អ្នកលក់សន្តិសុខអ៊ីនធឺណេតរបស់រុស្សី Group-IB រាយការណ៍អំពីការកើនឡើងនូវសកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណេតដែលផ្តោតលើអាស៊ីនិងជាពិសេសប្រទេសសិង្ហបុរី។ក្នុងឆ្នាំ ២០១៨ ប័ណ្ណធនាគារប្រហែល ២០.០០០ ដែលជាកម្មសិទ្ធិរបស់ជនជាតិសិង្ហបុរីត្រូវគេដាក់លក់នៅលើគេហទំព័រខ្មៅ ហើយបន្ថែមទៅលើព័ត៌មានសម្ងាត់របស់គេហទំព័ររដ្ឋាភិបាលរាប់រយដែលត្រូវលួចដោយពួក Hacker អស់រយៈពេលពីរឆ្នាំមកហើយ។
តាមពិត ចំនួនប័ណ្ណដែលលេចធ្លាយកើនឡើង ៥៦ភាគរយនៅឆ្នាំ ២០១៨ ខណៈពេលដែលតម្លៃសរុបនៃប័ណ្ណធនាគាររបស់សឹង្ហបុរីត្រូវសម្របសម្រួលក្នុងឆ្នាំ ២០១៨ ត្រូវគេប៉ាន់ប្រមាណថាមានចំនួនជិត ៦៤០.០០០ ដុល្លារ។ស្ថានភាពនៅតំបន់អាស៊ីអាគ្នេយ៍និងសឹង្ហបុរី ជាពិសេស កើនឡើងដល់តំបន់ផ្សេងទៀតរួមទាំងសហរដ្ឋអាមេរិក និងអឺរ៉ុបនៅក្នុងចំនួននៃក្រុមដែលឧបត្ថម្ភដោយរដ្ឋរកឃើញ។
ក្នុងរយៈពេលមួយឆ្នាំ ក្រុមគាំទ្រដោយរដ្ឋចំនួន ២១ ដែលមានច្រើនជាងនៅសហរដ្ឋអាមេរិក និងអឺរ៉ុបត្រូវគេរកឃើញនៅក្នុងអាស៊ីអាគ្នេយ៍ដែលរួមមាន Lazarus ដែលជាអ្នកសម្តែងគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋកូរ៉េខាងជើងដែលល្បីល្បាញ យោងតាមរបាយការណ៍នៃនិន្នាការឧក្រិដ្ឋកម្មបច្ចេកវិទ្យា Hi-Tech ២០១៨ ។ក្រុមដូចជា Lazarus ក៏កំពុងប្រើឧបករណ៍ថ្មីដើម្បីកំណត់តំបន់គោលដៅនោះរួមទាំងមេរោគថ្មីដែលក្រុម IB រកឃើញនៅខែមករាឆ្នាំ ២០១៩ ដែលចម្លងកុំព្យូទ័រម៉ាស៊ីនដោយប្រើអ្វីដែលក្រុមហ៊ុនពិពណ៌នាថាជា'ការវាយប្រហាររន្ធទឹក'ដែលអ្នកឯកទេសជឿថាត្រូវគេប្រើចាប់តាំងពីឆ្នាំ២០១៦ ។
គេជឿជាក់ថាមេរោគថ្មីនេះត្រូវប្រើនៅក្នុងការវាយប្រហារថ្មីៗជាច្រើននៅទូទាំងតំបន់ដោយយ៉ាងហោចណាស់ធនធានវៀតណាមយ៉ាងតិចមួយត្រូវរកឃើញថាឆ្លង។”Malware ដែលរកឃើញថ្មីៗនេះមានមុខងារច្រើនណាស់: វាមានលទ្ធភាពទាញទិន្នន័យពីកុំព្យូទ័ររបស់ជនរងគ្រោះ ទាញយកនិងប្រតិបត្តិកម្មវិធីនិងពាក្យសម្ងាត់តាមរយៈសែល ដើរតួជាអ្នកចូលប្រើសំខាន់ដើម្បីទាញយកពាក្យសម្ងាត់របស់ជនរងគ្រោះ ផ្លាស់ប្តូរបង្កើតនិងលុបឯកសារ អាចបញ្ចូលកូត ទៅក្នុងដំណើរការដទៃទៀតនិងការចាក់បញ្ចាំង” នេះជាការលើកឡើងរបស់ Dmitry Volkov ជាCTO និងប្រធាននៃការគំរាមកំហែងឆ្លាតវៃរបស់ក្រុម – IB ។
“ដោយសារការកើនឡើងសកម្មភាពរបស់ក្រុមនៅក្នុងតំបន់នៅក្នុងឆ្នាំ ២០១៨ យើងជឿថា Lazarus នឹងបន្តធ្វើការវាយប្រហារប្រឆាំងនឹងធនាគារដែលនឹងនាំមកនូវការទូទាត់តាមប្រព័ន្ធ SWIFT ខុសច្បាប់ហើយទំនងជានឹងធ្វើពិសោធន៍ដោយផ្តោតចម្បងទៅលើតំបន់អាស៊ីនិងប៉ាស៊ីហ្វិក” ។លើសពីនេះទៀត ក្រុមដូចជា Lazarus មិនអៀនប្រៀនពីការវាយប្រហារពីមជ្ឈមណ្ឌលអុកឡុកដែលប្រទេសសិង្ហបុរីក្លាយជានៅឆ្នាំថ្មីនោះទេ។
Volkov និយាយថា “យើងរំពឹងថា APTs ផ្សេងទៀតដូចជា Silence, MoneyTaker, និង Cobalt នឹងវាយប្រហារជាច្រើនលើការផ្លាស់ប្តូររូបិយប័ណ្ណក្នុងរយៈពេលដ៏ខ្លីខាងមុខ” ។ការព្រួយបារម្ភចំពោះប្រទេសសិង្ហបុរី ការចូលប្រើរបស់អ្នកប្រើប្រាស់និងពាក្យសម្ងាត់ពីទីភ្នាក់ងាររដ្ឋាភិបាលដូចជា ភ្នាក់ងារបច្ចេកវិទ្យារដ្ឋាភិបាល ក្រសួងអប់រំ ក្រសួងសុខាភិបាល គេហទំព័រប៉ូលីសសិង្ហបុរី ប្រព័ន្ធគ្រប់គ្រងការសិក្សារៀនសូត្រនៅសកលវិទ្យាល័យសិង្ហបុរីនិងធនធានជាច្រើនផ្សេងទៀតត្រូវលួចដោយឧក្រិដ្ឋជនអ៊ីនធឺណេត។
“គណនីអ្នកប្រើប្រាស់ពីធនធានរដ្ឋាភិបាលត្រូវលក់នៅលើវេទិកាក្រោមដីឬប្រើក្នុងការវាយប្រហារគោលដៅលើភ្នាក់ងាររបស់រដ្ឋាភិបាលសម្រាប់គោលបំណងនៃការចារកម្មឬការបំផ្លិចបំផ្លាញនេះ” Volkov ឱ្យដឹង។ “សូម្បីតែគណនីដែលមានការសម្រុះសម្រួលមួយមិនត្រូវរកឃើញនៅពេលត្រឹមត្រូវក៏ដោយ វាអាចនាំឱ្យមានការរំខានដល់ប្រតិបត្តិការផ្ទៃក្នុងឬការលេចធ្លាយអាថ៌កំបាំងរបស់រដ្ឋាភិបាល។ឧក្រិដ្ឋជនអ៊ីនធឺណេតលួចទិន្នន័យអ្នកប្រើប្រាស់ដោយប្រើប្រាស់ spyware ពិសេសក្នុងគោលបំណងទទួលទិន្នន័យផ្ទៀងផ្ទាត់របស់អ្នកប្រើប្រាស់។
“Pony Formgrabber, QBot និង AZORult ក្លាយជាអ្នកលួចចម្លង Trojan ដែលមានប្រជាប្រិយភាពកំពូលបំផុតទាំងបីក្នុងចំណោមឧក្រិដ្ឋកម្មអ៊ីនធឺណេត នេះបើយោងតាមទិន្នន័យរបស់ក្រុមIB ” ។Pony Formgrabber យកព័ត៌មានសម្ងាត់ចូលពីឯកសារកំណត់រចនាសម្ព័ន្ធ មូលដ្ឋានទិន្នន័យ និងឃ្លាំងសម្ងាត់នៃកម្មវិធីជាង៧០ នៅលើកុំព្យូទ័រជនរងគ្រោះ ហើយបន្ទាប់មកផ្ញើព័ត៌មានដែលលួចទៅម៉ាស៊ីនមេ C & C របស់ឧក្រិដ្ឋជន។
Trojan-stealer មួយផ្សេងទៀតគឺ AZORult ក្រៅពីលួចពាក្យសម្ងាត់ពីកម្មវិធីរុករកដែលមានប្រជាប្រិយភាព វាមានលទ្ធភាពលួចទិន្នន័យកាបូប crypto ។មេរោគ Qbot ប្រមូលព័ត៌មានចូលប្រើតាមរយៈការប្រើប្រាស់ key-logger លួចយកឯកសារខូគីនិងវិញ្ញាបនបត្រ អ៊ីនធឺណេតសកម្ម និងបញ្ជូនអ្នកប្រើទៅកាន់គេហទំព័រក្លែងក្លាយ។
Trojans ទាំងអស់នេះមានលទ្ធភាពធ្វើអោយខូចដល់លិខិតសម្គាល់នៃកាបូបលុយ crypto និង ការផ្លាស់ប្តូរអ្នកប្រើ crypto ។ការលេចធ្លាយព័ត៌មានជាសាធារណៈគឺជាប្រភពដ៏ធំមួយទៀតនៃលិខិតសម្គាល់អ្នកប្រើដែលសម្របសម្រួលពីគេហទំព័ររបស់រដ្ឋាភិបាល។ ក្រុមការងារ IB ធ្វើការវិភាគអំពីការរំលោភបំពានទិន្នន័យសាធារណៈថ្មីៗនេះនិងរកឃើញកំណត់ត្រាចំនួន ២.៦៨៩ (សារអេឡិចត្រូនិចនិងពាក្យសម្ងាត់) ដែលទាក់ទងទៅនឹងគណនីរបស់រដ្ឋាភិបាលសឹង្ហបូរី។
