ผู้เผยแพร่ Kaspersky ได้ครอบครองคลังแสงมัลแวร์ที่มีความซับซ้อนเป็นพิเศษซึ่งมีร่องรอยย้อนกลับไปที่หน่วยงานสายลับของอเมริกา เป็นการดำดิ่งสู่ศิลปะแห่งสงครามดิจิทัลที่น่าเวียนหัว
กษัตริย์เปลือยเปล่าก็เกือบจะแล้ว หลังจากการสืบสวนเป็นเวลาหลายเดือน นักวิจัยด้านความปลอดภัยของ Kasperky ก็ได้ตรวจพบสปายแวร์ชุดหนึ่งที่ซับซ้อนพอๆ กับ Stuxnet ซึ่งใช้โดยกลุ่มที่พวกเขาเรียกว่า "Equation Group" สิ่งนี้เปิดใช้งานมาตั้งแต่ปี 2544 เป็นอย่างน้อย ใช้เครือข่ายเซิร์ฟเวอร์คำสั่งและควบคุมที่กว้างขวาง (มากกว่าร้อยเครื่อง) และแพร่ระบาดไปยังเครื่องคอมพิวเตอร์เวิร์คสเตชั่นนับหมื่นเครื่องทั่วโลก คุณจะเข้าใจแล้วว่า เบื้องหลัง "กลุ่มสมการ" นั้นแท้จริงแล้วถูกซ่อนไว้... NSA Kaspersky ไม่สามารถยืนยันสิ่งนี้ได้จากองค์ประกอบที่อยู่ในความครอบครอง แม้ว่าจะมีเบาะแสมากมายชี้ไปในทิศทางนี้ก็ตาม อย่างไรก็ตามเรื่องนี้ก็ได้รับการยืนยันด้วยสำนักข่าวรอยเตอร์โดยอดีตสมาชิกของหน่วยงานอเมริกัน ความสงสัยจึงเป็นไปไม่ได้
ในบรรดาโปรแกรมสปายแวร์ครึ่งโหลที่วิเคราะห์ มีโปรแกรมหนึ่งที่มีประสิทธิภาพเหนือกว่าโปรแกรมอื่นทั้งหมด เนื่องจากสามารถตั้งโปรแกรมใหม่ ("แฟลช") เฟิร์มแวร์ของฮาร์ดไดรฟ์เกือบทั้งหมดในตลาด: Maxtor, Western Digital, Samsung, Toshiba, Seagate , ฮิตาชิ, ไอบีเอ็ม, ไมครอน เทคโนโลยีส์ เป็นต้น เพื่อจุดประสงค์อะไร? เพื่อจะติดตั้งสายลับที่มีความทนทานเป็นพิเศษ จึงเป็นไปไม่ได้ที่มนุษย์ธรรมดาจะถอดออก และยังคงใช้งานได้แม้ว่าจะฟอร์แมตฮาร์ดไดรฟ์เสร็จสมบูรณ์หรือติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม โมดูลการเขียนโปรแกรมฮาร์ดไดรฟ์ใหม่นี้ไม่ได้ใช้สำหรับการเฝ้าระวังจำนวนมากอย่างเห็นได้ชัด จากข้อมูลของ Kaspersky การมีอยู่ของมันคือ“หายากมาก”- การใช้งานอาจสงวนไว้สำหรับการสอดแนมเป้าหมายที่เฉพาะเจาะจงบางประการ
ระบบไฟล์ที่ซ่อนอยู่ในรีจิสทรี
แต่ฟังก์ชันที่ผิดปกตินี้เป็นเพียงโมดูลหนึ่งของแพลตฟอร์มสอดแนมที่กว้างกว่ามากซึ่ง Kaspersky เรียกว่า GreyFish เมื่อคอมพิวเตอร์ Windows ถูกเจาะเข้าไป มันจะติดตั้งได้อย่างราบรื่นและแทบมองไม่เห็น แท้จริงแล้ว เพื่อที่จะได้ตั้งหลักในระบบ GreyFish จึงแพร่เชื้อไปยังบันทึกการบูตหลักซึ่งช่วยให้สามารถควบคุมขั้นตอนการเริ่มต้นระบบ Windows ทั้งหมดได้ คอมพิวเตอร์ถูกโจมตีก่อนที่ระบบจะเริ่มทำงานด้วยซ้ำ ดีกว่า: เมื่อ Windows เริ่มต้นขึ้น GreyFish จะติดตั้งระบบไฟล์อัตโนมัติและเสมือนในฐานรีจิสทรี ซึ่งโมดูลการสอดแนมและข้อมูลทั้งหมดที่จะกู้คืนจะถูกเก็บไว้ แน่นอนว่าทุกอย่างได้รับการเข้ารหัสอย่างถาวร แม้แต่ไฟล์ปฏิบัติการที่ป้องกันคุณจากการถูกตรวจพบโดยซอฟต์แวร์ป้องกันไวรัส ในกรณีที่เกิดปัญหา GreyFish จะทำลายตัวเอง ในส่วนของการเขียนโค้ด จึงเป็นงานศิลปะที่แท้จริง
เพื่อแพร่เชื้อไปยังเหยื่อ Equation Group/NSA มีหลายวิธีในการกำจัด โดยเริ่มจากหนอนคอมพิวเตอร์ที่เรียกว่า "Fanny" สร้างขึ้นในปี 2008 โดยใช้ข้อบกพร่องแบบซีโรเดย์ 2 รายการซึ่งต่อมาถูกค้นพบใน... Stuxnet ซึ่งเป็นซอฟต์แวร์ก่อวินาศกรรมที่มีชื่อเสียงซึ่งอนุญาตให้ NSA ก่อวินาศกรรมโครงการนิวเคลียร์ของอิหร่าน เพื่อแพร่กระจาย Fanny แพร่เชื้อไปยังคีย์ USB ด้วยการสร้างพื้นที่เก็บข้อมูลที่ซ่อนอยู่ เทคนิคคล้ายๆกัน.USB ไม่ดีข้อบกพร่องที่ค้นพบโดยนักวิจัย SRLabs
ซีดีรอมเป็นอีกช่องทางหนึ่งของการติดเชื้อ สายลับ Equation Group มีความสามารถในการสกัดกั้นแผ่นดิสก์แสงที่ส่งทางไปรษณีย์ไปยังเหยื่อ Kaspersky อ้างอิงสองตัวอย่าง ในกรณีหนึ่ง เหยื่อสั่งสำเนาเสียง/วิดีโอของการประชุมทางวิชาชีพในฮูสตัน เมื่อมาถึง ห่อซีดีรอมที่เสียหาย ในอีกกรณีหนึ่ง มัลแวร์นั้นอยู่ในซีดีการติดตั้ง Oracle Database โดยรวมแล้ว Kaspersky ระบุข้อบกพร่องเจ็ดประการที่ทำให้เวิร์กสเตชันเป้าหมายติดไวรัส โดยสี่ข้อบกพร่องในจำนวนนั้นเป็นศูนย์วันในขณะนั้น ผู้จัดพิมพ์ยังกล่าวถึงการใช้ประโยชน์จากข้อบกพร่องที่ไม่รู้จักจนถึงขณะนี้ – อาจเป็นซีโร่เดย์ – ใน Firefox 17 และเบราว์เซอร์ Tor Browser Bundle
อ่านเพิ่มเติม:
NSA และ GCHQ แฮ็กแฮกเกอร์เพื่อขโมยข้อมูลที่ถูกขโมย, วันที่ 05/02/2558
แหล่งที่มา:
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
