ព័ត៌មាន

ប្រតិបត្ដិការ Sharpshooter – អ្នកស្រាវជ្រាវភ្ជាប់យុទ្ធនាការជាលក្ខណៈសកលនេះទៅកាន់ក្រុមហេគឃ័រ Lazarus

អ្នកស្រាវជ្រាវសន្តិសុខពី McAfee ភ្ជាប់យុទ្ធនាការសកលមានឈ្មោះថា Operation Sharps​hooter ទៅកាន់ក្រុម Lazarus Hacker Group ដ៏ល្បីឈ្មោះ។ យុទ្ធនាការ Sharps​hooter ផ្តោត​សំខាន់ទៅលើសេវាកម្មហិរញ្ញវត្ថុរដ្ឋាភិបាល​និងហេដ្ឋារចនាសម្ព័ន្ធ​សំខាន់ៗ។ យុទ្ធនាការ​នេះ​ត្រូវគេកំណត់អត្តសញ្ញាណជាលើកដំបូងនៅក្នុងឆ្នាំ២០១៨ ប៉ុន្តែ​យោងតាមរបាយការណ៍​វិភាគ​ថ្មីៗយុទ្ធនាការនេះចាប់ផ្តើមនៅដើមខែកញ្ញាឆ្នាំ២០១៧។

image

អ្នកវាយប្រហារកំណត់គោលដៅលើ​អង្គការជាច្រើនដែលមានឯកសារពាក្យមេរោគដែលក្លែងធ្វើជាអ្នកជ្រើសរើសការងារដើម្បីទាញយកកម្មវិធី Sharpshooter ទៅក្នុងប្រវត្តចងចាំរបស់ Microsoft។  ក្រោយមកកម្មវិធីទាញ​យក​បានដំណាក់កាលទីពីរនៃការបង់ប្រាក់ដែលមានឈ្មោះថា Rising Sun malware ដែល​ប្រើប្រាស់កូដ Trojan Duuzer ជាកម្មសិទ្ធិរបស់ក្រុមហេគ Lazarus Hacker។

image

Rising Sun គឺជា backdoor ដែលមានមុខងារពេញលេញ​ ឈ្លបយកការណ៍លើបណ្តាញ​របស់​ជនរងគ្រោះ។វាប្រមូលព័ត៌មានដូចខាងក្រោមពីម៉ាស៊ីនដូចជាអាដាប់ទ័របណ្តាញឈ្មោះកុំព្យូទ័រ   ឈ្មោះរបស់អ្នកប្រើ  ព័ត៌មានអាសយដ្ឋាន IP    ព័ត៌មានប្រព័ន្ធដើម    និងឈ្មោះផលិតផល OS ។

ក្រុមវិភាគលើការគំរាមកំហែងកម្រិតខ្ពស់ McAfee វិភាគអំពីការគ្រប់គ្រងកូដរបស់​ម៉ាស៊ីនបម្រើពាក្យបញ្ជា និងផ្តល់ការយល់ដឹងកាន់តែច្រើន​អំពីរបៀបដែលជនល្មើស​បង្កប់​នៅ​ពីក្រោយក្រុមហ៊ុន Sharpshooter បង្កើត  និងកំណត់រចនាសម្ព័ន្ធការ​គ្រប់គ្រងហេដ្ឋា​រចនា​សម្ព័ន្ធ  របៀបចែកចាយមេរោគរបស់ពួកគេនេះ  និងរបៀបដែលពួកគេអនុវត្ត និយោងតាមប្រភពពីអ្នកវិទ្យា​សាស្ត្រជាន់ខ្ពស់របស់លោក Raj Samani និង McAfee និងប្រធានអ្នកវិទ្យាសាស្រ្ត។

ផ្អែកលើការវិភាគរបស់អ្នកស្រាវជ្រាវរកឃើញភស្តុតាងនៃភាពស្រដៀងគ្នារវាងចំពោះបច្ចេកទេស និងនីតិវិធីដែលបង្ហាញក្នុងការវាយប្រហារ Sharpshoot ទាំងអស់នៅឆ្នាំ២០១៨ និងទិដ្ឋភាពនៃការវាយប្រហារជាច្រើនផ្សេងទៀតរបស់ក្រុមអ្នក វាយប្រហារទៅនឹងក្រុម Lazarus ។

លទ្ធផលសំខាន់ៗ – ប្រតិបត្តិការ Sharpshooter

តាមរយៈការវិភាគកូដរបស់ម៉ាស៊ីនបម្រើ C2 អ្នកស្រាវជ្រាវអាចរកឃើញគោលថ្មី (v1.0, v1.1 និង v2.0) ដែលប្រើតាំងពីឆ្នាំ ២០១៦។ អ្នកវាយប្រហារថែរក្សាម៉ាស៊ីនបម្រើ C2 ជាមួយ​កម្មវិធីខាងក្រោយដែលសរសេរក្នុង Hypertext Preprocessor (PHP) និង Active Server Pages (ASP) មានលក្ខណៈពិសេសសម្រាប់ក្រុម។ ក្រុមវិភាគលេខកូដម៉ាស៊ីនមេ​​​​​ពាក្យបញ្ជា និងត្រួតពិនិត្យបង្ហាញថា អាសយដ្ឋាន IP ដែលរកឃើញពីទីក្រុង Windhoek មានទីតាំង​នៅទ្វីបអាហ្វ្រិក។

ក្រុមអ្នកស្រាវជ្រាវសង្ស័យថា  ក្រុមសម្តែងនៅពីក្រោយ Sharpshooter ប្រហែលជាបានធ្វើតេស្តការវះកាត់ និងបច្ចេកទេសផ្សេងទៀតរបស់ពួកគេនៅក្នុងវិស័យ នេះមុនពេលចាប់ផ្តើមធ្វើយុទ្ធនាការវាយប្រហារដ៏ធំទូលាយ ។ ការរចនា និងការប្រតិបត្តិប្រ តិបត្តិការ Sharpshooter តម្រៀបយុទ្ធនាការផ្សេងៗជាច្រើនទៀត ដែលផ្តល់ឱ្យក្រុម Lazarus Group ៕