Cybersecurity Top Stories

Trends 2018: ถึงเวลาของอาชญากรรมไซเบอร์

ถึงเวลาแล้วกับปฏิบัติการโต้กลับอาชญกรไซเบอร์และแฮกเกอร์ทั่วโลกในปี 2018

นักวิจัยความปลอดภัยและผู้บังคับใช้กฎหมายร่วมมือกันปราบอาชญากรไซเบอร์

จุดประสงค์หลักของการวิเคราะห์มัลแวร์คือ การเอาชิ้นส่วนของมัลแวร์มาวิเคราะห์การทำงาน เพื่อค้นหา IoCs (Indicators of Compromise) หรือตัวชี้วัดการเจาะระบบและกำหนดมาตรการป้องกัน ซึ่งล้วนแล้วเป็นเชิงเทคนิค ผลลัพธ์ที่ได้จะช่วยให้องค์กรสามารถป้องกันการแพร่ระบาดและลดความเสี่ยงจากการถูกแทรกซึมได้ รวมถึงเป็นประโยชน์ต่อผู้พัฒนาซอฟต์แวร์ความปลอดภัยและผู้ใช้

แต่บางคำถามต้องการคำตอบ อย่างเช่นความเกี่ยวข้องกันระหว่างไฟล์ โครงสร้างพื้นฐานของ Command & Control (C&C) เป็นอย่างไร? และโปรโตคอลเชื่อมต่อกันอย่างไร? สร้างรายได้ให้กับแฮกเกอร์อย่างไร? เพื่อมองภาพใหญ่ของมัลแวร์ และเข้าใจถึงตัวผู้กระทำ

ตัวอย่างของปฏิบัติการเพื่อถอนรากถอนโคนอาชญกรไซเบอร์

ในปี 2015 ESET ได้รับคำเชิญจาก Microsoft ให้เข้าร่วมปฏิบัติการ Coordinated Malware Eradication (CME) เพื่อจัดการกับมัลแวร์ Win32/Dorkbot เจ้าตัว Dorkbot ถูกนำไปขายในตลาดมืด และสร้างความเสียหายให้กับคอมพิวเตอร์นับล้านเครื่อง จุดประสงค์ของปฏิบัติการนี้ก็คือทำลายเครือข่ายบอทเน็ตนี้ให้มากที่สุดเท่าที่จะเป็นไปได้ด้วยการ จัดการกับโครงสร้างที่เกี่ยวข้องกับ C&C พร้อมกัน

ESET รับหน้าที่วิจัยมัลแวร์เพื่อหาข้อมูล C&C จาก Dorkbot เราประยุกต์ใช้ทั้งตัวอย่างเก่าและใหม่ รวมถึงวิเคราะห์ผลลัพธ์และกำจัดมัลแวร์โดยไม่ให้กระทบต่อ IP ที่ได้รับผลกระทบ หลังจากนั้นทาง Microsoft จึงรวบรวมข้อมูล และส่งต่อให้กับผู้บังคับใช้กฎหมายทั่วโลก Canadian Radio-television and Telecommunications Commission (CRTC), the Department of Homeland Security’s United States Computer Emergency Readiness Team (DHS/US‑CERT), Europol, the Federal Bureau of Investigation (FBI), Interpol, และ the Royal Canadian Mounted Police (RCMP) เพื่อกำจัดขั้นตอนสุดท้าย

หลังจากนั้นเราก็ได้เห็นการพังทลายของกิจกรรม Dorkbot ทั่วโลก ทำให้เราเชื่อว่าปฏิบัติการครั้งนี้ประสงความสำเร็จ

Windigo และบอทเน็ต Ebury

ESET เป็นรายแรกที่ปล่อยบทวิเคราะห์เชิงเทคนิค Operation Windigo ในปี 2014 รายละเอียดสั้นๆของ Windigo ก็คือมัลแวร์ขโมยข้อมูลที่ฝังอยู่ในเซิร์ฟเวอร์ Linux นับหมื่นตัว และยังมีส่วนประกอบที่เอาไว้ทำเงินให้กับแฮกเกอร์ อย่างเช่นการแสดงโฆษณา สแปม ทราฟฟิคต่างๆ

ทาง ESET ได้มีโอกาสแบ่งปันข้อมูลเกี่ยวกับการวิจัยมัลแวร์ อย่างเช่น IP ที่ไม่ปลอดภัย ข้อความสแปมที่ถูกส่งโดยบอทเน็ต และข้อมูลที่เกี่ยวข้องจำพวก ข้อมูลโดเมน ฯลฯ

ต่อมา FBI ได้ทำหน้าที่ติดตามและจับกุมในช่วงต้นปี 2015 นาย Maxim Senakh ชาวรัสเซียหนึ่งในผู้อยู่เบื้องหลัง Operation Windigo ถูกตั้งข้อกล่าวหา และถูกจับกุมโดยหน่วยงานของประเทศฟินแลนด์ และถูกนำตัวส่งไปยังประเทศสหรัฐอเมริกาเพื่อดำเนินคดี

ทำไมเรื่องนี้ถึงสำคัญ?

มันเป็นเรื่องคุ้มค่าเสมอที่จะทำให้งานของอาชญากรไซเบอร์ทำงานยากขึ้น เราเชื่อว่านี่เป็นทางเดียวที่จะช่วยป้องกันอาชญากรรมไซเบอร์ และกิจกรรมอันตรายต่างๆ เพื่อสร้างสภาพแวดล้อมไซเบอร์ที่ดีและปลอดภัยมากกว่าเดิม

มีทฤษฎีมากมายที่อยู่เบื้องหลังการป้องกันอาชญากรรม และเราไม่ได้ทำตัวเหมือนว่าเป็นผู้เชี่ยวชาญด้านอาชญากรรม เรามีการวางแผนต่อสู้กับมันอย่างจริงจังเป็นทฤษฎีชื่อว่า situational crime prevention ที่บอกเอาไว้ว่า

“Situational crime prevention is based upon the premise that crime is often opportunistic and aims to modify contextual factors to limit the opportunities for offenders to engage in criminal behaviour.”

โดยเทคนิคการป้องกันอาชญากรรมในแต่ละสถานการณ์สามารถแบ่งกลุ่มได้เป็น 3 กลุ่มขึ้นอยู่กับความเกี่ยวข้องกับสิ่งที่เราจะทำ

1. เพิ่มความพยายามในการติดตามผู้กระทำผิด

เริ่มปฏิบัติการกวาดล้าง อย่างเช่น การกวาดล้าง Dorkbot บังคับให้แฮกเกอร์ต้องกระจัดกระจาย สร้างมัลแวร์ใหม่หรือเปลี่ยนโปรโตคอล และใช้ความพยายามเพื่อที่จะรักษาแผนการของตัวเองมากขึ้น

2. ลดผลประโยชน์ที่จะได้รับจากอาชญากรรมไซเบอร์

ต่อเนื่องมาจากข้อ 1 การขัดขวางกิจกรรมอันตรายเป็นการบังคับให้เพิ่มต้นทุนของการก่ออาชญากรรมไซเบอร์ และลดผลประโยชน์ที่ได้จากการก่ออาชญากรรม

3. เพิ่มความเสี่ยงจากการกระทำผิดต่อกฎหมาย

การให้ข้อมูลเชิงเทคนิคกับหน่วยงานกฎหมายจะช่วยให้การสืบสวนง่ายขึ้น และนำไปสู่การจับกุมและดำเนินคดีได้มากขึ้น เพิ่มความเสี่ยงในการถูกจับกุมของผู้กระทำผิด

เชื่อว่าหลายคนคงคิดว่าแฮกเกอร์สามารถทำงานบนอินเตอร์เน็ตได้โดยที่ไม่มีใครจับได้ และโอกาสที่จะตามตัวได้มีน้อยมาก ทำให้หลายคนยอมยอมแพ้และคิดว่าการติดตามตัวอาชญากรไซเบอร์เป็นเรื่องที่เกินเอื้อม และอีกเหตุผลก็คือกฎหมายในบางประเทศที่ไม่รองรับกับอาชญากรรมไซเบอร์ แต่การจับกุมก็สามารถเกิดขึ้นในต่างประเทศได้เช่นกัน

Author: Alexis Dorais-Joncas
Source:
https://www.welivesecurity.com/2018/07/12/trends-2018-time-cybercrime/
Translated by: Worapon H.

%d bloggers like this: