่งแต่ละตัวมีจุดประสงค์ที่แตกต่างกัน – ตั้งแต่การทำให้เครื่องไม่สามารถทำงานได้ ไปจนถึงการรับรองการดำเนินการอย่างลับๆ และ
การแพร่กระจายเครือข่าย การโจมตีนี้เป็นการผสมผสานระหว่างฟังก์ชันของโทรจัน, รูทคิท และเวิร์มที่ออกแบบให้
ไม่ถูกตรวจจับในขณะที่ infiltrating ลึกเข้าไปในเครือข่าย นอกจากนี้ยังใช้วิธีการสื่อสารที่เป็นนวัตกรรมใหม่
กับศูนย์คำสั่งของ Turla และสามารถรับการอัปเดตได้ การวิเคราะห์ไฟล์ที่ติดเชื้อเผยให้เห็นว่าแหล่งที่มาของมันย้อนกลับไปถึงปี 2009 ซึ่งบ่งชี้ถึงภัยคุกคามที่ยาวนานและพัฒนาอย่างต่อเนื่อง

หัวใจสำคัญของการโจมตีนี้คือการใช้ฟังก์ชันปลั๊กอินที่กำหนดเองของ Outlook Turla พบวิธีติดตั้ง
ปลั๊กอินที่เป็นอันตรายซึ่งแม้จะมองไม่เห็นในเมนูของ Outlook แต่สามารถสแกนอีเมลทั้งหมดและส่งข้อมูลกลับมายัง
ฐานของพวกเขา เพื่อหลีกเลี่ยงการป้องกันไฟร์วอลล์ พวกเขาใช้ไฟล์ PDF ที่เข้ารหัสซึ่งส่งเป็นไฟล์แนบอีเมล
มีทั้งคำสั่งและข้อมูลที่รวบรวมมา ไฟล์เหล่านี้แม้จะดูไม่เป็นอันตราย แต่มีขนาดเพียง 1×1
รูปภาพสีขาวแบบพิกเซล มัลแวร์ยังใช้ประโยชน์จากระบบจัดการอีเมลของ Outlook เพื่อจัดการคำสั่งและ
ควบคุมการสื่อสารอย่างรอบคอบ โดยขจัดร่องรอยการมีอยู่ของมันอย่างมีประสิทธิภาพ

Stuxnet: อาวุธไซเบอร์ที่มุ่งเป้าไปที่อิหร่าน

Stuxnet เป็นการก้าวกระโดดในสงครามไซเบอร์ ซึ่งมีเป้าหมายหลักคือความทะเยอทะยานทางนิวเคลียร์ของอิหร่าน ในฐานะที่เป็นเวิร์ม,
Stuxnet ถูกออกแบบมาให้แทรกซึมระบบ Windows ที่เชื่อมต่อกับเครื่องหมุนเหวี่ยงการเสริมสมรรถภาพยูเรเนียมของ Siemens.
สถาปัตยกรรมของมันเป็นความมหัศจรรย์ของสงครามไซเบอร์ ถูกตั้งโปรแกรมให้แพร่กระจายอย่างลับๆ คงไม่ทำงานจนกว่าจะพบ
เป้าหมาย และทำลายตัวเองก่อนมิถุนายน 2012 เพื่อลดความเสี่ยงในการถูกตรวจจับ
วิธีการส่งมอบ Stuxnet คือผ่านแฟลชไดรฟ์ USB ที่ติดไวรัส ใช้ช่องโหว่สี่จุดที่ไม่เคยรู้มาก่อน
ใน Windows.

กลยุทธ์การดำเนินงานนั้นละเอียดอ่อนแต่ก็ทำลายล้าง: เมื่อพบเป้าหมาย Stuxnet
จะทำให้เครื่องเหวี่ยงทำงานผิดปกติ ส่งผลให้เกิดการทำลายทางกายภาพ พร้อมกันนั้น
การปลอมแปลงรายงานการปฏิบัติงานเพื่อหลีกเลี่ยงการตรวจจับ การค้นพบเวิร์มในปี 2010 นำไปสู่การสืบสวนอย่างละเอียด
โดยบริษัทรักษาความปลอดภัย เช่น บริษัทเบลารุสและ Kaspersky Labs เปิดเผยถึงความซับซ้อนและแนะนำ
การมีส่วนร่วมของทีมงานเฉพาะทางที่อาจได้รับการสนับสนุนจากรัฐ

Dugu: ลูกหลานของ Stuxnet

กลยุทธ์การดำเนินงานของมันนั้นแยบยลแต่ทำลายล้าง: เมื่อพบเป้าหมายแล้ว Stuxnet
จะทำให้เครื่องหมุนเหวี่ยงทำงานผิดปกติ จนนำไปสู่การทำลายล้างทางกายภาพ ในขณะเดียวกัน
ก็ปลอมแปลงรายงานการดำเนินงานเพื่อหลีกเลี่ยงการตรวจจับ การค้นพบหนอนในปี 2010 นำไปสู่การสอบสวนอย่างละเอียด
โดยบริษัทความปลอดภัย เช่น บริษัทจากเบลารุสและ Kaspersky Labs ซึ่งเปิดเผยความซับซ้อนของมันและแนะนำ
การมีส่วนร่วมของทีมที่มีความเชี่ยวชาญ อาจได้รับการสนับสนุนจากรัฐ.

Flame ซึ่งรู้จักกันในชื่อ Skywiper, ค้นพบในปี 2012 เป็นตัวอย่างของการพัฒนาในระดับใหม่ของมัลแวร์,
ซึ่งมุ่งเป้าไปที่อิหร่านเป็นหลัก โดยมีความสามารถในลักษณะของโทรจัน, เวิร์ม และคีย์ล็อกเกอร์ Flame สามารถบันทึกข้อมูล
ประเภทต่างๆ ได้หลากหลาย ตั้งแต่การรับส่งข้อมูลในเครือข่ายไปจนถึงการสนทนาทาง Skype และแม้แต่เจาะการเชื่อมต่อ Bluetooth
เพื่อดึงข้อมูลออกมา ขนาดที่ใหญ่และความซับซ้อนทำให้มันเป็นหนึ่งในมัลแวร์ที่ซับซ้อนที่สุดที่เคยพบ,
ซึ่งบ่งชี้ถึงการลงทุนอย่างมากในการพัฒนาของมัน

เปลวไฟ หรือเรียกอีกอย่างว่า สกายไวเปอร์ ค้นพบในปี 2012เป็นตัวแทนของระดับใหม่ของความซับซ้อนในมัลแวร์
โดยมุ่งเป้าไปที่อิหร่านเป็นหลัก ด้วยความสามารถของโทรจัน เวิร์ม และคีย์ล็อกเกอร์ Flame จึงสามารถบันทึก
ประเภทข้อมูลหลากหลาย ตั้งแต่การรับส่งข้อมูลบนเครือข่ายไปจนถึงการสนทนาผ่าน Skype และแม้แต่แทรกซึมเข้าไปในบลูทูธ
การเชื่อมต่อสำหรับการดึงข้อมูล ขนาดที่ใหญ่และความซับซ้อนทำให้เป็นหนึ่งในมัลแวร์ที่ก้าวหน้าที่สุด
เคยเห็นมาแสดงให้เห็นถึงการลงทุนพัฒนาอย่างมาก

บทบาทของการเข้ารหัสและการแฮชใน
ความปลอดภัยทางไซเบอร์

แม้ว่าภัยคุกคามโดยตรงจากมัลแวร์ที่ได้รับการสนับสนุนจากรัฐต่อผู้ใช้ทั่วไปจะน้อยมาก แต่เหตุการณ์เหล่านี้เน้นย้ำ
ความสำคัญอย่างยิ่งของแนวทางปฏิบัติรักษาความปลอดภัยที่แข็งแกร่งและความท้าทายที่บริษัทซอฟต์แวร์ต้องเผชิญใน
การรับประกันความปลอดภัยของผลิตภัณฑ์ ความก้าวหน้าของพลังการประมวลผลท้าทายความปลอดภัยของผลิตภัณฑ์อย่างต่อเนื่อง
อัลกอริทึมการเข้ารหัส ทำให้การใช้ซอฟต์แวร์รุ่นเก่ามีความเสี่ยงเพิ่มมากขึ้น

บทสรุป
การทำความเข้าใจการทำงานของมัลแวร์ที่ซับซ้อน เช่น Stunt, Duqu และ Flame ถือเป็นสิ่งสำคัญในการเข้าใจ
ความซับซ้อนและแรงกดดันในโดเมนความปลอดภัยทางไซเบอร์ สำหรับผู้ใช้ทั่วไป ความเสี่ยงหลักเกิดจาก
แนวทางปฏิบัติด้านความปลอดภัยที่ไม่ดี เช่น การใช้รหัสผ่านซ้ำหรือการดูแลบัญชีที่ไม่จำเป็น การตระหนักถึงสิ่งเหล่านี้
ภัยคุกคามทางไซเบอร์ที่เป็นข่าวโด่งดังเน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยที่ระมัดระวังและทันสมัย
มาตรการในการป้องกันภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ภูมิทัศน์ที่เปลี่ยนแปลงไป

การอ่านและทรัพยากรเพิ่มเติม

1. TechCrunch: วิธีที่สหรัฐฯ ทำลายเครือข่ายมัลแวร์ที่ใช้โดยสายลับรัสเซียเพื่อขโมยความลับของรัฐบาล – บทความนี้
   พูดถึงวิธีที่รัฐบาลสหรัฐฯ ได้ขัดขวางแคมเปญการโจมตีทางไซเบอร์ของรัสเซียที่ยาวนานซึ่งดำเนินการโดย Turla ซึ่ง
   ขโมยข้อมูลที่ละเอียดอ่อนจากรัฐบาลสหรัฐฯ และ NATO
2. Kaspersky: การโจมตีของ Epic Turla (งู/Uroburos) – Kaspersky ให้ภาพรวมของ Turlaเรียกอีกอย่างว่า งู หรือ
   Uroburos อธิบายว่าเป็นหนึ่งในแคมเปญจารกรรมทางไซเบอร์ที่ซับซ้อนที่สุดในปัจจุบัน บทความนี้ยังให้คำแนะนำเกี่ยวกับวิธีการ
   เพื่อปกป้องตนเองจากการโจมตีดังกล่าว
3. ข่าวแฮ็กเกอร์: รัฐบาลสหรัฐฯ ตัดสินใจยุติเครื่องมือสอดแนมไซเบอร์งูที่ล้ำหน้าที่สุดของรัสเซีย – บทความนี้มีรายละเอียด
   ความพยายามของรัฐบาลสหรัฐฯ ในการทำให้มัลแวร์ Snake ซึ่งเป็นเครื่องมือสอดแนมทางไซเบอร์ที่ซับซ้อนซึ่งใช้โดย Turla เป็นกลาง
   been stealing sensitive documents from numerous computer systems in various countries.