เอฟบีไอออกเตือนธุรกิจของสหรัฐ ฯ เกี่ยวกับมัลแวร์ที่เป็นอันตราย

เอฟบีไอออกเตือนธุรกิจในสหรัฐ ฯ ว่าแฮกเกอร์ได้ใช้ซอฟท์แวร์มุ่งร้ายเพื่อโจมตีเป้าหมายในสหรัฐ ฯ หลังจากที่มีการโจมตีบริษัท โซนี่ พิคเจอร์ส เอ็นเตอร์เทนเม้นต์ ทางอินเทอร์เน็ตเมื่อสัปดาห์ที่ผ่านมา
คำเตือนจากเอฟบีไอจำนวน 5 หน้า ได้ส่งให้กับบริษัทต่าง ๆ เมื่อวันจันทร์ที่ผ่านมา ให้รายละเอียดทางเทคนิคเกี่ยวกับซอฟท์แวร์มุ่งร้ายที่ใช้ในการโจมตี แต่ไม่ได้ระบุถึงชื่อของเหยื่อที่ถูกโจมตี
โฆษกของเอฟบีปฏิเสธให้ความเห็น เมื่อมีผู้ถามว่าซอฟท์แวร์ตัวนี้ถูกใช้เพื่อโจมตีบริษัทหนึ่งในเครีอข่ายของโซนี่ ที่ตั้งอยู่ในแคลิฟอร์เนียหรือไม่
เจ้าหน้าที่รายหนึ่งของเอฟบีไอบอกกับนักข่าวว่า คำแนะนำนั้นให้ข้อมูลข่าวสารที่เกี่ยวของกับการโจมตีบริษัทโซนี่ รวมถึงโค้ดภาษาคอมพิวเตอร์จำนวนหลายหน้า แต่ไม่เกี่ยวกับการโจมตีของมัลแวร์ชนิดใหม่
เจ้าหน้าที่หลายรายบอกว่าพวกเขากำลังวิเคราะห์การโจมตีบริษัทของโซนี่ ซึ่งทำให้เกิดความเสียหายร้ายแรงกับฐานข้อมูลของบริษัท
การโจมตีโซนี่ ทำให้ภาพยนตร์ของบริษัทจำนวนห้าเรื่องถูกเผยแพร่ผ่านทางออนไลน์ รวมถึงหนังเรื่อง “Annie” ที่ปรับปรุงแล้ว การโจมตีที่เกิดขึ้นเมื่อวันที่ 24 พฤศจิกายนที่ผ่านมา และปรากฏเป็นรูปของโครงกระดูก ในคอมพิวเตอร์ของบริษัท และข้อความที่เขียนไว้ว่า “Hacked by #GOP” ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีที่ใช้ชื่อว่า “Guardians of Peace”
hacked%2Bby%2Bgop.jpg
ข้อความนี้ได้ขู่ที่จะปล่อยข้อมูลความลับของบริษัท ทางผู้สืบสวนกำลังหาความเชื่อมโยงกับภาพยนตร์เรื่อง “The Interview” และเกาหลีเหนือ ว่ามีความเกี่ยวข้องกันหรือไม่
เอฟบีไอได้ส่งคำเตือนเร่งด่วนให้กับบริษัทต่าง ๆ เป็นครั้งคราว เพื่อบอกรายละเอียดเกี่ยวกับภัยคุกคามทางอินเทอร์เน็ตที่กำลังเกิดขึ้นใหม่ เพื่อช่วยบริษัทต่าง ๆ ให้สามารถป้องกันการโจมตีแบบใหม่ได้ แต่จะไม่ระบุถึงชื่อของเหยื่อที่ถูกโจมตีในรายงานเหล่านี้
ในรายงานกล่าวไว้ว่า มัลแวร์ได้ทำลายข้อมูลในฮาร์ดไดรฟ์คอมพิวเตอร์ ทำให้มันไม่สามารถทำงานได้ และปิดการเข้าถึงเครือข่าย
จากรายงานที่แจกจ่ายให้กับผู้ทำงานด้านการรักษาความปลอดภัยในบริษัทต่าง ๆ ระบุว่าเป็นเรื่องที่ยากในการกู้คืนฮาร์ดไดรฟ์ ที่ถูกโจมตีด้วยมัลแวร์นี้
การวิเคราะห์มัลแวร์
มัลแวร์นี้ถูกใช้เพื่อโจมตีบริษัทของโซนี่ เป็นมัลแวร์ที่มีอันตรายตัวเดียวกับที่เอฟบีไอได้เตือนไว้ บริษัทด้านแอนตี้ไวรัสของญี่ปุ่น Trend Micro ได้วิเคราะห์การทำงานของมัลแวร์นี้ว่า หน้าที่หลักของมัลแวร์นี้คือการเก็บรวบรวมชื่อผู้ใช้ และรหัสผ่านที่เก็บใน network drive ที่มีการแชร์ในเครือข่าย
หลังจากผู้ใช้ในเครื่องได้ลบไฟล์มัลแวร์นี้ และไฟล์ที่เชื่อมโยงกับ network drive และหยุดการทำงานของ Microsoft Exchange Information Store service จากนั้นมัลแวร์จะหยุดทำงานไปสองชั่วโมง จากนั้นจึงรีสตาร์ทระบบ อีกส่วนหนึ่งของมัลแวร์จะใส่ไฟล์ bmp ในคอมพิวเตอร์ แสดงข้อความว่า “Hacked by #GOP” ซึ่งเป็นภาพเดียวกับที่ปรากฏในคอมพิวเตอร์ของโซนี่ ดังนั้น Trend Micro จึงเสนอว่ามัลแวร์นี้ถูกใช้เพื่อโจมตีโซนี่
ต่อไปนี้เป็นรายงานวิเคราะห์อย่างละเอียดของมัลแวร์นี้
http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-the-destructive-malware-behind-fbi-warnings/
https://securelist.com/blog/research/67985/destover/
ข้อมูลอ้างอิง
http://www.cnbc.com/id/102213995
http://malwarebattle.blogspot.com/2014/12/sony-malware-analysis.html?m=1

Posted

in

,

by

Tags: