LOOSE NEXUS กลุ่มผู้ไม่ประสงค์ดีในประเทศจีน หรือที่รู้จักกันในชื่อ APT41 ที่มีการโจมตีด้วยมัลแวร์หรือมุ่งเน้นการโจมตีไปในเรื่องของการเงิน โดยปัจจุบันการโจมตีของกลุ่มนี้มีแนวโน้มที่จะมุ่งเป้าไปที่ โรงงานไฟฟ้า ในทวีปเอเชีย
ทีม Threat Hunter ของ Symantec เปิดเผยว่ากลุ่มผู้ไม่ประสงค์ดีชาวจีนที่เชื่อมต่อกับ APT41 ซึ่ง Symantec เรียกกลุ่มนี้ว่า RedFly ได้ทำการโจมตีเครือข่ายคอมพิวเตอร์ของระบบส่งไฟฟ้าระดับชาติในแถบประเทศในเอเชีย ซึ่งยังไม่สามารถระบุชื่อประเทศที่เป็นเป้าหมายเกิดขึ้นในเดือนกุมภาพันธ์ของปีนี้และต่อเนื่องมาเป็นระยะเวลา 6 เดือนได้ โดยนักวิจัยจาก Mandiant ชี้ให้เห็นเบาะแสว่าเหตุการณ์ในครั้งนี้ แฮกเกอร์อาจเป็นกลุ่มเดียวกับที่เคยก่อเหตุก่อนหน้านี้โดยมุ่งเป้าไปที่ระบบสาธารณูปโภคด้านไฟฟ้าในอินเดีย การค้นพบของ Symantec เกิดขึ้นหลังจากคำเตือนจากหน่วยงาน Microsoft และหน่วยงานของสหรัฐอเมริกา รวมถึงหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และหน่วยงานความมั่นคงแห่งชาติ (NSA) ว่ากลุ่มผู้ไม่ประสงค์ดีกลุ่มอื่นที่ได้รับการสนับสนุนจากรัฐจีน ซึ่งรู้จักกันในชื่อ Volt Typhoon ได้เจาะระบบสาธารณูปโภคด้านไฟฟ้าของสหรัฐฯ รวมถึง Guam ของสหรัฐอเมริกา ซึ่งอาจเป็นการเตรียมการสำหรับการโจมตีทางไซเบอร์ในกรณีที่เกิดข้อขัดแย้ง เช่น การเผชิญหน้าทางทหารในไต้หวัน
หลักฐานบางอย่างบ่งชี้ว่าการโจมตีที่เน้นไปที่อินเดียในปี 2021 และการโจมตี โรงงานไฟฟ้าใหม่ที่ค้นพบโดย Symantec นั้นดำเนินการโดยผู้ไม่ประสงค์ดีกลุ่มเดียวกันซึ่งมีลิงก์ไปยังกลุ่มสายลับที่รัฐจีนสนับสนุนซึ่งรู้จักกันในชื่อ APT41 ซึ่งบางครั้งเรียกว่า Wicked Panda หรือ Barium, Symantec ตั้งข้อสังเกตว่าแฮกเกอร์ใช้มัลแวร์ตัวหนึ่งที่เรียกว่า ShadowPad ซึ่งถูกใช้งานโดยกลุ่มย่อย APT41 ในปี 2017 เพื่อติดตั้งคีย์ล็อกเกอร์ ซึ่งจะซ่อนอยู่ในระบบที่ติดไวรัสภายใต้ชื่อไฟล์ต่างๆ เช่น winlogon.exe และ hphelper.exe เพื่อแพร่เครื่องในการโจมตี เผยแพร่โดยบริษัทซอฟต์แวร์ NetSarang และในหลาย ๆ เหตุการณ์ที่เกิดขึ้นตั้งแต่นั้นมา ในปี 2020 สมาชิกที่ถูกกล่าวหา 5 คนของ APT41 ถูกฟ้องและระบุว่าทำงานให้กับกระทรวงความมั่นคงแห่งรัฐของจีนที่รู้จักกันในชื่อเฉิงตู 404 แต่แม้กระทั่งเมื่อปีที่แล้ว หน่วยสืบราชการลับของสหรัฐฯ ก็เตือนว่าแฮกเกอร์ภายใน APT41 ได้ขโมยเงินหลายล้านในสหรัฐจากกองทุนบรรเทาทุกข์ โควิด19 ซึ่งเป็นกรณีอาชญากรรมทางไซเบอร์ที่รัฐสนับสนุนซึ่งมุ่งเป้าไปที่รัฐบาลอื่น ซึ่งเกิดขึ้นไม่บ่อยนัก
แม้ว่า Symantec จะไม่เชื่อมโยงกลุ่ม RedFly กับกลุ่มย่อยเฉพาะของ APT41 นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Mandiant ก็ชี้ให้เห็นว่า RedFly และแคมเปญแฮ็กโรงงานไฟฟ้าของอินเดียเมื่อหลายปีก่อนใช้โดเมนเดียวกันเป็นคำสั่ง และควบคุมเซิร์ฟเวอร์สำหรับมัลแวร์: Websencl.com นั่นแสดงให้เห็นว่ากลุ่ม RedFly อาจเชื่อมโยงกับเหตุการณ์ทั้งสองกรณีได้
Ref : wired
ไม่มีความคิดเห็น:
แสดงความคิดเห็น