Op GhostSecret – ThaiCERT seized a server used by North Korea

អាជ្ញាធរមានសមត្ថកិច្ចថៃ ដោយមានការគាំទ្របច្ចេកទេសពីក្រុម ThaiCERT និងក្រុមហ៊ុន McAfee បានធ្វើការរឹបអូសម៉ាស៊ីនមេដែលប្រើប្រាស់ដោយក្រុមហេគឃ័ររបស់កូរ៉េខាងជើង (North Korean Hidden Cobra APT) ដែលជាផ្នែកមួយនៃយុទ្ធនាការ GhostSecret។

កាលពីប៉ុន្មានឆ្នាំកន្លងទៅនេះ អាជ្ញាធរមានសមត្ថកិច្ចថៃក៏បានធ្វើការរឹបអូសយកម៉ាស៊ីនមេដែលបានប្រើប្រាស់ក្រុមហេគឃ័រកូរ៉េខាងជើងផងដែរនៅក្នុងការវាយប្រហារទៅលើក្រុមហ៊ុន SonY Picture។

ម៉ាស៊ីនមេនោះមានទីតាមងនៅក្នុងសាកលវិទ្យាល័យមួយរបស់ថៃ ហើយត្រូវបានប្រើប្រាស់ធ្វើជាផ្នែកមួយនៃការយុទ្ធនាការវាយប្រហារ (GhostSecret) ដែលធ្វើឡើងដោយក្រុម Hidden Cobra APT ដើម្បីធ្វើការទីតាំងបញ្ជាការ (Command and Control)។

ការកំណត់នូវទីតាំងម៉ាស៊ីនមេនេះគឺជាលទ្ធផលនៃការសើុបអង្កេតដោយអ្នកជំនាញការមកពីក្រុមហ៊ុន McAfee ដែលបានធ្វើការវិភាគទៅលើ Operation GhostSecret ដើម្បីរកហេដ្ឋរចនាសម្ព័ន្ធពាក់ព័​ន្ធនៅជុំវិញពិភពលោក។

បើតាមរបាយការណ៍ដែលចេញដោយ McAfee បានឲ្យដឹងថា “អ្នកវាយប្រហារបានប្រើប្រាស់នូវមេរោគជាច្រើនដោយរួមមានទាំងមេរោគដែលមានសមត្ថភាពដូចគ្នាទៅនឹង Bankshot។ ចាប់ពីថ្ងៃទី១៨ ដល់ថ្ងៃទី២៦ ខែមីនា យើងបានសង្កេតឃើញថាមេរោគនេះដំណើរការនៅក្នុងតំបន់ជាច្រើននៅក្នុងពិភពលោក។ មេរោគថ្មីនេះ គឺជាចំណែកមួយនៃមេរោគ Destover malware ដែលត្រូវបានប្រើប្រាស់នៅក្នុងឆ្នាំ២០១៤ វាយប្រហារទៅលើ Sony Picture” ។

ការស៊ើបអង្កេតបន្តទៅលើម៉ាស៊ីនមេដែលប្រើប្រាស់ធ្វើជា C&C បានបង្ហាញថា SSL certificate (d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76) ដែលភ្ជាប់ទៅលើម៉ាស៊ីនមេលេខ 203[.]131[.]222[.]83​ ត្រូវបានប្រើប្រាស់ដោយមេរោគក្នុងខែកុម្ភៈ ២០១៨។ ម៉ាស៊ីនមេមួយនេះគឺស្ថិតនៅក្នុងសាកលវិទ្យាល័យ Thammasat University នៅបាងកក។ ម៉ាស៊ីនមេមួយនេះក៏ត្រូវបានប្រើប្រាស់ផងដែរក្នុងការវាយប្រហារទៅលើ Sony Pictures។ SSL certificate មួយនេះត្រូវបានប្រើប្រាស់នៅក្នុងប្រតិបត្តិការ Hidden Cobra operations ចាប់តាំងពីការវាយប្រហារទៅលើ Sony Pictures មកម្លេះ។

ដោយយោងទៅលើសេចក្តីណែនាំដែលចេញផ្សាយដោយ ThaiCERT បានឲ្យដឹងថា ប្រតិបត្តិការ GhostSecret ចាប់ផ្តើមឡើងនៅក្នុងខែកុម្ភៈ ២០១៨។ McAfee បានធ្វើការកំណត់ IP address ចំនួនបី (203.131.222.95, 203.131.222.109, and 203.131.222.83) ជាកម្មសិទ្ធិរបស់សាកលវិទ្យាល័យ Thammasat។

GhostSecret ដំបូងគឺមានគោលដៅទៅលើវិស័យហិរញ្ញវត្ថុរបស់ Turkish នៅក្នុងខែកុម្ភៈ ២០១៨ ហើយក្រោយមកនៅក្នុងចន្លោះពីថ្ងៃទី១៤ ដល់ថ្ងៃទី១៨ ខែកុម្ភៈ ២០១៨ វាមានគោលដៅទៅលើអង្គភាពច្រើនជាង ១៧ ប្រទេស​ ដោយរួមមានប្រទេសថៃផងដែរ ហើយដោយយោងទៅតាមអ្នកជំនាញការវានៅមានសកម្មភាពនៅឡើយ។ យុទ្ធនាការមួយនេះ គឺជាការប្រមូលព័ត៌មានទូទាំងសាកលលោកមានគោលដៅទៅលើ ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ (critical infrastructure), ការកំសាន្ត (entertainment), ហិរញ្ញវត្ថុ (finance), សុខាភិបាល (healthcare), និងទូរគមនាគមន៍ (telecommunications)​ ។

ប្រភព៖

https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/