เผยรายงานสรุปข่าวกรองภัยคุกคามรายไตรมาส พบไตรมาส 2 พบภาคการเงินถูกโจมตี Cyber Attack ด้วยการโจรกรรม และการส่งข้อมูลปลอม มากทีสุด…

highlight

  • ในช่วงเดือนพฤษภาคมที่ผ่านมาประเทศในภาคตะวันออกกลางมีการรั่วไหลของสินทรัพย์การโจรกรรมทางออนไลน์ที่เป็นของนิติบุคคลอิหร่าน และสามารถสรุปได้ว่าผู้โจมตีที่อยู่เบื้องหลังคือ Hades เป็นกลุ่มที่เชื่อมโยงกับกับกลุ่ม ExPetr ที่โจมตีเมื่อ Winter Olympic Games ปี 2561
  • ในช่วงไตรมาส 2 ปีนี้ ได้เห็นภัยคุกคามที่มีความสับสนมากขึ้น และเกิดสิ่งใหม่ ๆ บ่อยมากขึ้น เราได้เห็นผู้โจมตีที่โจรกรรมโครงสร้างพื้นฐานโดยกลุ่มขนาดเล็ก และกลุ่มอื่นอาจจะใช้ประโยชน์จากชุดของการรั่วไหลออนไลน์ที่กระจายข้อมูลที่บิดเบือน และทำลายความน่าเชื่อถือของสินทรัพย์ที่หลุดออกมา

ไตรมาส 2 พบภาคการเงินถูกโจมตี Cyber Attack มากสุด

จากการเปิดเผยตัวเลขการโจมตีของภัยคุกคามขั้นสูงในช่วงไตรมาส 2 ของปี 2562 นี้ ของ Kaspersky พบว่ากิจกรรมการโจมตีหลัก จะเน้นไปที่เป้าหมายการล้วงข้อมูลลับทางการเงิน ผ่านอย่างน้อย 1 แคมเปญ ที่ออกมาเพื่อตั้งใจปล่อยข้อมูลที่บิดเบือน โดยในช่วงเดือนพฤษภาคมที่ผ่านมาประเทศในภาคตะวันออกกลาง

มีการรั่วไหลของสินทรัพย์การโจรกรรมทางออนไลน์ที่เป็นของนิติบุคคลอิหร่าน และสามารถสรุปได้ว่าผู้โจมตีที่อยู่เบื้องหลังคือ Hades เป็นกลุ่มที่เชื่อมโยงกับกับกลุ่ม ExPetr ที่โจมตีเมื่อ Winter Olympic Games ปี 2561 อีกด้วย

โดยจากการเฝ้าสังเกต และเฝ้าดูกิจกรรมของภัยคุกคามที่น่าสนใจในตะวันออกกลาง ที่รวมไปถึงรวมชุดของการสินทรัพย์ที่รั่วไหลออนไลน์ในรูปแบบของรหัส โครงสร้างพื้นฐาน กลุ่ม และรายละเอียดของเหยื่อที่ชัดเจน คาดว่าเป็นกลุ่มโจมตีที่พูดภาษาเปอร์เซียน ที่เรียกว่า OilRig และ MuddyWater 

การรั่วไหลครั้งนี้มาจากแหล่งที่แตกต่างกันแต่เริ่มทยอยออกมาในแต่ละอย่างเว้นช่วงไม่กี่สัปดาห์  ซึ่งการรั่วไหลครั้งที่สามมีข้อมูลปรากฎว่าเป็นชื่อขององค์กรที่เรียกว่า “RANA”  เผยแพร่เป็นภาษาเปอร์เซียนในเว็บไซต์ชื่อว่า “Hidden Reality”

โดยการวิเคราะห์ข้อมูลต่าง ๆ โครงสร้างพื้นฐานและเว็บไซต์เฉพาะที่ใช้ ทำให้สรุปได้ว่าการรั่วไหลนั้นเชื่อมต่อได้ถึงกลุ่มผู้โจมตีที่เรียกว่า Hades ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีที่เรียกว่า OlympicDestroyer ในการแข่งขันกีฬาโอลิมปิกฤดูหนาวปี 2561 และไวรัส ExPetr  

และแคมเปญที่ส่งข้อมูลบิดเบือนอีกหลายตัว เช่น อีเมลเกี่ยวกับการเลือกตั้งประธานาธิบดี Emmanuel Macron ในปี 2560 ที่ฝรั่งเศส อีกด้วย

Cyber Attack

ภัยคุกคามที่โดดเด่นในช่วงไตรมาส 2 ปี 2562 ประกอบด้วย

  • กลุ่มผู้โจมตีชาวรัสเซียยังคงสร้าง ปรับแต่งเครื่องมืออยู่เสมอ และเปิดตัวการโจมตีใหม่ ๆ เช่น เมื่อเดือนมีนาคม กลุ่ม Zebrocy ปรากฎตัวในการโจมตีในปากีสถานและอินเดีย โจมตีเจ้าหน้าที่ที่เกี่ยวข้องกับนักการทูตและกองทัพ รวมถึงยังคงเข้าถึงเครือข่ายรัฐบาลเอเชียกลาง (Central Asian government) นอกจากนี้การโจมตีของกลุ่ม Turla ยังคงโจมตีอย่างต่อเนื่องและพัฒนาเครื่องมืออย่างรวดเร็ว และตัวอย่างที่เห็นชัดก็คือการโจรกรรมโครงสร้างพื้นฐานจากกลุ่ม OilRig
  • กิจกรรมการโจมตีของกลุ่มเกาหลียังคงอยู่ในระดับสูง ในขณะที่เอเชียตะวันออกเฉียงใต้อื่น ๆ จะเงียบลงกว่าไตรมาสแรก ซึ่งกลุ่มที่ปฏิบัติการโจมตี ได้แก่ กลุ่ม Lazarus ที่โจมตีบริษัทให้บริการเกมออนไลน์ในเกาหลีใต้ และแคมเปญของกลุ่ม BlueNoroff ที่เป็นกลุ่มย่อยของ Lazarus เป้าหมายในการโจมตีคือธนาคารในบังคลาเทศ และซอฟต์แวร์สกุลเงินคริปโต
  • นักวิจัยได้สังเกตแคมเปญที่พุ่งเป้าหมายการโจมตีไปที่รัฐบาลในเอเชียกลางโดยกลุ่มชาวจีน ที่ใช้ชื่อว่า SixLittleMonkeys โดยใช้โทรจันเวอร์ชั่นใหม่ของ Microcin และ RAT ที่ Kaspersky เรียกว่า HawkEye

วิเซนต์ ดิแอซ หัวหน้าทีมวิจัยด้านความปลอดภัยระดับโลก Kaspersky กล่าวว่า ในช่วงไตรมาส 2 ปีนี้ ได้เห็นภัยคุกคามที่มีความสับสนมากขึ้น และเกิดสิ่งใหม่ ๆ บ่อยมากขึ้น เราได้เห็นผู้โจมตีที่โจรกรรมโครงสร้างพื้นฐานโดยกลุ่มขนาดเล็ก และกลุ่มอื่นอาจจะใช้ประโยชน์จากชุดของการรั่วไหลออนไลน์ที่กระจายข้อมูลที่บิดเบือน

และทำลายความน่าเชื่อถือของสินทรัพย์ที่หลุดออกมา ซึ่งอุตสาหกรรมด้านรักษาความปลอดภัยต้องเผชิญกับภารกิจที่เพิ่มขึ้นอย่างต่อเนื่อง และหาข้อเท็จจริงของภัยคุกคามจากข้อมูลข่าวกรองที่เชื่อถือได้

แต่ก็เป็นธรรมดาที่ยังมีภัยคุกคามหรือกิจกรรมบางอย่างที่เรามองไม่เห็นหรือไม่ได้เข้าใจอย่างชัดเจน ดังนั้นการป้องกันภัยคุกคามทั้งที่รู้จักและไม่รู้จักยังคงสำคัญสำหรับทุกคน

Cyber Attack

หลีกเลี่ยงการตกเป็นเหยื่อของจากการโจมตีโดยภัยคุกคามที่รู้จักหรือไม่รู้จัก

  • ให้ข้อมูลภัยคุกคาม (Threat Intelligence) แก่ทีม SOC เพื่อรับทราบความเคลื่อนไหวและอัปเดตข้อมูลของภัยคุกคามและเครื่องมือ เทคนิค และวิธีการในการโจมตีใหม่ ๆ จากกลุ่มอาชญากรไซเบอร์
  • ใช้โซลูชั่น สำหรับการป้องกัน การสืบสวน การแก้ไขเหตุการณ์อย่างทันท่วงที การดำเนินการของโซลูชั่น EDR ระดับปลายทาง เช่น Endpoint Detection and Response
  • การใช้การป้องกันระดับปลายทางอใช้โซลูชั่นความปลอดภัยระดับองค์กรที่ตรวจจับภัยคุกคามขั้นสูงในระดับเครือข่าย อย่างเช่น Anti Targeted Attack Platform
  • แนะนำการฝึกอบรมให้เห็นถึงความตระหนักถึงความปลอดภัยและสอนทักษะการปฏิบัติ ตัวอย่างเช่น Automated Security Awareness Platform

หากพิจารณาในเรื่องของความปลอดภัยในภาคการเงินจากทั่วโลกจะเห็นว่า แม้จะมีการลงทุนมากแค่ไหน แต่ก็ไม่สามารถป้องกันได้อย่าง 100% โดยในผลการศึกษาล่าสุดจากผู้เชี่ยวชาญด้านไอทีที่ทำงานในวงการบริการทางการเงินร่วมกับ VMware ในปีที่ผ่านมา

บ่งชี้ว่าสถาบันการเงินกว่า 2 ใน 3 ต่างมีแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ต่ำกว่ามาตรฐาน อีกทั้งยังเลือกที่จะเจรจากับแฮ็กเกอร์ถ้าตกเป็นเหยื่อ และในการลงทุนส่วนใหญ่ให้ความสำคัญกับการรักษาความปลอดภัยไอที่ระบบอีแบงกิ้ง และแอพปลายทางที่บริการลูกค้า มากกว่าระบบภายในหรือการรักษาข้อมูลธุรกรรมหลัก

ขณะที่ผู้นำองค์กรไม่ได้เข้าใจความซับซ้อนของอาชญากรรมไซเบอร์เพียงพอ และกว่า 62% ไม่สามารถหางบประมาณเพื่อวางระบบความปลอดภัยทางไซเบอร์อย่างเร่งด่วนได้

นอกจากนี้ในรายงานภัยคุกคามข้อมูลทั่วโลกประจำปี 2019 (Global Threat Intelligence Report หรือ GTIR) เองก็ระบุว่าภาคการเงินเป็นเป้าหมายที่ถูกโจมตีมากที่สุดในช่วง 6 ปี จากตลอดระยะเวลา 7 ปีให้หลังมานี้ โดยคิดเป็น 17% ของการโจมตีทั้งหมด เช่นเดียวกับกลุ่มเทคโนโลยีที่มีอัตรการโจมตีที่ 17%

และในส่วนของภาคการศึกษาและภาครัฐ เป็นกลุ่มอุตสาหกรรมใหม่ที่อยู่ใน 5 ลำดับแรกที่มีการโจมตีมากที่สุด โดยเพิ่มขึ้นจากอัตรา 4% เพิ่มเป็น 11% และ 5% เพิ่มเป็น 9% ตามลำดับ และจากกรณีศึกษาการลงทุนในสกุลเงินดิจิทอล หรือ coin เป็นต้นเหตุใหญ่ที่ทำให้การโจมตีเพิ่มขึ้น

อย่างไรก็ดีประเด็นยังมีแนวโน้มสัญญาณที่ดีขึ้น เนื่องจากผลสำรวจ 2019 Digital Trust Insights Survey ของ PwC ระบุผู้นำในองค์กรต่าง ๆ เริ่มตื่นตัว แต่ยังอยู่ในกลุ่ม “ผู้นำตลาด” หรือ “ผู้บุกเบิก” เท่านั้น โดยในกลุ่มนี้

ให้ความสำคัญกับการลงทุนเพื่อเพิ่มความเชื่อมั่นที่เป็นบวกต่อศักยภาพในการเติบโตของรายได้ และอัตราการทำกำไรของบริษัทของตนเอง โดยเกือบ 9 ใน 10 ของผู้บริหารในกลุ่มผู้บุกเบิกระบุว่ากำลังได้รับผลตอบแทนที่เท่ากับ หรือมากกว่าความคาดหวังที่ตั้งเป้าเอาไว้หลังจากให้ความสำคัญด้านความปลอดภัยมากขึ้น

กรอบสำคัญ 3 ประการ ที่องค์กรในกลุ่มผู้บุกเบิกนำมาใช้ 
  • เชื่อมโยงกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ เข้ากับกลยุทธ์ขององค์กร
  • เชื่อมโยงกลยุทธ์ด้านความปลอดภัยทางไซเบอร์เข้ากับพื้นฐานของการบริหารจัดการความเสี่ยง
  • ทำงานร่วมกันเพื่อให้เกิดผลในทางปฏิบัติ

จากข้อมูลทั้งจึงสรุปได้ว่าองค์กรที่ใช้มาตรการเชิงรุกในการรักษาความปลอดภัยไซเบอร์ และผนวกแผนรักษาความปลอดภัยไว้ในทุกๆ กิจกรรมขององค์กร จะสามารถเปลี่ยนผ่านไปสู่ดิจิทัลอย่างได้เปรียบ โดยจะสามารถบริหารความเสี่ยงที่เกี่ยวข้อง และสร้างความเชื่อมั่นได้

สำหรับประเทศไทยหลังจากที่ได้ประกาศใช้พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ วันนี้มีผู้บริหารหลายองค์กรที่หันมาลงทุนด้านรักษาความปลอดภัยทางไซเบอร์มากขึ้น รวมถึงมีการจ้างผู้เชี่ยวชาญจากภายนอกเข้าไปช่วยวางมาตรการรักษาความปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวด้วย 

ซึ่งหากเราสามารถปิดช่องโหว่เหล่านี้ได้ ก็จะช่วยให้การรักษาความปลอดภัยทางไซเบอร์ของบริษัทไทยมีความแข็งแกร่ง และมีประสิทธิภาพมากขึ้น และท้ายที่สุด ก็จะสะท้อนออกมาสู่ผลการดำเนินงานที่ดีขึ้นในระยะยาว

*ติดตามรายงานฉบับเต็มของรายงานแนวโน้มภัยคุกคามขั้นสูง สำหรับไตรมาส 2 ปี 2562 ได้ที่ Securelist.

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว)
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.pexels.com
**** ที่มาของข้อมูล Hackread, Kaspersky, NTT, PWC

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่

RELATED ARTICLESMORE FROM AUTHOR