ที่มา | มติชนสุดสัปดาห์ ฉบับวันที่ 8 - 14 พฤษภาคม 2563 |
---|---|
คอลัมน์ | รายงานพิเศษ |
เผยแพร่ |
รายงานพิเศษ/โชคชัย บุณยะกลัมพ
https://www.facebook.com/ChokCyberAIEntertainment/
Work From Home
เสี่ยงอาชญากรรมไซเบอร์
ภัยคุกคามเอเชียตะวันออกเฉียงใต้
สถานการณ์การแพร่ระบาดของเชื้อไวรัสโคโรนาสายพันธุ์ใหม่ 2019 หรือโควิด-19 ทั่วโลกในขณะนี้ ยังไม่มีทีท่าว่าจะคลี่คลายง่ายๆ เพราะยอดติดเชื้อทั่วโลกพุ่งเกือบทะลุ 3 ล้านคนเข้าไปแล้ว!!
ส่งผลให้ภาคส่วนต่างๆ ต้องปรับวิธีการทำงาน และการจัดการเรียนการสอนให้สอดคล้องกับสถานการณ์ในปัจจุบัน
เช่นเดียวกับกระทรวงศึกษาธิการ (ศธ.) ไทย ที่นอกจากจะประกาศเลื่อนเปิดภาคเรียนที่ 1 ปีการศึกษา 2563 ออกไปเป็นวันที่ 1 กรกฎาคม จากเดิมที่เปิดวันที่ 18 พฤษภาคม
โดยได้จัดการการเรียนการสอนผ่านแพลตฟอร์มต่างๆ มารองรับ ขณะที่องค์กรต่างๆ พากันปรับตัวให้พนักงานทำงานจากที่บ้าน หรือ Work from Home
ทั้งนี้ พนักงานบางส่วนอาจมีความจำเป็นต้อง Access เข้าสู่ระบบของบริษัท จุดนี้อาจกลับกลายเป็นช่องโหว่ที่มีความเสี่ยงให้เกิดภัยไซเบอร์ตามมา
โดยจากการสำรวจพบว่า อาชญากรรมทางไซเบอร์ทั่วโลกในเดือนมีนาคม 2563 เพิ่มสูงขึ้นถึง 37% เมื่อเทียบกับเดือนกุมภาพันธ์ 2563
โดยองค์กรและธุรกิจที่ Work From Home ถูกโจมตีทางไซเบอร์เพิ่มสูงขึ้นกว่า 127%
และคาดว่าอาชญากรรมทางไซเบอร์ทั่วโลกจะสร้างความเสียหายมากกว่า 6 ล้านล้านดอลลาร์สหรัฐ ภายในปี 2021
กลุ่มอาชญากรไซเบอร์เป็นกลุ่มวายร้ายที่ทำจารกรรมล่าข้อมูล
กลุ่มภัยคุกคามพวกนี้มีศักยภาพและทักษะที่สูง ที่เรียกกันว่า APT หรือ Advanced Persistent Threat คือประเภทหนึ่งของอาชญากรรมทางคอมพิวเตอร์ ที่มีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ เช่น หน่วยงานทางทหารหรือหน่วยงานทางด้านความมั่นคงปลอดภัยของประเทศ หน่วยงานทางการเมือง หรือองค์กรธุรกิจขนาดใหญ่
APT มีหลากหลายตามเป้าหมายของการโจมตี เช่น การรวบรวมข้อมูลที่สำคัญเพื่อให้สามารถเคลื่อนย้ายตัวเองไปยังระบบอื่นๆ รวมไปถึงกระบวนการโจมตี แทรกซึม ลบร่องรอย และขโมยข้อมูล
รูปแบบการโจมตีแบบ APT ส่วนใหญ่ผู้ดำเนินการมักจะเป็นกลุ่มบุคคลมากกว่าเป็นการดำเนินการของบุคคลใดบุคคลหนึ่ง
ซึ่งอาจเป็นไปได้ว่า กลุ่มบุคคลนี้มักจะมีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง
การโจมตีมีเป้าหมายที่แน่ชัด ผู้โจมตีมักพยายามแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด และใช้ทุกวิถีทางเพื่อให้การโจมตีสำเร็จผล
แคสเปอร์สกี้ได้เปิดโปงปฏิบัติการของกลุ่มอาชญากรไซเบอร์ที่ยังดำเนินการอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ จากการวิเคราะห์พบว่า ปี 2019 เป็นปีที่กลุ่มผู้ร้ายวุ่นวายอย่างหนักในการเริ่มใช้งานทูลโจมตีใหม่ๆ รวมถึงการสอดส่องผ่านโมบายมัลแวร์เพื่อทำจารกรรมล่าข้อมูลจากรัฐบาล หน่วยงานการทหาร และองค์กรต่างๆ ทั่วภูมิภาค
โดยกลุ่ม APT ที่โจมตีประเทศไทยในปี 2019 และปฏิบัติการต่อเนื่องในปี 2020 นี้ ได้แก่
- ฟันนีดรีม (FunnyDream) ประเทศเป้าหมายในภูมิภาคนี้ : ไทย มาเลเซีย ฟิลิปปินส์ เวียดนาม
ช่วงต้นปี 2020 แคสเปอร์สกี้ออกรายงานการสืบสวนแคมเปญการโจมตีที่ชื่อ “FunnyDream” ผู้ร้ายที่ใช้ภาษาจีนในการสื่อสารนี้ดำเนินการนานอย่างน้อย 2-3 ปี และฝังมัลแวร์ร้ายที่มีความสามารถหลากหลายไว้
โดยตั้งแต่กลางปี 2018 นักวิจัยของแคสเปอร์สกี้ได้สังเกตเห็นกิจกรรมที่แอ๊กทีฟอย่างต่อเนื่องจากกลุ่มนี้ มีเป้าหมายส่วนหนึ่งเป็นองค์กรรัฐบาลระดับสูงและพรรคการเมืองในประเทศไทย มาเลเซีย ฟิลิปปินส์ และเวียดนาม
แคสเปอร์สกี้รายงานว่า แคมเปญนี้มีทูลจารกรรมไซเบอร์ที่มีความสามารถหลากหลายจำนวนมาก และยังปฏิบัติการอยู่ ยูสเซอร์สามารถดูข้อมูลอัพเดตได้ที่ Kaspersky Threat Portal
- ไซค์เด็ค (Cycldek) ประเทศเป้าหมายในภูมิภาคนี้ : ไทย ลาว ฟิลิปปินส์ เวียดนาม
“Cycldek” ใช้ภาษาจีนในการสื่อสาร แม้ว่าเป้าหมายหลักของกลุ่มนี้คือเครือข่ายรัฐบาลของเวียดนามและลาว แต่ก็พบว่ามีสัดส่วนเป้าหมายในประเทศไทย 3% และพบเหยื่อแคมเปญร้ายหนึ่งรายในฟิลิปปินส์ช่วงปี 2018-2019
กลุ่ม Cycldeck นั้นรู้จักกันในอีกชื่อว่า Goblin Panda และมีชื่อเสียงทางร้ายในการจารกรรมข้อมูลหน่วยงานรัฐบาล หน่วยงานการทหาร องค์กรพลังงานโดยใช้ PlugX และมัลแวร์ HttpTunnel
และ 3. เซโบรซี (Zebrocy) ประเทศเป้าหมายในภูมิภาคนี้ : ไทย มาเลเซีย
กลุ่ม “Zebrocy” เป็นกลุ่มที่ใช้ภาษารัสเซียซึ่งใช้ทรัพยากรร่วมกับกลุ่ม Sofacy และยังมีความสนใจและเป้าหมายร่วมกัน กลุ่ม Zebrocy ยังใช้โค้ดมัลแวร์ร่วมกับกลุ่ม BlackEnergy/Sandworm และมีเป้าหมายและใช้โครงสร้างพื้นฐานร่วมกับ BlackEnergy/GreyEnergy อีกด้วย
โปรแกรมแบ็กดอร์ Nimcy ของกลุ่มนี้พัฒนาขึ้นจากภาษาโปรแกรมมิ่ง Nimrod/Nim มีเป้าหมายโจมตีหน่วยงานของประเทศไทยและมาเลเซีย โดย Nimcy เป็นคอลเล็กชั่นภาษาใหม่ของกลุ่ม Zebrocy เพื่อใช้พัฒนาฟังก์ชั่นหลักให้แบ็กดอร์ใหม่ๆ
นักวิจัยของแคสเปอร์สกี้ขอแนะนำมาตรการเพื่อหลีกเลี่ยงการตกเป็นเหยื่อโจมตีโดยผู้ก่อภัยคุกคาม ดังนี้
- ทีมดูแลความปลอดภัยขององค์กร หรือ SOC (Security Operations Center) จะต้องเข้าถึงฐานข้อมูลภัยคุกคามอัจฉริยะล่าสุด Threat Intelligence เพื่ออัพเดตข้อมูลทูล เทคนิค และกลยุทธ์ใหม่ๆ ที่ผู้ก่อภัยคุกคามและอาชญากรไซเบอร์ใช้งาน
- การตรวจจับระดับเอนด์พอยต์ การตรวจสอบ การฟื้นฟูให้ทันท่วงที แนะนำให้ใช้โซลูชั่นสำหรับการตรวจจับและตอบสนองโดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response
- การเพิ่มการป้องกันที่จำเป็นสำหรับเครื่องเอนด์พอยต์ แนะนำติดตั้งโซลูชั่นระดับองค์กรที่สามารถตรวจจับภัยคุกคามขั้นสูงในเน็ตเวิร์กได้ตั้งแต่เพิ่งเริ่ม เช่น Kaspersky Anti Targeted Attack Platform