ព័ត៌មាន

ក្រុមហេគឃ័ររបស់កូរ៉េខាងត្បូងប្រើប្រាស់នូវ ELECTRICFISH Tunnels ដើម្បីធ្វើការលួចបំប្លែងទិន្នន័យ

Wednesday, ទី12 June, ឆ្នាំ2019 07:06 am 0

ក្រសួងសន្តិសុខមាតុភូមិអាមេរិក (DHS) និង FBI ចេញសេចក្តីប្រកាសរួមអំពីមេរោគថ្មីមួយដែលក្រុមអ្នកវាយប្រហារ Hidden Cobra APT របស់កូរ៉េខាងជើងប្រើប្រាស់យ៉ាងសកម្ម។Hidden Cobra ដែលត្រូវគេស្គាល់ថាជា Lazarus Group និង Guardians of Peace ដែលត្រូវគេជឿជាក់ថាត្រូវគាំទ្រដោយរដ្ឋាភិបាលកូរ៉េខាងជើង និងត្រូវគេស្គាល់ថាជាអ្នកវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺរណិតប្រឆាំងនឹងប្រព័ន្ធផ្សព្វផ្សាយ អាកាសចរណ៍ វិស័យហេដ្ឋារចនាសម្ព័ន្ធហិរញ្ញវត្ថុនិងផ្នែកសំខាន់ៗនៅទូទាំងពិភពលោក។

ក្រុមអ្នកវាយប្រហារគឺដូចគ្នាជាមួយនឹងការគំរាមកំហែង ransomware WannaCry ក្នុងឆ្នាំ២០១៧ ការវាយប្រហារ Sony Pictures ឆ្នាំ២០១៤ និងការវាយប្រហារ SWIFT Banking នៅឆ្នាំ២០១៦ ។ឥឡូវនេះ ក្រសួងសន្តិសុខមាតុភូមិ និង FBI រកឃើញមេរោគថ្មីមួយដែលមានឈ្មោះថា ELECTRICFISH ដែលក្រុមវាយប្រហារ Hidden Cobra ប្រើសម្រាប់ធ្វើឱ្យស្ទះដំណើរការដោយសម្ងាត់ពីប្រព័ន្ធកុំព្យួទ័រ។

មេរោគអនុវត្តពិធីការផ្ទាល់ខ្លួនដែលកំណត់រចនាសម្ព័ន្ធជាមួយម៉ាស៊ីនមេ proxy / ច្រកនិង proxy ឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ដែលអនុញ្ញាតឱ្យពួកអ្នកវាយប្រហារអាចឆ្លងកាត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលតម្រូវដោយប្រព័ន្ធដើម្បីឈានទៅដល់ខាងក្រៅបណ្តាញ។មេរោគ ElectricFish គឺជាឧបករណ៍បញ្ជាបន្ទាត់ដែលមានគោលបំណងចម្បងធ្វើឱ្យស្ទះចរាចរណ៍រវាងអាសយដ្ឋាន IP ពីរ។

មេរោគអនុញ្ញាតិឱ្យពួកអ្នកវាយប្រហារ Hidden Cobra កំណត់រចនាសម្ព័ន្ធជាមួយម៉ាស៊ីនមេ proxy និង proxy ឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ដែលអាចតភ្ជាប់ទៅប្រព័ន្ធដែលអង្គុយនៅខាងក្នុងនៃម៉ាស៊ីនមេ proxy ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់ការសម្គាល់អត្តសញ្ញាណដែលតម្រូវឱ្យមានរបស់ប្រព័ន្ធដែលឆ្លងមេរោគ។”វានឹងព្យាយាមបង្កើតវគ្គ TCP ជាមួយប្រភពអាសយដ្ឋាន IP និងអាសយដ្ឋាន IP ទិសដៅ។ ប្រសិនបើការតភ្ជាប់ត្រូវធ្វើឡើងទាំងប្រភពនិងអាសយដ្ឋានគោលដៅ IP ឧបករណ៍ប្រើប្រាស់ព្យាបាទនេះនឹងអនុវត្តពិធីការផ្ទាល់ខ្លួនដែលនឹងអនុញ្ញាតឱ្យចរាចរលឿននិងមានប្រសិទ្ធិភាពដោយបង្រួមផ្លូវរវាងម៉ាស៊ីនពីរ»។

“ប្រសិនបើចាំបាច់ មេរោគអាចផ្ទៀងផ្ទាត់ជាមួយ proxy ដើម្បីអាចទៅដល់អាសយដ្ឋាន IP ទិសដៅ។ ម៉ាស៊ីនមេ proxy ដែលតំឡើងគឺមិនត្រូវការសម្រាប់ឧបករណ៍នេះទេ។ “នៅពេលដែល ElectricFish ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយ proxy ដែលកំណត់រចនាសម្ព័ន្ធ វាព្យាយាមបង្កើតវេទិកាជាមួយអាសយដ្ឋាន IP ទិសដៅភ្លាមៗដែលស្ថិតនៅខាងក្រៅបណ្តាញជនរងគ្រោះនិងប្រភពអាសយដ្ឋាន IP។ ការវាយប្រហារនេះនឹងប្រើប្រអប់បញ្ចូលពាក្យបញ្ជាដើម្បីបញ្ជាក់ពីប្រភពនិងទិសដៅសម្រាប់ចរាចរផ្លូវរូងក្រោមដី។

ទោះបីជាគេហទំព័រ US-CERT មិនបញ្ជាក់ថាតើអង្គការអាមេរិកណាដែលត្រូវឆ្លងមេរោគនេះរួចក៏ដោយ របាយការណ៍វិភាគមេរោគ (MAR) និយាយថាការជូនដំណឹងនេះត្រូវចេញផ្សាយឱ្យដំណើរការដើម្បីការពារប្រព័ន្ធនិងកាត់បន្ថយការប៉ះពាល់ទៅនឹងសកម្មភាពអ៊ីនធឺរណិតដែលព្យាបាទរបស់រដ្ឋាភិបាលកូរ៉េខាងជើង។ “នេះមិនមែនជាលើកទីមួយទេដែល DHS និង FBI ចេញសេចក្តីជូនដំណឹងរួមគ្នាមួយដើម្បីព្រមានអ្នកប្រើនិងអង្គការអំពីមេរោគ Hidden Cobra ។

កាលពីចុងឆ្នាំមុន នាយកដ្ឋានអាមេរិកព្រមានអំពីមេរោគ FastCash ដែល Hidden Cobra ប្រើប្រាស់តាំងពីឆ្នាំ២០១៦ ដើម្បីសម្រុះសម្រួលម៉ាស៊ីនបម្រើកម្មវិធីទូទាត់ប្រាក់នៅក្នុងធនាគារនៅទ្វីបអាហ្វ្រិកនិងអាស៊ីក្នុងគោលបំណងទូទាត់ប្រាក់ពីម៉ាស៊ីនអេធីអឹម។តិចជាងមួយឆ្នាំមុន DHS និង FBI ក៏ចេញផ្សាយការជូនដំណឹងរំលឹកអ្នកប្រើប្រាស់ពីមេរោគពីរផ្សេងគ្នាដែលមានមុខងារ Remote Access Trojan (RAT) ដែលត្រូវគេស្គាល់ថា Joanap និង Server Message Block (SMB) worm ដែលហៅថា Brambul ភ្ជាប់ទៅនឹង Hidden Cobra ។

នៅឆ្នាំ២០១៧ US-CERT ក៏ចេញសេចក្តីជូនដំណឹងដែលមានរៀបរាប់លម្អិតអំពីមេរោគ Hidden Cobra ដែលហៅថា Delta Charlie ជាឧបករណ៍ DDoS ដែលពួកគេជឿថាពួកអ្នកវាយប្រហាររបស់កូរ៉េខាងជើងប្រើដើម្បីចាប់ផ្ដើមដំណើរការការវាយប្រហារបដិសេធសេវាកម្មដែលត្រូវចែកចាយទៅប្រឆាំងនឹងគោលដៅរបស់ខ្លួន។

ក្រសួងសន្តិសុខមាតុភូមិអាមេរិក (DHS) និង FBI ចេញសេចក្តីប្រកាសរួមអំពីមេរោគថ្មីមួយដែលក្រុមអ្នកវាយប្រហារ Hidden Cobra APT របស់កូរ៉េខាងជើងប្រើប្រាស់យ៉ាងសកម្ម។Hidden Cobra ដែលត្រូវគេស្គាល់ថាជា Lazarus Group និង Guardians of Peace ដែលត្រូវគេជឿជាក់ថាត្រូវគាំទ្រដោយរដ្ឋាភិបាលកូរ៉េខាងជើង និងត្រូវគេស្គាល់ថាជាអ្នកវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺរណិតប្រឆាំងនឹងប្រព័ន្ធផ្សព្វផ្សាយ អាកាសចរណ៍ វិស័យហេដ្ឋារចនាសម្ព័ន្ធហិរញ្ញវត្ថុនិងផ្នែកសំខាន់ៗនៅទូទាំងពិភពលោក។

ក្រុមអ្នកវាយប្រហារគឺដូចគ្នាជាមួយនឹងការគំរាមកំហែង ransomware WannaCry ក្នុងឆ្នាំ២០១៧ ការវាយប្រហារ Sony Pictures ឆ្នាំ២០១៤ និងការវាយប្រហារ SWIFT Banking នៅឆ្នាំ២០១៦ ។ឥឡូវនេះ ក្រសួងសន្តិសុខមាតុភូមិ និង FBI រកឃើញមេរោគថ្មីមួយដែលមានឈ្មោះថា ELECTRICFISH ដែលក្រុមវាយប្រហារ Hidden Cobra ប្រើសម្រាប់ធ្វើឱ្យស្ទះដំណើរការដោយសម្ងាត់ពីប្រព័ន្ធកុំព្យួទ័រ។

មេរោគអនុវត្តពិធីការផ្ទាល់ខ្លួនដែលកំណត់រចនាសម្ព័ន្ធជាមួយម៉ាស៊ីនមេ proxy / ច្រកនិង proxy ឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ដែលអនុញ្ញាតឱ្យពួកអ្នកវាយប្រហារអាចឆ្លងកាត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលតម្រូវដោយប្រព័ន្ធដើម្បីឈានទៅដល់ខាងក្រៅបណ្តាញ។មេរោគ ElectricFish គឺជាឧបករណ៍បញ្ជាបន្ទាត់ដែលមានគោលបំណងចម្បងធ្វើឱ្យស្ទះចរាចរណ៍រវាងអាសយដ្ឋាន IP ពីរ។

មេរោគអនុញ្ញាតិឱ្យពួកអ្នកវាយប្រហារ Hidden Cobra កំណត់រចនាសម្ព័ន្ធជាមួយម៉ាស៊ីនមេ proxy និង proxy ឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ដែលអាចតភ្ជាប់ទៅប្រព័ន្ធដែលអង្គុយនៅខាងក្នុងនៃម៉ាស៊ីនមេ proxy ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់ការសម្គាល់អត្តសញ្ញាណដែលតម្រូវឱ្យមានរបស់ប្រព័ន្ធដែលឆ្លងមេរោគ។”វានឹងព្យាយាមបង្កើតវគ្គ TCP ជាមួយប្រភពអាសយដ្ឋាន IP និងអាសយដ្ឋាន IP ទិសដៅ។ ប្រសិនបើការតភ្ជាប់ត្រូវធ្វើឡើងទាំងប្រភពនិងអាសយដ្ឋានគោលដៅ IP ឧបករណ៍ប្រើប្រាស់ព្យាបាទនេះនឹងអនុវត្តពិធីការផ្ទាល់ខ្លួនដែលនឹងអនុញ្ញាតឱ្យចរាចរលឿននិងមានប្រសិទ្ធិភាពដោយបង្រួមផ្លូវរវាងម៉ាស៊ីនពីរ»។

“ប្រសិនបើចាំបាច់ មេរោគអាចផ្ទៀងផ្ទាត់ជាមួយ proxy ដើម្បីអាចទៅដល់អាសយដ្ឋាន IP ទិសដៅ។ ម៉ាស៊ីនមេ proxy ដែលតំឡើងគឺមិនត្រូវការសម្រាប់ឧបករណ៍នេះទេ។ “នៅពេលដែល ElectricFish ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយ proxy ដែលកំណត់រចនាសម្ព័ន្ធ វាព្យាយាមបង្កើតវេទិកាជាមួយអាសយដ្ឋាន IP ទិសដៅភ្លាមៗដែលស្ថិតនៅខាងក្រៅបណ្តាញជនរងគ្រោះនិងប្រភពអាសយដ្ឋាន IP។ ការវាយប្រហារនេះនឹងប្រើប្រអប់បញ្ចូលពាក្យបញ្ជាដើម្បីបញ្ជាក់ពីប្រភពនិងទិសដៅសម្រាប់ចរាចរផ្លូវរូងក្រោមដី។

ទោះបីជាគេហទំព័រ US-CERT មិនបញ្ជាក់ថាតើអង្គការអាមេរិកណាដែលត្រូវឆ្លងមេរោគនេះរួចក៏ដោយ របាយការណ៍វិភាគមេរោគ (MAR) និយាយថាការជូនដំណឹងនេះត្រូវចេញផ្សាយឱ្យដំណើរការដើម្បីការពារប្រព័ន្ធនិងកាត់បន្ថយការប៉ះពាល់ទៅនឹងសកម្មភាពអ៊ីនធឺរណិតដែលព្យាបាទរបស់រដ្ឋាភិបាលកូរ៉េខាងជើង។ “នេះមិនមែនជាលើកទីមួយទេដែល DHS និង FBI ចេញសេចក្តីជូនដំណឹងរួមគ្នាមួយដើម្បីព្រមានអ្នកប្រើនិងអង្គការអំពីមេរោគ Hidden Cobra ។

កាលពីចុងឆ្នាំមុន នាយកដ្ឋានអាមេរិកព្រមានអំពីមេរោគ FastCash ដែល Hidden Cobra ប្រើប្រាស់តាំងពីឆ្នាំ២០១៦ ដើម្បីសម្រុះសម្រួលម៉ាស៊ីនបម្រើកម្មវិធីទូទាត់ប្រាក់នៅក្នុងធនាគារនៅទ្វីបអាហ្វ្រិកនិងអាស៊ីក្នុងគោលបំណងទូទាត់ប្រាក់ពីម៉ាស៊ីនអេធីអឹម។តិចជាងមួយឆ្នាំមុន DHS និង FBI ក៏ចេញផ្សាយការជូនដំណឹងរំលឹកអ្នកប្រើប្រាស់ពីមេរោគពីរផ្សេងគ្នាដែលមានមុខងារ Remote Access Trojan (RAT) ដែលត្រូវគេស្គាល់ថា Joanap និង Server Message Block (SMB) worm ដែលហៅថា Brambul ភ្ជាប់ទៅនឹង Hidden Cobra ។

នៅឆ្នាំ២០១៧ US-CERT ក៏ចេញសេចក្តីជូនដំណឹងដែលមានរៀបរាប់លម្អិតអំពីមេរោគ Hidden Cobra ដែលហៅថា Delta Charlie ជាឧបករណ៍ DDoS ដែលពួកគេជឿថាពួកអ្នកវាយប្រហាររបស់កូរ៉េខាងជើងប្រើដើម្បីចាប់ផ្ដើមដំណើរការការវាយប្រហារបដិសេធសេវាកម្មដែលត្រូវចែកចាយទៅប្រឆាំងនឹងគោលដៅរបស់ខ្លួន។

image

image

 

Tags: