แฮกเกอร์ใช้ ‘SwiftSlicer Wiper’ ทำลายโดเมนวินโดว์

แฮกเกอร์ใช้ ‘SwiftSlicer Wiper’ ทำลายโดเมนวินโดว์

By นักรบ เนียมนามธรรม

จากสถานการณ์การสู้รบระหว่างรัสเซียและยูเครนที่ยังคงยืดเยื้ออยู่ในขณะนี้ มีการเปิดการโจมตีแบบใหม่ๆ ที่เรียกกันว่า hybrid war คือ มีการรบทั้งในรูปแบบที่เป็นสงครามทั่วไปและการโจมตีทางไซเบอร์ซึ่งสามารถปฏิบัติการได้ตลอด 24 ชั่วโมง

ซึ่งเมื่อดูทีท่าแล้วน่าจะมีการเปิดการโจมตีเพิ่มขึ้นอย่างต่อเนื่องเลยทีเดียว โดยสาเหตุหลักน่าจะมาจากการมีความพยายามที่รัสเซียจะตัดขาดชาวยูเครนจากข้อมูลเกี่ยวกับสถานการณ์ปัจจุบันเพื่อเป็นการเปิดการโจมตีอย่างเต็มรูปแบบ 

โดยเริ่มจากการตัดสัญญานโทรทัศน์ วิทยุ อินเทอร์เน็ต และการสื่อสารเคลื่อนที่ในยูเครน อีกทั้งยังมีการโจมตีทางไซเบอร์กับสื่อของยูเครนอยู่เรื่อยๆ

มีการเปิดเผยจากนักวิจัยด้านความปลอดภัยของยูเครนโดยระบุว่า มัลแวร์ล้างข้อมูลตัวใหม่มีชื่อว่า “SwiftSlicer Wiper” ได้รับการพัฒนามาเพื่อลบสำเนางานและเขียนทับไฟล์สำคัญที่ระบบปฏิบัติการ Windows 

โดยเฉพาะไดรเวอร์และฐานข้อมูล Active Directory ซึ่งกลุ่มแฮกเกอร์ Sandworm เป็นผู้พัฒนา Malware SwiftSlicer ตัวนี้โดยใช้ Active Directory Group Policy ซึ่งช่วยให้ผู้ดูแลระบบโดเมนเรียกใช้สคลิปต์และคำสั่งได้ทั่วทั้งอุปกรณ์ทั้งหมดในเครือข่าย Windows และมีการกำหนดเป้าหมายเฉพาะของโฟลเดอร์

มัลแวร์ตัวนี้ไม่ได้มีไว้เพื่อทำลายไฟล์เท่านั้น แต่ยังทำลายโดเมน windows ทั้งหมดอีกด้วย โดย SwiftSlicer จะเขียนทับด้วยข้อมูลโดยใช้บล็อค 4096 ไบต์ซึ่งจะรวบรวมไบต์ที่สร้างขึ้นแบบสุ่ม และหลังจากเสร็จสิ้นการทำลายข้อมูล มัลแวร์จะรีบูตระบบใหม่ทั้งหมด โดย SwiftSlicer ใช้ภาษาโปรแกรม Golang ซึ่งเหล่าบรรดาแฮกเกอร์เลือกใช้เพราะมีความสามารถในหลายๆ ด้านและสามารถปรับใช้ได้ในทุกแพลตฟอร์มและฮาร์ดแวร์

เมื่อไม่นานมานี้มีการค้นพบภายหลังการโจมตีทางไซเบอร์รัสเซียกับยูเครนว่า กลุ่ม Sandworm เป็นกลุ่มแฮกเกอร์ที่ทำงานให้กับองค์กรของรัสเซียอย่าง General staff Main Intelligence Directorate (GRU) ซึ่งเป็นส่วนหนึ่งของหน่วยงานของทหาร Main Center for Special Technologies (GTsST) 74455 ในขณะที่รายละเอียดที่เกี่ยวกับ SwiftSlicer ยังคงขาดอยู่ในขณะนี้ 

นักวิจัยด้านความปลอดภัยของบริษัทรักษาความปลอดภัยทางไซเบอร์อย่าง ESET พบอีกว่า ยังมีมัลแวร์ทำลายล้างที่ใช้งานระหว่างการโจมตีทางไซเบอร์ในยูเครนอยู่อีก แต่ยังไม่มีการเผยแพร่ชื่อของเป้าหมายและกิจกรรมล่าสุดของ Sandworm รวมถึงการโจมตีแบบล้างข้อมูลของ สำนักข่าวกรองแห่งชาติของยูเครนอย่าง Ukrinform

อีกทั้งศูนย์เผชิญเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ยังมีการเปิดเผยรายงานเกี่ยวกับการเปิดตัวมัลแวร์ทำลายล้างแบบต่างๆ ของรัสเซียว่ามีการพยายามใช้ยูทิลิตี้ทำลายข้อมูล 5 รายการในเครือข่ายของสำนักข่าว Ukrinform อย่างต่อเนื่อง 

ได้แก่ CaddyWiper (Windows), ZeroWipe (Windows), SDelete (legitimate tool for Windows), AwfulShred (Linux) และ BidSwipe (FreeBSD) โดย Sandworm มีการใช้ Malware ทำลายล้างอย่าง CaddyWiper ในการโจมตีบริษัทผู้ให้บริการพลังงานรายใหญ่ของยูเครน แต่ภารกิจนั้นก็ต้องล้มเหลวลงไป

จากการตรวจสอบของหน่วยงานในยูเครนเปิดเผยว่า Sandworm ได้กระจายมัลแวร์ไปยังคอมพิวเตอร์บนเครือข่ายโดยใช้ Group Policy Object (GPO) ซึ่งเป็นชุดกฏที่ผู้ดูแลระบบปฏิบัติการ แอพพลิเคชัน และการตั้งค่าผู้ใช้ในสภาพแวดล้อมแบบ Active Directory ซึ่งเป็นวิธีเดียวกันกับที่ใช้เพื่อเรียกใช้งาน SwiftSlicer ซึ่งแสดงว่ากลุ่มแฮกเกอร์นี้ได้สามารถเจาะระบบเครือข่ายของเป้าหมายไว้ล่วงหน้าแล้ว

เราจะเห็นได้ว่าขณะนี้เรื่องเกี่ยวกับ Identity มีแนวโน้มมีการที่จะถูกเจาะเพื่อโจรกรรมมากขึ้น เพราะมีช่องโหว่ที่จะทำให้เหล่าบรรดาแฮกเกอร์เข้าไปก่อกวนและสร้างปัญหาได้อยู่เสมอๆ 

แม้ว่าระบบเริ่มที่จะมีโซลูชันที่เกี่ยวข้องกับทางด้านการป้องกัน Identity ต่างๆ แล้ว แต่ในองค์กรก็ควรที่จะพิจารณาดูเพราะว่าเมื่อ identity ของบุคลากรในองค์กรถูกแฮกจะทำให้เกิดผลเสียหายในอนาคตได้ เราทุกคนจึงต้องเตรียมตัวและตั้งรับให้พร้อมครับ