Cybercrime

ทีมวิจัยของ ESET ช่วยเหลือ FBI สืบคดี Windigo ตามจับกุมแฮกเกอร์ชาวรัสเซีย

หลังจากจับกุมผู้สมรู้ร่วมคิดของ Operation Windigo แล้วจะเป็นอย่างไร และ ESET มีส่วนช่วยในการจับกุมอย่างไร?

Flash back ถึง Operation Windigo

ในเดือนมีนาคม 2014 ทาง ESET เขียนบทวิเคราะห์ Operation Windigo ชุดอุปกรณ์มัลแวร์ของ Linux ที่เคยใช้เพื่อเปลี่ยนเส้นทางทราฟฟิคของเว็บไซต์ แต่กลับถูกนำมาส่งสแปม และเป็นที่รวบรวมเนื้อหาอันตรายทั้งหลาย การวิจัยใช้เวลาเกือบปีที่จะวิเคราะห์ส่วนประกอบแต่ละส่วนและนำมาประกอบกัน พวกเราภูมิใจมากที่งานของเราได้รับรางวัลจาก Virus Bulletin

แกนกลางของ Operation Windigo คือ Linux/Ebury หรือ OpenSSH backdoor และตัวขโมยข้อมูลที่ติดตั้งบนเซิร์ฟเวอร์นับหมื่นนับพัน แฮกเกอร์ใช้ backdoor นี้ติดตั้งมัลแวร์ (Linux/Cdorked) เพื่อใช้เปลี่ยนเส้นทางทราฟฟิคของเว็บไซต์ และส่งสแปม (Perl/Calfbot หรือ SSH tunnels) และที่สำคัญที่สุดก็คือขโมยข้อมูลสำคัญ เมื่อมีการใช้ OpenSSH โดย Client

หลังจากที่เราปล่อยบทวิเคราะห์ Windigo ก็มีอัพเดตเกี่ยวกับ Windigo และ Ebury วันนี้เรามีอัพเดตเกี่ยวกับการจับกุมนาย Maxim Senakh

ESET ร่วมมือกับ FBI

หน้าที่ของนักวิจัย ESET ก็คือการเสาะหาภัยคุกคามใหม่ๆ และปกป้องผู้ใช้จากภัยคุกคามเหล่านี้ จำนวนของผู้ใช้ที่เราต้องดูแลมีมากขึ้นเรื่อยๆ และทางเราพยายามที่จะปกป้องผู้ใช้ให้มากที่สุดเท่าที่จะเป็นไปได้ ในทุกรูปแบบ ทั้งยับยั้งการทำงานของเซิร์ฟเวอร์แฮกเกอร์ ขัดขวาง หรือแม้กระทั่งช่วยสืบหาแฮกเกอร์เพื่อนำมาดำเนินคดี

เมื่อนักวิจัยมัลแวร์สามารถจำแนกมัลแวร์ได้โดยการจับพฤติกรรม รูปแบบของตัวอย่างที่หามาได้จะทำให้เราทราบว่าแหล่งที่มาของมัลแวร์มาจากบุคคลทั่วไป หรือหน่วยงานของรัฐบาล

ในกรณีของ Windigo เราร่วมมือกับ FBI ด้วยการแบ่งปันข้อมูลเชิงเทคนิคเกี่ยวกับการทำงาน และชิ้นส่วนของมัลแวร์ ทำให้พนักงานสืบสวนของ FBI สามารถทำความเข้าใจ และตรวจสอบส่วนที่ซับซ้อนได้ง่ายกว่าเดิม นอกจากนั้นบทวิเคราะห์ของเรายังถูกนำไปใช้ในกระบวนสืบสวนของศาลอีกด้วย

เรื่องราวของนาย Maxim Senakh

ไม่ใช่เรื่องง่ายเลยที่จะจับกุมผู้สมรู้ร่วมคิดกับ Operation Windigo ทาง FBI สืบจากการเดินทางของเงินที่รวบรวมผ่านเครือข่ายโฆษณา โฆษณาเหล่านี้เข้าไปเกี่ยวกับทราฟฟิคจากบอทเน็ตของ Ebury ที่ลงทะเบียนไว้โดยชาวรัสเซียที่ใช้ตัวตนปลอม และจัดการการโอนเงินต่างๆ

นาย Maxim Senakh ถูกจับกุมในวันที่ 8 สิงหาคม 2015 โดยผู้รับผิดชอบจากฟินแลนด์ ณ ชายแดนของประเทศฟินแลนด์ แต่การจับกุมไม่ได้เป็นไปอย่างง่ายดาย เพราะกระบวนการการส่งผู้ร้ายข้ามแดนไม่ได้ตรงไปที่รัสเซีย ทางสหรัฐฯต้องส่งคำขอไปที่ศาลของฟินแลนด์ และต้องผ่านกระบวนการซับซ้อน กว่าที่นาย Senakh จะถูกส่งตัวไปที่สหรัฐฯในเดือนกุมภาพันธุ์ 2016

ในตอนแรกนาย Senakh ปฏิเสธทุกข้อกล่าวหา ทาง ESET จึงได้รับคำขอให้อธิบายว่า Windigo และ Ebury คืออะไร และพิสูจน์ต่อหน้าศาล

ในเดือนมีนาคม 2017 นาย Senakh ยอมรับความผิดเพื่อลดโทษ ต่อมาในเดือนสิงหาคม นาย Senakh ถูกศาลสั่งลงโทษจำคุก 46 เดือนในเรือนจำของรัฐมินนิโซตา

ไทม์ไลน์:

  • 2015-01-13: Indictment against Maxim Senakh is produced, charging him with 11 counts.
  • 2015-08-08: Maxim Senakh is arrested by Finnish authorities at its border while returning to Russia after personal travel.
  • 2016-01-05: Finland agrees to the extradition of Senakh.
  • 2016-02-04: Senakh is extradited from Finland to the US, where he pleads not guilty to all charges against him.
  • 2017-03-28: Maxim Senakh enters into a plea agreement with the US Attorney’s Office and pleads guilty to the first count of the indictment, the remaining 10 being dismissed.
  • 2017-08-03: Senakh is sentenced to 46 months in federal prison, without the possibility of parole.

ตอนนี้ Windigo อยู่ที่ไหน?

การจับกุมนาย Senakh จะทำให้ Operation Windigo จบลงเลยหรือไม่?

หลังจากที่นาย Senakh ถูกจับกุมในปี 2015 ทราฟฟิคของส่วนประกอบของ Operation Windigo Cdorked ลดลงทันที ซึ่งทาง FBI คาดว่ากิจกรรมเหล่านี้จะไม่กลับมาอีก

ซึ่งนับเป็นข่าวดี แต่ Windigo ยังไม่ได้หายไปไหน เพราะพวกเราเห็นสายพันธุ์ใหม่ Win32/Glupteba มัลแวร์ Windows ที่มีความสัมพันธ์กับ Windigo ในตอนนี้ส่วนประกอบหลักของ Linux/Ebury ได้พัฒนาและมีลูกเล่นใหม่ๆ อย่างการหลีกเลี่ยงการตรวจจับ

Author: MARC-ETIENNE M.LÉVEILLÉ
Source:
https://www.welivesecurity.com/2017/10/30/esets-research-fbi-windigo-maxim-senakh/
Translated by: Worapon H.

%d bloggers like this: