ISAC Cambodia (InfoSec)
GeneralSecurity News

ម៉ាស៊ីនមេរបស់ ASUS ត្រូវបានហេគ ហើយបញ្ជូនមេរោគទៅឱ្យអតិថិជនប្រើប្រាស់កុំព្យូទ័រម៉ាករបស់ខ្លួន

ក្រុមហ៊ុនបច្ចេកវិទ្យាយក្ស ASUS ដែលមានមូលដ្ឋាននៅតៃវ៉ាន់ត្រូវបានគេជឿថា បានបញ្ជូនមេរោគ (malware) ដល់អតិថិជនរាប់រយពាន់នាក់តាមរយៈសូហ្វវ៉ែរអាប់ដេត​ (software update) ដោយស្វ័យប្រវត្តិរបស់ខ្លួន បន្ទាប់ពីអ្នកវាយប្រហារបានគ្រប់គ្រងម៉ាស៊ីនមេរបស់ក្រុមហ៊ុន ហើយប្រើវាដើម្បីរុញច្រានមេរោគទៅម៉ាស៊ីននានា។

ក្រុមអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Kaspersky Lab បានឱ្យដឹងថា ASUS ដែលជាក្រុមហ៊ុនផលិតកុំព្យូទ័រធំជាងគេនៅលើពិភពលោកត្រូវបានគេប្រើប្រាស់ដើម្បីតំឡើង Backdoor ទៅលើម៉ាស៊ីនកំព្យូទ័ររបស់អតិថិជនខ្លួនរាប់រយពាន់នាក់កាលពីឆ្នាំមុន បន្ទាប់ពីអ្នកវាយប្រហារបានធ្វើការគ្រប់គ្រងទៅលើម៉ាស៊ីនមេសម្រាប់បំរើឱ្យការងារអាប់ដេត។ Kaspersky Lab បាននិយាយថា មេរោគនោះត្រូវបានចុះហត្ថលេខាជាមួយវិញ្ញាបនប័ត្រឌីជីថល ASUS ស្របច្បាប់ដើម្បីធ្វើឱ្យវាក្លាយទៅជាការធ្វើបច្ចុប្បន្នភាពកម្មវិធីពីក្រុមហ៊ុន។

ក្រុមហ៊ុន ASUS ដែលមានមូលដ្ឋាននៅតៃវ៉ាន់ដែលផលិតកុំព្យូទ័រលើតុ កុំព្យូទ័រយួរដៃ ទូរស័ព្ទចល័ត ប្រព័ន្ធលំនៅដ្ឋានឆ្លាតវៃ និងផលិតផលអេឡិចត្រូនិចដទៃទៀត បានបញ្ជូនមេរោគទៅឱ្យអតិថិជនរបស់ខ្លួនយ៉ាងហោចណាស់ ៥ខែកាលពីឆ្នាំមុន មុនពេលត្រូវបានរកឃើញ – យោងទៅនឹងការស្រាវជ្រាវថ្មីមួយពីក្រុមហ៊ុនសន្តិសុខដែលមានមូលដ្ឋាននៅទីក្រុងម៉ូស្គូ។

ក្រុមអ្នកស្រាវជ្រាវបានប៉ាន់ប្រមាណថា ម៉ាស៊ីនវីនដូកន្លះលានគ្រឿងបានទទួលនូវ Backdoor ដែលមានគ្រោះថ្នាក់ តាមរយៈម៉ាស៊ីនមេអាប់ដេតរបស់ ASUS ទោះបីជាអ្នកវាយប្រហារហាក់ដូចជាសំដៅទៅលើតែប្រព័ន្ធប្រហែល 600 គ្រឿងប៉ុណ្ណោះ។ មេរោគបានស្វែងរកគោលដៅរបស់ខ្លួន តាមរយៈអាសយដ្ឋាន MAC ជាក់លាក់។ ប្រសិនបើវារកឃើញអាសយដ្ឋាន MAC ដែលជាគោលដៅ មេរោគនឹងទាក់ទងទៅកាន់ម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារ ដើម្បីតំឡើងនូវមេរោគបន្ថែមទៀតនៅលើម៉ាស៊ីនទាំងនោះ។

Kaspersky Lab បាននិយាយថា ខ្លួនបានរកឃើញការវាយប្រហារនៅខែមករា បន្ទាប់ពីខ្លួនបានបន្ថែមបច្ចេកវិទ្យា supply-chain detection technology ទៅក្នុងកម្មវិធីស្កេនរបស់ខ្លួនដើម្បីចាប់យកបំណែកកូដដែលមិនប្រក្រតីលាក់នៅក្នុងកូដស្របច្បាប់ ឬកូដដែល hijack ទៅលើប្រតិបត្តិការធម្មតារបស់ម៉ាស៊ីន។ ក្រុមហ៊ុនមានគម្រោងចេញផ្សាយនូវបច្ចេកទេសលំអិត និងបទបង្ហាញអំពីការវាយប្រហារនេះ ដែលខ្លួនបានដាក់ឈ្មោះ ShadowHammer នៅខែក្រោយនៅឯសន្និសិទ្ធិកំពូលអ្នកវិភាគសន្តិសុខនៅសិង្ហបុរី។ ក្នុងខណៈនេះ Kaspersky បានបោះពុម្ពផ្សាយនូវព័ត៌មាននៃបច្ចេកទេសមួយចំនួននៅលើវេបសាយរបស់ខ្លួន

ការវាយប្រហារនេះបានកើតឡើងនៅចន្លោះខែមិថុនា និងខែវិច្ឆិកាឆ្នាំ 2018 ហើយបានប៉ះពាល់ដល់អតិថិជន ASUS ដែលបានដាក់ឲ្យដំណើរការមុខងារ ASUS Live Update នៅលើប្រព័ន្ធរបស់ខ្លួន។ មុខងារមួយនេះត្រូវបានតំឡើងរួចជាស្រេចនៅលើម៉ាស៊ីន ASUS ភាគច្រើន ហើយត្រូវបានប្រើប្រាស់ដើម្បីធ្វើការអាប់ដេតដោយស្វ័យប្រវត្តិនូវ applications, software drivers, firmware និងកម្មវិធីតូចៗផ្សេងទៀត។

បញ្ហាប្រឈមនៃការវាយប្រហារក្នុងទម្រង់ Supply Chain Attack

យោងតាមលោក Costin Raiu ដែលជានាយកនៃ Kaspersky Lab’s Global Research and Analysis Team បានឲ្យដឹងថា ការរកឃើញនូវការវាយប្រហារ supply-chain attack គឺពិតជាលំបាកខ្លាំងណាស់ ហើយវាអាចជាបញ្ហាដ៏ធំបំផុតមួយនៅក្នុងផ្នែកសន្តិសុខព័ត៌មានៅពេលនេះ។ Kaspersky កំពុងធ្វើការលើបច្ចេកវិទ្យាថ្មីៗ ដើម្បីពិនិត្យមើលការវាយប្រហារបែបនេះ ដោយផ្អែកទៅលើកំហុសឆ្គងកូដ (code anomalies), ភាពស្រដៀងនឹងលេខកូដ (code similarity), និងការត្រួតពិនិត្យចរាចរណ៍ (traffic checking)។ គាត់បាននិយាយថា “បច្ចេកវិទ្យាមួយក្នុងចំណោមបច្ចេកវិទ្យាទាំងនេះ បានអនុញ្ញាតឱ្យយើងចាប់អ្នកវាយប្រហារ ShadowHammer ក៏ដូចជាការវាយប្រហារជាច្រើនដែលយើងសង្ស័យថាពាក់ព័ន្ធ។

យោងតាម ​​Kaspersky Lab ការស៊ើបអង្កេតរបស់ខ្លួនបានបង្ហាញថាក្រុមដែលនៅពីក្រោយការវាយប្រហារលើប្រព័ន្ធ ASUS គឺក្រុម Barium ដែលជាអ្នកគំរាមកំហែងមួយ ដែលក្រុមហ៊ុន Microsoft ថ្មីៗនេះបានកំណត់ថា ជាអ្នកទទួលខុសត្រូវក្នុងការដាក់មេរោគ ShadowPad នៅក្នុងកម្មវិធីរបស់ NetSarang ។ ក្រុមនេះត្រូវបានគេជឿជាក់ថា នៅពីក្រោយការវាយប្រហារជាច្រើនទៅលើអ្នកបង្កើតកម្មវិធីហ្គេម​ (gaming applications) នេះបើតាមសម្តីរបស់ Kaspersky Lab ដែលចង្អុលទៅកាន់របាយការណ៍របស់ ESET

ទិដ្ឋភាពមួយនៃការវាយប្រហាររបស់ក្រុម ShadowHammer ដែលនៅតែមិនច្បាស់គឺថា តើអ្នកវាយប្រហារបានទទួលអាសយដ្ឋាន MAC នៃជនរងគ្រោះដែលមានបំណងតាមរបៀបណា។ លោក Raiu កត់សម្គាល់ថា ទោះបីជាយើងមិនដឹងច្បាស់ក៏ដោយ ក៏យើងជឿថាវាអាចទទួលបានតាមរយៈការវាយប្រហារខ្សែចង្វាក់ផ្គត់ផ្គង់មុនៗ ដូចជា ShadowPad និង CCleaner ជាដើម។

លោក Tom Hegel អ្នកស្រាវជ្រាវសន្តិសុខនៅក្រុមហ៊ុន Alien Labs របស់ក្រុមហ៊ុន AT & T Cybersecurity បាននិយាយថា “ក្រុម Barium បានបង្កការគំរាមកំហែងយ៉ាងខ្លាំងដល់សហគ្រាស” ។ លោកបានកត់សម្គាល់ថាក្រុមនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុម “Winnti” ដែលជាក្រុមឆ័ត្រធំមួយ ដែលធ្លាប់បានវាយប្រហារទៅលើអង្គភាពធំៗជាច្រើន។

លោកបាននិយាយថាវិធីសាស្ត្រធម្មតារបស់ក្រុម Barium គឺដើម្បីវាយប្រហារអង្គភាពនានា ដែលមានអ្នកប្រើប្រាស់ក្នុងដៃជាច្រើន ហើយបន្ទាប់មកប្រើអង្គភាពទាំងនោះដើម្បីសម្រេចគោលដៅដែលត្រូវបានកំណត់ទុកទៅនឹងផលប្រយោជន៍រយៈពេលវែងរបស់ពួកគេ។ ជាធម្មតា ការវាយប្រហារនេះពាក់ព័ន្ធនឹងការប្រើប្រាស់មេរោគ ដែលមានចុះហត្ថលេខាជាមួយនឹងវិញ្ញាបនបត្រហត្ថលេខា (code signing certificate)។ លោក Hegel បាននិយាយថា “សត្រូវមួយនេះ អាចធ្វើការវាយប្រហារទ្រង់ទ្រាយធំ ដើម្បីវាយប្រហារទៅលើបុគ្គលតូចៗពីរបីនាក់ ដែលផ្តល់បរិបទស្មុគស្មាញ និងសមត្ថភាពដ៏រឹងមាំរបស់ពួកគេដើម្បីបន្តបេសកកម្ម” ៕

ដំណោះស្រាយ

ក្រុមហ៊ុន​ Kaspersky​ បានជូនដំណឹងទៅដល់ក្រុមហ៊ុន ASUS ហើយនឹងបណ្តាក្រុមហ៊ុន Antivirus ផ្សេងៗទៀតអំពីការវាយប្រហារនេះ ក្នុងខណៈពេលដែលការស៊ើបអង្កេតនៅតែធ្វើបន្តទៀត។

ក្រុមហ៊ុនក៏បានបញេ្ចញនូវកម្មវិធីតូចមួយ (automated tool) សម្រាប់ឲ្យអ្នកប្រើប្រាស់ធ្វើការត្រួតពិនិត្យថាតើម៉ាស៊ីនម៉ាក ASUS របស់ខ្លួនទទួលរងគ្រោះដោយបញ្ហានេះឬក៏អត់៕

ប្រភព៖

https://motherboard.vice.com/amp/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button