โปรแกรมป้องกันไวรัส ESET ค้นพบผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ Zero-day ของ Windows OS ล่าสุดเพื่อดำเนินการจารกรรมทางไซเบอร์
ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์รักษาความปลอดภัยดิจิทัลยอดนิยม ESET ได้ค้นพบผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ Zero-day ของ Windows OS ล่าสุด กลุ่มแฮ็คที่อยู่เบื้องหลังการโจมตีนี้เชื่อว่ากำลังทำการจารกรรมทางไซเบอร์ ที่น่าสนใจคือนี่ไม่ใช่เป้าหมายหรือวิธีการทั่วไปของกลุ่มที่ใช้ชื่อ "Buhtrap" และด้วยเหตุนี้การหาประโยชน์จึงบ่งชี้ว่ากลุ่มอาจมีการหมุน
ESET ผู้ผลิตแอนตี้ไวรัสชาวสโลวักยืนยันว่ากลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ Buhtrap อยู่เบื้องหลังช่องโหว่ Zero-day ของ Windows OS ล่าสุดที่ถูกใช้ประโยชน์อย่างไม่เป็นธรรม การค้นพบนี้ค่อนข้างน่าสนใจและเกี่ยวข้องเนื่องจากกิจกรรมของกลุ่มถูกลดทอนลงอย่างมากเมื่อไม่กี่ปีที่ผ่านมาเมื่อรหัส - ฐานซอฟต์แวร์หลักรั่วไหลทางออนไลน์ การโจมตีดังกล่าวใช้ช่องโหว่ของระบบปฏิบัติการ Windows แบบ zero-day ที่ได้รับการรายงานเพื่อดำเนินการจารกรรมทางไซเบอร์ แน่นอนว่านี่เป็นเรื่องเกี่ยวกับการพัฒนาใหม่เนื่องจาก Buhtrap ไม่เคยแสดงความสนใจในการดึงข้อมูล กิจกรรมหลักของกลุ่มนี้เกี่ยวข้องกับการขโมยเงิน ย้อนกลับไปเมื่อมีการใช้งานสูงเป้าหมายหลักของ Buhtrap คือสถาบันการเงินและเซิร์ฟเวอร์ของพวกเขา กลุ่มนี้ใช้ซอฟต์แวร์และรหัสของตนเองเพื่อลดทอนความปลอดภัยของธนาคารหรือลูกค้าเพื่อขโมยเงิน
อนึ่งไมโครซอฟต์เพิ่งออกแพตช์เพื่อปิดกั้นช่องโหว่ระบบปฏิบัติการ Windows แบบ zero-day บริษัท ได้ระบุจุดบกพร่องและติดแท็ก CVE-2019-1132 แพทช์นี้เป็นส่วนหนึ่งของแพ็คเกจ Patch Tuesday กรกฎาคม 2019
Buhtrap หันไปสู่การจารกรรมไซเบอร์:
นักพัฒนาของ ESET ได้ยืนยันการมีส่วนร่วมของ Buhtrap ยิ่งไปกว่านั้นผู้ผลิตโปรแกรมป้องกันไวรัสยังได้เพิ่มกลุ่มที่มีส่วนเกี่ยวข้องในการดำเนินการจารกรรมทางไซเบอร์ สิ่งนี้ขัดแย้งกับการหาประโยชน์ก่อนหน้านี้ของ Buhtrap อย่างสิ้นเชิง อนึ่ง ESET ทราบถึงกิจกรรมล่าสุดของกลุ่ม แต่ยังไม่เปิดเผยเป้าหมายของกลุ่ม
ที่น่าสนใจคือหน่วยงานด้านความปลอดภัยหลายแห่งระบุซ้ำแล้วซ้ำอีกว่า Buhtrap ไม่ใช่ชุดแฮ็กเกอร์ที่รัฐให้การสนับสนุน นักวิจัยด้านความปลอดภัยมั่นใจว่ากลุ่มนี้ดำเนินธุรกิจจากรัสเซียเป็นหลัก มักถูกเปรียบเทียบกับกลุ่มแฮ็กอื่น ๆ ที่มุ่งเน้นเช่น Turla, Fancy Bears, APT33 และ Equation Group อย่างไรก็ตามมีความแตกต่างที่สำคัญอย่างหนึ่งระหว่าง Buhtrap และอื่น ๆ กลุ่มนี้ไม่ค่อยแสดงท่าทีหรือรับผิดชอบต่อการโจมตีอย่างเปิดเผย นอกจากนี้เป้าหมายหลักคือสถาบันการเงินมาโดยตลอดและกลุ่มนี้ใช้เงินแทนข้อมูล
Buhtrap ปรากฏตัวครั้งแรกในปี 2014 กลุ่มนี้กลายเป็นที่รู้จักหลังจากดำเนินธุรกิจในรัสเซียหลายแห่ง ธุรกิจเหล่านี้มีขนาดค่อนข้างเล็กและด้วยเหตุนี้การปล้นจึงไม่ได้ให้ผลตอบแทนมากมาย กลุ่ม บริษัท เริ่มตั้งเป้าไปที่สถาบันการเงินขนาดใหญ่ Buhtrap เริ่มดำเนินการตามธนาคารรัสเซียที่มีการป้องกันและรักษาความปลอดภัยทางดิจิทัลค่อนข้างดี รายงานจาก Group-IB ระบุว่ากลุ่ม Buhtrap ได้รับเงินมากกว่า 25 ล้านดอลลาร์ โดยรวมแล้วกลุ่มนี้สามารถบุกเข้าไปในธนาคารของรัสเซีย 13 แห่งได้สำเร็จโดยอ้างว่าไซแมนเทค บริษัท รักษาความปลอดภัย ที่น่าสนใจคือการปล้นดิจิทัลส่วนใหญ่ประสบความสำเร็จในระหว่างเดือนสิงหาคม 2015 ถึงกุมภาพันธ์ 2016 กล่าวอีกนัยหนึ่งคือ Buhtrap สามารถใช้ประโยชน์จากธนาคารรัสเซียสองแห่งต่อเดือน
กิจกรรมของกลุ่ม Buhtrap หยุดลงอย่างกะทันหันหลังจากที่ Buhtrap แบ็คดอร์ของพวกเขาเองซึ่งเป็นการผสมผสานระหว่างเครื่องมือซอฟต์แวร์ที่พัฒนาขึ้นอย่างชาญฉลาดปรากฏขึ้นทางออนไลน์ รายงานระบุว่ามีสมาชิกบางส่วนในกลุ่มที่อาจทำซอฟต์แวร์รั่วไหล ในขณะที่กิจกรรมของกลุ่มหยุดชะงักลงอย่างกะทันหันการเข้าถึงชุดเครื่องมือซอฟต์แวร์อันทรงพลังทำให้กลุ่มแฮ็กรายย่อยหลายกลุ่มเติบโตขึ้น การใช้ซอฟต์แวร์ที่สมบูรณ์แบบอยู่แล้วกลุ่มเล็ก ๆ จำนวนมากเริ่มทำการโจมตี ข้อเสียที่สำคัญคือจำนวนการโจมตีที่เกิดขึ้นโดยใช้ประตูหลังของ Buhtrap
นับตั้งแต่มีการรั่วไหลของประตูหลัง Buhtrap กลุ่มนี้ได้มุ่งเน้นไปที่การโจมตีทางไซเบอร์ด้วยเจตนาที่แตกต่างกัน อย่างไรก็ตามนักวิจัยของ ESET อ้างว่าพวกเขาได้เห็นกลยุทธ์การเปลี่ยนกลุ่มตั้งแต่ย้อนกลับไปในเดือนธันวาคม 2015 เห็นได้ชัดว่ากลุ่มนี้เริ่มกำหนดเป้าหมายหน่วยงานและสถาบันของรัฐ ESET ตั้งข้อสังเกตว่า“ เป็นเรื่องยากเสมอที่จะระบุว่าแคมเปญเป็นของนักแสดงคนใดคนหนึ่งเมื่อเครื่องมือของพวกเขา ' รหัสที่มาสามารถใช้ได้ฟรีบนเว็บ อย่างไรก็ตาม เนื่องจากการเปลี่ยนแปลงเป้าหมายเกิดขึ้นก่อนการรั่วไหลของซอร์สโค้ด เราประเมินด้วยความมั่นใจอย่างสูงว่าบุคคลกลุ่มเดิมที่อยู่เบื้องหลังการโจมตีด้วยมัลแวร์ Buhtrap ครั้งแรกกับธุรกิจและธนาคารนั้นมีส่วนเกี่ยวข้องกับการกำหนดเป้าหมายสถาบันของรัฐด้วย”
นักวิจัยของ ESET สามารถอ้างสิทธิ์ในมือของ Buhtrap ในการโจมตีเหล่านี้ได้เนื่องจากพวกเขาสามารถระบุรูปแบบและค้นพบความคล้ายคลึงกันหลายประการในวิธีการโจมตี “ แม้ว่าจะมีการเพิ่มเครื่องมือใหม่ลงในคลังแสงและการอัปเดตที่ใช้กับเครื่องมือรุ่นเก่า แต่กลยุทธ์เทคนิคและขั้นตอน (TTP) ที่ใช้ในแคมเปญ Buhtrap ที่แตกต่างกันไม่ได้เปลี่ยนแปลงไปอย่างมากในช่วงหลายปีที่ผ่านมา”
Buhtrap ใช้ช่องโหว่ของ Windows OS Zero-Day ที่สามารถซื้อได้บน Dark Web หรือไม่?
เป็นที่น่าสนใจที่จะสังเกตว่ากลุ่ม Buhtrap ใช้ช่องโหว่ภายในระบบปฏิบัติการ Windows ที่ค่อนข้างใหม่ กล่าวอีกนัยหนึ่งคือกลุ่มได้ใช้ข้อบกพร่องด้านความปลอดภัยที่มักจะติดแท็ก“ zero-day” ข้อบกพร่องเหล่านี้มักจะไม่ได้รับการแก้ไขและไม่สามารถหาได้ง่าย อนึ่งกลุ่มนี้เคยใช้ช่องโหว่ด้านความปลอดภัยในระบบปฏิบัติการ Windows มาก่อน อย่างไรก็ตามโดยทั่วไปแล้วพวกเขาอาศัยกลุ่มแฮ็กเกอร์อื่น ๆ นอกจากนี้ ช่องโหว่ส่วนใหญ่ยังมีแพตช์ที่ออกโดย Microsoft ค่อนข้างเป็นไปได้ที่กลุ่มจะทำการค้นหาโดยมองหาเครื่อง Windows ที่ไม่ได้จับคู่เพื่อแทรกซึมเข้าไป
นี่เป็นอินสแตนซ์แรกที่รู้จักกันในกรณีที่ตัวดำเนินการ Buhtrap ใช้ช่องโหว่ที่ไม่ได้แพตช์ กล่าวอีกนัยหนึ่งกลุ่มดังกล่าวใช้ช่องโหว่ที่แท้จริงของ Zero-day ภายใน Windows OS เนื่องจากเห็นได้ชัดว่ากลุ่มนี้ขาดชุดทักษะที่จำเป็นในการค้นหาข้อบกพร่องด้านความปลอดภัยนักวิจัยจึงเชื่ออย่างยิ่งว่ากลุ่มนี้อาจซื้อแบบเดียวกัน Costin Raiu ซึ่งเป็นหัวหน้าทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky เชื่อว่าช่องโหว่ของ Zero-day นั้นเป็นข้อบกพร่อง“ การยกระดับสิทธิพิเศษ” ที่นายหน้าหาประโยชน์ซึ่งเรียกว่า Volodya กลุ่มนี้มีประวัติขายการหาประโยชน์แบบ zero-day ให้กับทั้งกลุ่มอาชญากรรมไซเบอร์และกลุ่มประชาชาติ
มีข่าวลือที่อ้างว่า Buhtrap's pivot ไปสู่การจารกรรมทางไซเบอร์อาจได้รับการจัดการโดยหน่วยข่าวกรองของรัสเซีย แม้ว่าทฤษฎีจะไม่มีเหตุผล แต่ทฤษฎีก็มีความถูกต้อง อาจเป็นไปได้ว่าหน่วยสืบราชการลับของรัสเซียคัดเลือก Buhtrap เพื่อสอดแนมพวกเขา Pivot อาจเป็นส่วนหนึ่งของข้อตกลงในการให้อภัยการละเมิดในอดีตของกลุ่มแทนข้อมูลขององค์กรหรือหน่วยงานรัฐบาลที่มีความละเอียดอ่อน เชื่อกันว่าแผนกข่าวกรองของรัสเซียได้เตรียมการขนาดใหญ่ผ่านกลุ่มแฮ็กบุคคลที่สามในอดีต นักวิจัยด้านความปลอดภัยอ้างว่ารัสเซียคัดเลือกบุคคลที่มีความสามารถเป็นประจำ แต่ไม่เป็นทางการเพื่อพยายามเจาะระบบความปลอดภัยของประเทศอื่น ๆ
ที่น่าสนใจคือย้อนกลับไปในปี 2015 เชื่อกันว่า Buhtrap มีส่วนเกี่ยวข้องกับปฏิบัติการจารกรรมทางไซเบอร์กับรัฐบาล รัฐบาลของยุโรปตะวันออกและประเทศในเอเชียกลางมักอ้างว่าแฮกเกอร์รัสเซียพยายามเจาะระบบความปลอดภัยของตนหลายต่อหลายครั้ง