เปิดปฏิบัติการ 'Operation GhostSecret' จารกรรมข้ามชาติ ของโสมแดงผ่านท่าพระจันทร์

เขียนวันที่

วันอังคาร ที่ 01 พฤษภาคม 2561 เวลา 09:31 น.

เขียนโดย

isranews

หมวดหมู่

รายงาน-สกู๊ป | Isranews | ข่าวทั่วไปศูนย์ข่าวสืบสวน | เรื่องเด่น - สำนักข่าวอิศรา

"...มีการค้นพบ 3 ระบบเซิร์ฟเวอร์ในประเทศไทยที่ถูกใช้เพื่อปฏิบัติการของกลุ่มผู้โจมตี มี IP Address ได้แก่ 203.131.222.83 , 203.131.222.95 , 203.131.222.109 โดยระบุว่าแหล่งที่ตั้งอยู่ในมหาวิทยาลัยธรรมศาสตร์ กรุงเทพมหานคร และถูกใช้เป็นฐานเพื่อการโจมตีและจารกรรมข้อมูลในประเทศอื่น ๆ ซึ่งเซิร์ฟเวอร์เดียวกันนี้ได้เคยถูกใช้ในการโจมตีระบบของ Sony Pictures อีกด้วย ทั้งนี้ มัลแวร์ตัวดังกล่าวได้เข้าไปในระบบบัญชาการและควบคุม (command-and-control หรือ C&C) มามากกว่า 1 ปีแล้วก่อนที่จะได้รับการตรวจพบ.."

pickingdgfgffff1 5 18

"การโจมตีของ Hidden Cobra ในระบบสถาบันการเงินของประเทศตุรกีช่วงวันที่ 14 ถึง 18 เดือนมีนาคมปีนี้ นั้นเป็นเพียงส่วนหนึ่งของปฏิบัติการ การโจมตีครั้งสุดท้ายขยายออกไปใน 17 ประเทศ รวมไปถึง ประเทศไทย, สหรัฐอเมริกา, เยอรมณี, ญี่ปุ่น, จีน และ ออสเตรเลีย โดยวัตถุประสงค์ของการโจมตีต่อเนื่องนั้นเพื่อการจารกรรมข้อมูลสำคัญจากโครงสร้างในระบบที่สำคัญต่าง ๆ เช่น โทรคมนาคม, การเงิน, การแพทย์ และ องค์กรเพื่อความบันเทิง ซึ่งการปฏิบัติการของ Operation GhostSevret มีความซับซ้อนมาก โดยได้รับการออกแบบเพื่อให้หลุดรอดและพรางตัวเองจากการถูกตรวจสอบ และใช้โปรแกรมที่ฝังไว้จำนวนมากเพื่อจารกรรมข้อมูลจากระบบที่ถูกทำให้เสียหาย"

"ทั้งนี้ ลักษณะขั้นตอนบางส่วนของการโจมตีระบบเพื่อจารกรรมข้อมูลนั้น มีขั้นตอนที่เหมือนกับการจารกรรมข้อมูลครั้งในประเทศตุรกีและระบบ Destover ซึ่งถูกใช้ในปี 2557 ในการแฮกระบบของ Sony Pictures นอกจากนั้น อาจเชื่อได้ว่า กลุ่ม Hidden Cobra เป็นผู้อยู่เบื้องหลังการโจมตีระบบในครั้ง Wanna Cry ในช่วงเดือนพฤษภาคมปีที่ผ่านมา ที่ส่งผลกระทบไปทั่วโลก"

คือ ข้อมูลยืนยันจาก นักวิจัยของ McAfee (โปรแกรมเอกชนที่ใช้ตรวจสอบไวรัสในคอมพิวเตอร์ ทำให้คอมพิวเตอร์ปลอดภัยจากไวรัสและสปายแวร์ต่างๆ) ที่นำมาใช้อธิบายประกอบกรณีการตรวจสอบพบข้อมูลเกาหลีเหนือใช้ server ที่ตั้งอยู่ในประเทศไทยจารกรรมข้อมูล 17 ประเทศทั่วโลก ขณะที่ server ที่เกาหลีเหนือใช้จารกรรมข้อมูลดังกล่าวนั้น ถูกระบุว่าตั้งอยู่ที่มหาวิทยาลัยธรรมศาสตร์ ตามข้อมูลที่สำนักข่าวอิศรา www.isranews.org นำมาเสนอไปแล้ว (อ่านประกอบ : เรื่องใหญ่! เมื่อ McAfee ตรวจพบเกาหลีเหนือใช้ server (ธรรมศาสตร์) จารกรรมข้อมูล17ปท.ทั่วโลก?)

ล่าสุดสำนักข่าวอิศรา ตรวจสอบข้อมูลปฏิบัติการ Operation GhostSevret เพิ่มเติมพบข้อมูลว่า หน่วยนักวิเคราะห์ของ McAfee (McAfee Advanced Threat Research analysts) ได้รายงานตีแผ่ปฏิบัติการโจมตีระบบคอมพิวเตอร์ข้ามชาติ ขนานนามว่า ปฏิบัติการ GhostSecret (Operation GhostSecret) ไว้เป็นทางการ

โดยผู้เชี่ยวชาญเชื่อว่า ปฏิบัติการ GhostSecret ดำเนินการโดยกลุ่ม Hidden Cobra หรือกลุ่มปฏิบัติการโจมตีระบบคอมพิวเตอร์เกาหลีเหนือ ซึ่งคาดว่าเป็นผู้อยู่เบื้องหลังการปล่อยมัลแวร์ Destover ในการแฮกระบบของ Sony Pictures ในปี 2557 และการปล่อยมัลแวร์ชื่อ Bankshot ในการโจมตีระบบสถาบันการเงินในประเทศตุรกีในช่วงปลายปี 2560 รวมถึงการปล่อยมัลแวร์ชื่อ WannaCry ในช่วงเดือนพฤษภาคม 2560 เนื่องจากโค้ดและฟังก์ชั่นต่าง ๆ ของมัลแวร์ที่ถูกใช้บางตัวมีความคล้ายคลึงกัน

โดยในช่วงเดือนมีนาคม 2561 ต่อเนื่องจากการโจมตีโดยมัลแวร์ Bankshot McAfee ค้นพบว่าใน 11 ประเทศ เช่น สหราชอาณาจักร สหรัฐอเมริกา เยอรมนี รวมทั้งประเทศไทย ได้มีการแพร่กระจายของมัลแวร์ชื่อ Proxysvc ซึ่งเคยถูกใช้คู่กับมัลแวร์ Bankshot และ Destover แต่เนื่องจากยังไม่มีการค้นพบในครั้งก่อน จึงยังไม่เคยได้รับการบันทึกไว้ นอกจากนั้นยังมีมัลแวร์ตัวอื่นซึ่งมีลักษณะคล้ายคลึงกันกับ Destover ซึ่งในช่วงวันที่ 14 ถึง 18 มีนาคม 2561 ที่ผ่านมาพบว่าได้มีการแพร่กระจายไปยังประเทศอื่นรวมเป็น 17 ประเทศ

ทั้งนี้ มีการระบุข้อมูลว่า ปฏิบัติการ GhostSecret ได้ใช้มัลแวร์ในการโจมตีระบบเพื่อการจารกรรมข้อมูล โดยมุ่งเน้นการโจมตีหน่วยงานเกี่ยวกับโครงสร้างสำคัญ เช่น โครงสร้างพื้นฐาน อุตสาหกรรมบันเทิง การเงิน การสาธารณสุข หรือการโทรคมนาคม

มีการค้นพบ 3 ระบบเซิร์ฟเวอร์ในประเทศไทยที่ถูกใช้เพื่อปฏิบัติการของกลุ่มผู้โจมตี มี IP Address ได้แก่ 203.131.222.83 , 203.131.222.95 , 203.131.222.109 โดยระบุว่าแหล่งที่ตั้งอยู่ในมหาวิทยาลัยธรรมศาสตร์ กรุงเทพมหานคร และถูกใช้เป็นฐานเพื่อการโจมตีและจารกรรมข้อมูลในประเทศอื่น ๆ ซึ่งเซิร์ฟเวอร์เดียวกันนี้ได้เคยถูกใช้ในการโจมตีระบบของ Sony Pictures อีกด้วย ทั้งนี้ มัลแวร์ตัวดังกล่าวได้เข้าไปในระบบบัญชาการและควบคุม (command-and-control หรือ C&C) มามากกว่า 1 ปีแล้วก่อนที่จะได้รับการตรวจพบ

McAfee วิเคราะห์ว่า มัลแวร์ตัวดังกล่าว มีความสามารถในการเรียกดู รวบรวม แก้ไขและดึงข้อมูลต่าง ๆ ควบคุมและสั่งการฝ่ายเดียว ลบล้างข้อมูล ดำเนินการติดตั้งอื่น ๆ เพิ่มเติม และลบล้างตัวเอง โดยในการส่งข้อมูลได้มีการหลบหลีกการถูกค้นพบและตรวจสอบผ่านการเข้ารหัสและถอดรหัสของ SSL (เทคโนโลยีการเข้ารหัสข้อมูล เพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ระหว่างเครื่องเซิร์ฟเวอร์กับเว็บเบราว์เซอร์, ที่มา: ‭https://ssl.in.th‬)

ในรายงานสรุปว่า กลุ่มผู้โจมตีซึ่งคาดว่าน่าจะเป็นกลุ่ม Hidden Cobra นั้น ยังคงปฏิบัติการโจมตีระบบคอมพิวเตอร์โดยพุ่งเป้าไปที่องค์กรต่าง ๆ ทั่วโลก โดยได้มีการพัฒนาความซับซ้อนของระบบอยู่อย่างต่อเนื่องซึ่งแสดงให้เห็นถึงศักยภาพที่ก้าวหน้าของกลุ่มผู้โจมตี

ในเวลานี้ McAfee ได้ดำเนินการประสานงานและร่วมมือกับหน่วยงานรัฐบาลของประเทศไทยในการหยุดยั้งการเข้าควบคุมเซิร์ฟเวอร์โดยปฏิบัติการ GhostService พร้อมไปกับการเก็บข้อมูลเพื่อการดำเนินคดีตามกฎหมายต่อไป (ที่มา: ‭https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide‬, ‭https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity‬)

ขณะที่ล่าสุด มหาวิทยาลัยธรรมาศาสตร์ ได้ออกข่าวประชาสัมพันธ์ อ้างอิงคำให้สัมภาษณ์ ดร.ปกป้อง ส่องเมือง ผู้อำนวยการสำนักงานศูนย์เทคโนโลยีสารสนเทศ (สทส.) มหาวิทยาลัยธรรมศาสตร์ ระบุว่า จากกรณีกระแสข่าวมีนักวิจัยด้านความปลอดภัยจาก McAfee รายงานว่าช่วงกลางเดือนมีนาคมที่ผ่านมา เซิร์ฟเวอร์ของมหาวิทยาลัยธรรมศาสตร์บางเครื่องถูกเข้ามาควบคุมการทำงานบางส่วนโดยไม่ได้รับอนุญาต และใช้เป็นฐานสำหรับการพยายามไปควบคุมการทำงานของระบบคอมพิวเตอร์อื่นในหลายประเทศ ด้วยลักษณะของการใช้ชุดคำสั่งของโปรแกรมทางคอมพิวเตอร์ที่มีรูปแบบคล้ายกับกรณี Hidden Cobra ที่กองทัพแฮกเกอร์จากเกาหลีเหนืออยู่เบื้องหลัง

ทั้งนี้ สทส. ขอแจ้งข้อมูลว่ากรณีดังกล่าว เราตรวจพบเมื่อวันที่ 24 เมษายน และได้ทำการประสานงานกับ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) เพื่อแก้ปัญหาเร่งด่วน

โดยเบื้องต้น สทส.ได้ดำเนินการตามคำแนะนำจากไทยเซิร์ต ด้วยการตัดการเชื่อมต่อระบบเครือข่ายของเซิร์ฟเวอร์ ที่ได้รับแจ้งว่ามีปัญหา และตรวจสอบข้อมูลการจราจรทางอินเตอร์เน็ตของเซิร์ฟเวอร์ดังกล่าว และได้มีการดำเนินการตรวจสอบการใช้งานของเซิร์ฟเวอร์ทั้งหมดในระบบเครือข่ายของมหาวิทยาลัยเพิ่มเติม ผลตรวจสอบพบว่าไม่เกิดความเสียหายต่อระบบภายในมหาวิทยาลัย

ดร.ปกป้อง ส่องเมือง ยังระบุด้วยว่า ขณะนี้ สทส.มีการเพิ่มมาตรการด้านความปลอดภัยในการใช้งานระบบเครือข่าย ให้มีความเข้มงวดมากยิ่งขึ้น และวางแผนการทำการตรวจสอบระบบสารสนเทศ (IT audit) เพื่อให้เป็นตามมาตรฐานความปลอดภัยขั้นสูง

นี่คือ ท่าทีและความเคลื่อนไหวล่าสุดของมหาวิทยาลัยธรรมศาสตร์ต่อกรณีนี้ แม้ว่าจะมีข้อมูลหลายประเด็นที่ยังชี้แจงไม่ชัดเจน โดยเฉพาะต้นต่อสาเหตุของปัญหาจริงๆ ว่าเกิดขึ้นได้อย่างไร และที่สำคัญระบบนี้แฝงตัวอยู่มาแล้วเป็นระยะเวลากว่า 1 ปี ทำไมถึงไม่มีตรวจสอบพบเลย

ส่วนผลลัพธ์จะออกมาเป็นอย่างไรนั้น คงต้องติดตามดูกันอย่างใกล้ชิดต่อไป

แต่ที่น่าจับตามอง คือ ท่าทีของรัฐบาลไทย โดยเฉพาะการกำหนดนโยบายการป้องกันปัญหาเรื่องนี้แบบเบ็ดเสร็จเด็ดขาด ไม่ให้เกิดปัญหาซ้ำรอยเดิมขึ้นมาได้อีก ปัจจุบันยังไม่ค่อยเห็นชัดเจนเป็นรูปธรรมมากเท่าไรนัก?