จตุพล ศุภจัตุรัส ที่ปรึกษาด้านเทคนิค บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด
ภาพหน้าจอตัวอย่างการโจมตี
รูปหน้าจอการตรวจพบของโซลูชั่น Deep Discovery
โมเดลการโจมตีในปัจจุบัน เหตุการณ์แฮกเกอร์ป่วนเกาหลีใต้ในช่วงวันที่ 20 มีนาคม 2556 สร้างความโกลาหลให้ชาวเมืองอย่างใหญ่หลวง โดยธนาคาร 3 แห่ง (ShinhanBank, NongHyup Bank,Jeju) ไม่สามารถทำธุรกรรมทางการเงินใดๆ ได้เลย ระบบเอทีเอ็มและระบบออนไลน์ไม่สามารถใช้งานได้ ซึ่งหมายถึงลูกค้าของทั้ง 3 ธนาคารไม่สามารถถอนเงินหรือทำธุรกรรมทางการเงินผ่านบัตรเครดิต เดบิต หรือออนไลน์ได้
ขณะที่สถานีโทรทัศน์ 3 แห่ง (KBS, MBC, YTN) เดือดร้อนอย่างหนัก ไม่สามารถออกอากาศได้อย่างปกติ โดยความเสียหายจากการคุกคามครั้งนี้ มีคอมพิวเตอร์ที่ตกเป็นเหยื่อกว่า 32,000 เครื่อง ต้องใช้เวลาแก้ไขนานกว่า 2 ชั่วโมงเพื่อเปลี่ยนฮาร์ดดิสก์ใหม่ทั้งหมด
WHOIS ประกาศศักดา จตุพล ศุภจัตุรัส ที่ปรึกษาด้านเทคนิค บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า “จากรายงานล่าสุดพบว่าหน้าจอคอมพิวเตอร์จำนวนมากของธนาคารรายใหญ่ 3 แห่ง และบริษัทผู้ให้บริการรายการโทรทัศน์ชั้นนำ 3 แห่งได้กลายเป็นจอว่างเปล่าเมื่อวันที่ 20 มีนาคม 2556 (ตามเวลาท้องถิ่น) โดยที่บางหน้าจอแสดงภาพหัวกะโหลกและคำเตือนที่ระบุว่ามาจากทีมงาน “Whois”
WHOIS TEAM เป็นหนึ่งในกลุ่มแฮกเกอร์อีกหลายกลุ่มที่มีอยู่ทั่วโลก วัตุประสงค์ของการโจมตีมีความแตกต่างกันในแต่ละกลุ่ม นับตั้งแต่การโจรกรรมข้อมูลส่วนตัวเพื่อนำไปขายต่อ การเจาะระบบส่วนตัวเพื่อโอนเงินในบัญชี หรือแม้กระทั่งการโจมตีเพื่อทำลายให้เกิดการชะงักของระบบและทำลายฮาร์ดแวร์ในที่สุด
เป้าหมายของการโจมตีครั้งนี้นักเคราะห์มองว่าเป็นการทำเพื่อประกาศศักดาเท่านั้น ส่วนความเสียหายต่อผู้บริโภคยังไม่มีรายงานแต่อย่างใด
เป้าหมายถูกโจมตี 32,000 เครื่อง การโจมตีครั้งนี้เป็นหนึ่งในหลายการโจมตีที่เกิดขึ้นพร้อมกัน และเป็นอิสระจากกัน ซึ่งได้สร้างความเสียหายอย่างมากให้กับประเทศเกาหลีใต้ จากการวิจัยของบริษัทเทรนด์ไมโครพบว่า สิ่งนี้เป็นผลมาจากการโจมตีของมัลแวร์ ที่เริ่มต้นจากการส่งอีเมลฟิชชิ่งที่มีลักษณะเหมือนกับประวัติการใช้บัตรเครดิตในเดือนมีนาคมที่ผ่านมา
มัลแวร์ดังกล่าวที่ถูกแนบมากับอีเมลฟิชชิ่งเหล่านี้จะเขียนข้อมูลทับระบบบูตหลักของเครื่อง หรือ Master Boot Record (MBR) และจะกำหนดให้มัลแวร์ทำงานในวนที่ 20 มีนาคม มัลแวร์ก็จะยังไม่ทำงานและจะเริ่มทำงานทำงานในวันที่ที่กำหนด เมื่อมัลแวร์ทำงานก็จะทำให้ระบบทั้งเริ่มทำงานเชื่องช้า และท้ายที่สุดก็จะล้างข้อมูลของ MBR สำหรับการโจมตีแบบมีเป้าหมาย เพื่อทำให้ระบบดังกล่าวกู้กลับมาได้ยากขึ้น
ลูกค้าเทรนด์ไมโครรอด พบมัลแวร์หวุดหวิดก่อน 1 วัน “เราตรวจพบความผิดปกติของระบบ ผ่านโซลูชัน Deep Discovery ที่ติดตั้งให้กับลูกค้าซึ่งเป็นธนาคารในประเทศเกาหลีใต้ เมื่อวันที่ 19 มีนาคม ก่อนวันเกิดเหตุ 1 วัน จึงทำการกักไฟล์ดังกล่าว หลังจากพบว่ามีความพยายามที่จะสื่อสารออกไปยังปลายทางที่น่าสงสัย ในขณะเดียวกันก็พบความพยายามกระจายตัวเองไปสู่เครื่องอื่นๆด้วย โดยการทำงานของมัลแวร์ชนิดนี้อยู่ในกลุ่มที่เรียกว่า Dropper หรือมัลแวร์ที่ฝังตัวเองอย่างเงียบๆ เพื่อหาช่องทางแพร่กระจายไปสู่เครื่องอื่นๆ ที่มีความสำคัญภายในองค์กร” จตุพลกล่าว
โดยกรณีที่เกิดขึ้นในประเทศเกาหลีนั้น มีการฝังตัวเองอยู่ภายในระบบอัปเดต เมื่อเครื่องใดที่เรียกหาการอัปเดตก็จะติดมัลแวร์ชนิดนี้ทันที
ทั้งนี้ ไฟล์ที่ตรวจพบมีชื่อเรียกว่า “HEUR NAMETRICK.B” และมัลแวร์ที่เข้าโจมตีครั้งมีชื่อเรียกว่า “TROJ_KILLMBR.SM” ภายหลังการตรวจพบ เทรนด์ไมโครได้อัปเดตฐานข้อมูลกลางเพื่อป้องกันลูกค้าทุกระดับ
โซลูชัน Deep Discovery คืออะไร โซลูชัน ดีป ดิสคัฟเวอรี (Deep Discovery) มีระบบอัจฉริยะที่ช่วยในการตรวจจับและปรับแต่งได้เอง เพื่อป้องกันการโจมตีแบบมีเป้าหมายและภัยคุกคามขั้นสูงแบบต่อเนื่อง (Advance Persistent Thread : APT) โดยสามารถป้องกันเหนือกว่าระบบมาตรฐานจะตรวจพบ โดย Deep Discovery จะเริ่มการทำงานในลักษณะ ตรวจหา วิเคราะห์ ปรับ และสนองตอบเพื่อจัดการกับการโจมตีเหล่านี้
ที่มา: manager.co.th
