คอลัมน์ประจำ

รายงานพิเศษ / โชคชัย บุณยะกลัมพ/Work From Home เสี่ยงอาชญากรรมไซเบอร์ ภัยคุกคามเอเชียตะวันออกเฉียงใต้

ที่มามติชนสุดสัปดาห์ ฉบับวันที่ 8 - 14 พฤษภาคม 2563
คอลัมน์รายงานพิเศษ
เผยแพร่

รายงานพิเศษ/โชคชัย บุณยะกลัมพ

https://www.facebook.com/ChokCyberAIEntertainment/

Work From Home

เสี่ยงอาชญากรรมไซเบอร์

ภัยคุกคามเอเชียตะวันออกเฉียงใต้

สถานการณ์การแพร่ระบาดของเชื้อไวรัสโคโรนาสายพันธุ์ใหม่ 2019 หรือโควิด-19 ทั่วโลกในขณะนี้ ยังไม่มีทีท่าว่าจะคลี่คลายง่ายๆ เพราะยอดติดเชื้อทั่วโลกพุ่งเกือบทะลุ 3 ล้านคนเข้าไปแล้ว!!

ส่งผลให้ภาคส่วนต่างๆ ต้องปรับวิธีการทำงาน และการจัดการเรียนการสอนให้สอดคล้องกับสถานการณ์ในปัจจุบัน

เช่นเดียวกับกระทรวงศึกษาธิการ (ศธ.) ไทย ที่นอกจากจะประกาศเลื่อนเปิดภาคเรียนที่ 1 ปีการศึกษา 2563 ออกไปเป็นวันที่ 1 กรกฎาคม จากเดิมที่เปิดวันที่ 18 พฤษภาคม

โดยได้จัดการการเรียนการสอนผ่านแพลตฟอร์มต่างๆ มารองรับ ขณะที่องค์กรต่างๆ พากันปรับตัวให้พนักงานทำงานจากที่บ้าน หรือ Work from Home

ทั้งนี้ พนักงานบางส่วนอาจมีความจำเป็นต้อง Access เข้าสู่ระบบของบริษัท จุดนี้อาจกลับกลายเป็นช่องโหว่ที่มีความเสี่ยงให้เกิดภัยไซเบอร์ตามมา

โดยจากการสำรวจพบว่า อาชญากรรมทางไซเบอร์ทั่วโลกในเดือนมีนาคม 2563 เพิ่มสูงขึ้นถึง 37% เมื่อเทียบกับเดือนกุมภาพันธ์ 2563

โดยองค์กรและธุรกิจที่ Work From Home ถูกโจมตีทางไซเบอร์เพิ่มสูงขึ้นกว่า 127%

และคาดว่าอาชญากรรมทางไซเบอร์ทั่วโลกจะสร้างความเสียหายมากกว่า 6 ล้านล้านดอลลาร์สหรัฐ ภายในปี 2021

 

กลุ่มอาชญากรไซเบอร์เป็นกลุ่มวายร้ายที่ทำจารกรรมล่าข้อมูล

กลุ่มภัยคุกคามพวกนี้มีศักยภาพและทักษะที่สูง ที่เรียกกันว่า APT หรือ Advanced Persistent Threat คือประเภทหนึ่งของอาชญากรรมทางคอมพิวเตอร์ ที่มีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ เช่น หน่วยงานทางทหารหรือหน่วยงานทางด้านความมั่นคงปลอดภัยของประเทศ หน่วยงานทางการเมือง หรือองค์กรธุรกิจขนาดใหญ่

APT มีหลากหลายตามเป้าหมายของการโจมตี เช่น การรวบรวมข้อมูลที่สำคัญเพื่อให้สามารถเคลื่อนย้ายตัวเองไปยังระบบอื่นๆ รวมไปถึงกระบวนการโจมตี แทรกซึม ลบร่องรอย และขโมยข้อมูล

รูปแบบการโจมตีแบบ APT ส่วนใหญ่ผู้ดำเนินการมักจะเป็นกลุ่มบุคคลมากกว่าเป็นการดำเนินการของบุคคลใดบุคคลหนึ่ง

ซึ่งอาจเป็นไปได้ว่า กลุ่มบุคคลนี้มักจะมีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง

การโจมตีมีเป้าหมายที่แน่ชัด ผู้โจมตีมักพยายามแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด และใช้ทุกวิถีทางเพื่อให้การโจมตีสำเร็จผล

 

แคสเปอร์สกี้ได้เปิดโปงปฏิบัติการของกลุ่มอาชญากรไซเบอร์ที่ยังดำเนินการอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ จากการวิเคราะห์พบว่า ปี 2019 เป็นปีที่กลุ่มผู้ร้ายวุ่นวายอย่างหนักในการเริ่มใช้งานทูลโจมตีใหม่ๆ รวมถึงการสอดส่องผ่านโมบายมัลแวร์เพื่อทำจารกรรมล่าข้อมูลจากรัฐบาล หน่วยงานการทหาร และองค์กรต่างๆ ทั่วภูมิภาค

โดยกลุ่ม APT ที่โจมตีประเทศไทยในปี 2019 และปฏิบัติการต่อเนื่องในปี 2020 นี้ ได้แก่

  1. ฟันนีดรีม (FunnyDream) ประเทศเป้าหมายในภูมิภาคนี้ : ไทย มาเลเซีย ฟิลิปปินส์ เวียดนาม

ช่วงต้นปี 2020 แคสเปอร์สกี้ออกรายงานการสืบสวนแคมเปญการโจมตีที่ชื่อ “FunnyDream” ผู้ร้ายที่ใช้ภาษาจีนในการสื่อสารนี้ดำเนินการนานอย่างน้อย 2-3 ปี และฝังมัลแวร์ร้ายที่มีความสามารถหลากหลายไว้

โดยตั้งแต่กลางปี 2018 นักวิจัยของแคสเปอร์สกี้ได้สังเกตเห็นกิจกรรมที่แอ๊กทีฟอย่างต่อเนื่องจากกลุ่มนี้ มีเป้าหมายส่วนหนึ่งเป็นองค์กรรัฐบาลระดับสูงและพรรคการเมืองในประเทศไทย มาเลเซีย ฟิลิปปินส์ และเวียดนาม

แคสเปอร์สกี้รายงานว่า แคมเปญนี้มีทูลจารกรรมไซเบอร์ที่มีความสามารถหลากหลายจำนวนมาก และยังปฏิบัติการอยู่ ยูสเซอร์สามารถดูข้อมูลอัพเดตได้ที่ Kaspersky Threat Portal

  1. ไซค์เด็ค (Cycldek) ประเทศเป้าหมายในภูมิภาคนี้ : ไทย ลาว ฟิลิปปินส์ เวียดนาม

“Cycldek” ใช้ภาษาจีนในการสื่อสาร แม้ว่าเป้าหมายหลักของกลุ่มนี้คือเครือข่ายรัฐบาลของเวียดนามและลาว แต่ก็พบว่ามีสัดส่วนเป้าหมายในประเทศไทย 3% และพบเหยื่อแคมเปญร้ายหนึ่งรายในฟิลิปปินส์ช่วงปี 2018-2019

กลุ่ม Cycldeck นั้นรู้จักกันในอีกชื่อว่า Goblin Panda และมีชื่อเสียงทางร้ายในการจารกรรมข้อมูลหน่วยงานรัฐบาล หน่วยงานการทหาร องค์กรพลังงานโดยใช้ PlugX และมัลแวร์ HttpTunnel

และ 3. เซโบรซี (Zebrocy) ประเทศเป้าหมายในภูมิภาคนี้ : ไทย มาเลเซีย

กลุ่ม “Zebrocy” เป็นกลุ่มที่ใช้ภาษารัสเซียซึ่งใช้ทรัพยากรร่วมกับกลุ่ม Sofacy และยังมีความสนใจและเป้าหมายร่วมกัน กลุ่ม Zebrocy ยังใช้โค้ดมัลแวร์ร่วมกับกลุ่ม BlackEnergy/Sandworm และมีเป้าหมายและใช้โครงสร้างพื้นฐานร่วมกับ BlackEnergy/GreyEnergy อีกด้วย

โปรแกรมแบ็กดอร์ Nimcy ของกลุ่มนี้พัฒนาขึ้นจากภาษาโปรแกรมมิ่ง Nimrod/Nim มีเป้าหมายโจมตีหน่วยงานของประเทศไทยและมาเลเซีย โดย Nimcy เป็นคอลเล็กชั่นภาษาใหม่ของกลุ่ม Zebrocy เพื่อใช้พัฒนาฟังก์ชั่นหลักให้แบ็กดอร์ใหม่ๆ

 

นักวิจัยของแคสเปอร์สกี้ขอแนะนำมาตรการเพื่อหลีกเลี่ยงการตกเป็นเหยื่อโจมตีโดยผู้ก่อภัยคุกคาม ดังนี้

  1. ทีมดูแลความปลอดภัยขององค์กร หรือ SOC (Security Operations Center) จะต้องเข้าถึงฐานข้อมูลภัยคุกคามอัจฉริยะล่าสุด Threat Intelligence เพื่ออัพเดตข้อมูลทูล เทคนิค และกลยุทธ์ใหม่ๆ ที่ผู้ก่อภัยคุกคามและอาชญากรไซเบอร์ใช้งาน
  2. การตรวจจับระดับเอนด์พอยต์ การตรวจสอบ การฟื้นฟูให้ทันท่วงที แนะนำให้ใช้โซลูชั่นสำหรับการตรวจจับและตอบสนองโดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response
  3. การเพิ่มการป้องกันที่จำเป็นสำหรับเครื่องเอนด์พอยต์ แนะนำติดตั้งโซลูชั่นระดับองค์กรที่สามารถตรวจจับภัยคุกคามขั้นสูงในเน็ตเวิร์กได้ตั้งแต่เพิ่งเริ่ม เช่น Kaspersky Anti Targeted Attack Platform