จากสถานการณ์การสู้รบระหว่างรัสเซียและยูเครนที่ยังคงยืดเยื้ออยู่ในขณะนี้ มีการเปิดการโจมตีแบบใหม่ ๆ ที่เรียกกันว่า hybrid war คือ มีการรบทั้งในรูปแบบที่เป็นสงครามทั่วไปและการโจมตีทางไซเบอร์ซึ่งสามารถปฏิบัติการได้ตลอด 24 ชั่วโมง
ซึ่งเมื่อดูทีท่าแล้วน่าจะมีการเปิดการโจมตีเพิ่มขึ้นอย่างต่อเนื่องเลยทีเดียว โดยสาเหตุหลักน่าจะมาจากการมีความพยายามที่รัสเซียจะตัดขาดชาวยูเครนจากข้อมูลเกี่ยวกับสถานการณ์ปัจจุบันเพื่อเป็นการเปิดการโจมตีอย่างเต็มรูปแบบ
โดยเริ่มจากการตัดสัญญานโทรทัศน์ วิทยุ อินเทอร์เน็ต และการสื่อสารเคลื่อนที่ในยูเครน อีกทั้งยังมีการโจมตีทางไซเบอร์กับสื่อของยูเครนอยู่เรื่อย ๆ
มีการเปิดเผยจากนักวิจัยด้านความปลอดภัยของยูเครนโดยระบุว่า มัลแวร์ล้างข้อมูลตัวใหม่มีชื่อว่า “SwiftSlicer Wiper” ได้รับการพัฒนามาเพื่อลบสำเนางานและเขียนทับไฟล์สำคัญที่ระบบปฏิบัติการ Windows
โดยเฉพาะไดรเวอร์และฐานข้อมูล Active Directory ซึ่งกลุ่มแฮ็กเกอร์ Sandworm เป็นผู้พัฒนา Malware SwiftSlicer ตัวนี้โดยใช้ Active Directory Group Policy ซึ่งช่วยให้ผู้ดูแลระบบโดเมนเรียกใช้สคริปต์และคำสั่งได้ทั่วทั้งอุปกรณ์ทั้งหมดในเครือข่าย Windows และมีการกำหนดเป้าหมายเฉพาะของโฟลเดอร์
มัลแวร์ตัวนี้ไม่ได้มีไว้เพื่อทำลายไฟล์เท่านั้น แต่ยังทำลายโดเมน windows ทั้งหมดอีกด้วย โดย SwiftSlicer จะเขียนทับด้วยข้อมูลโดยใช้บล็อก 4096 ไบต์ซึ่งจะรวบรวมไบต์ที่สร้างขึ้นแบบสุ่ม และหลังจากเสร็จสิ้นการทำลายข้อมูล มัลแวร์จะรีบูตระบบใหม่ทั้งหมด โดย SwiftSlicer ใช้ภาษาโปรแกรม Golang ซึ่งเหล่าบรรดาแฮ็กเกอร์เลือกใช้เพราะมีความสามารถในหลาย ๆ ด้านและสามารถปรับใช้ได้ในทุกแพลตฟอร์มและฮาร์ดแวร์
เมื่อไม่นานมานี้มีการค้นพบภายหลังการโจมตีทางไซเบอร์รัสเซียกับยูเครนว่า กลุ่ม Sandworm เป็นกลุ่มแฮ็กเกอร์ที่ทำงานให้กับองค์กรของรัสเซียอย่าง General staff Main Intelligence Directorate (GRU) ซึ่งเป็นส่วนหนึ่งของหน่วยงานของทหาร Main Center for Special Technologies (GTsST) 74455 ในขณะที่รายละเอียดที่เกี่ยวกับ SwiftSlicer ยังคงขาดอยู่ในขณะนี้
นักวิจัยด้านความปลอดภัยของบริษัทรักษาความปลอดภัยทางไซเบอร์อย่าง ESET พบอีกว่า ยังมีมัลแวร์ทำลายล้างที่ใช้งานระหว่างการโจมตีทางไซเบอร์ในยูเครนอยู่อีก แต่ยังไม่มีการเผยแพร่ชื่อของเป้าหมายและกิจกรรมล่าสุดของ Sandworm รวมถึงการโจมตีแบบล้างข้อมูลของ สำนักข่าวกรองแห่งชาติของยูเครนอย่าง Ukrinform
อีกทั้งศูนย์เผชิญเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ยังมีการเปิดเผยรายงานเกี่ยวกับการเปิดตัวมัลแวร์ทำลายล้างแบบต่าง ๆ ของรัสเซียว่ามีการพยายามใช้ยูทิลิตี้ทำลายข้อมูล 5 รายการในเครือข่ายของสำนักข่าว Ukrinform อย่างต่อเนื่อง
ได้แก่ CaddyWiper (Windows), ZeroWipe (Windows), SDelete (legitimate tool for Windows), AwfulShred (Linux) และ BidSwipe (FreeBSD) โดย Sandworm มีการใช้ Malware ทำลายล้างอย่าง CaddyWiper ในการโจมตีบริษัทผู้ให้บริการพลังงานรายใหญ่ของยูเครน แต่ภารกิจนั้นก็ต้องล้มเหลวลงไป
จากการตรวจสอบของหน่วยงานในยูเครนเปิดเผยว่า Sandworm ได้กระจายมัลแวร์ไปยังคอมพิวเตอร์บนเครือข่ายโดยใช้ Group Policy Object (GPO) ซึ่งเป็นชุดกฏที่ผู้ดูแลระบบปฏิบัติการ แอปพลิเคชัน และการตั้งค่าผู้ใช้ในสภาพแวดล้อมแบบ Active Directory ซึ่งเป็นวิธีเดียวกันกับที่ใช้เพื่อเรียกใช้งาน SwiftSlicer ซึ่งแสดงว่ากลุ่มแฮ็กเกอร์นี้ได้สามารถเจาะระบบเครือข่ายของเป้าหมายไว้ล่วงหน้าแล้ว
เราจะเห็นได้ว่าขณะนี้เรื่องเกี่ยวกับ Identity มีแนวโน้มมีการที่จะถูกเจาะเพื่อโจรกรรมมากขึ้น เพราะมีช่องโหว่ที่จะทำให้เหล่าบรรดาแฮ็กเกอร์เข้าไปก่อกวนและสร้างปัญหาได้อยู่เสมอ ๆ
แม้ว่าระบบเริ่มที่จะมีโซลูชันที่เกี่ยวข้องกับทางด้านการป้องกัน Identity ต่าง ๆ แล้ว แต่ในองค์กรก็ควรที่จะพิจารณาดูเพราะว่าเมื่อ identity ของบุคลากรในองค์กรถูกแฮ็กจะทำให้เกิดผลเสียหายในอนาคตได้ เราทุกคนจึงต้องเตรียมตัวและตั้งรับให้พร้อมครับ
บทความโดย นักรบ เนียมนามธรรม
————————————————————————————————————————————————————————
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยเเพร่ 13 ก.พ. 2566
Link : https://www.bangkokbiznews.com/tech/1052832
