ในปัจจุบันแต่ละประเทศที่ต้องการเป็นมหาอำนาจ จำเป็นต้องสร้างกองกำลังไซเบอร์ ทั้งมีไว้ป้องกันประเทศและเป็นหน่วยข่าวกรองในด้านความมั่นคงปลอดภัยระดับชาติ ซึ่งอาจกล่าวได้ว่า กองกำลังไซเบอร์ นี้เป็นกลยุทธหนึ่งที่ในแต่ละประเทศต้องสร้างขึ้นมาเอง นอกจากกองทัพบก กองทัพเรือ กองทัพอากาศ หรือเรียกว่า “Mission invisible” จับตัวได้ยาก และสร้างความเสียหายและส่งผลกระทบทั้งเศรษฐกิจ และสังคมได้
APT หรือ Advanced Persistent Threat คือชุดของการโจมตีทางไซเบอร์ที่มีเป้าหมาย, ซับซ้อน, และยาวนาน เป้าหมายหลักคือการสอดแนมและการขโมยข้อมูลจากองค์กรหรือรัฐบาล มันแตกต่างจากการโจมตีทางไซเบอร์แบบดั้งเดิมที่มักมุ่งเน้นไปที่การสร้างความเสียหายแบบชั่วคราวหรือการปล้นทรัพยากรทางไซเบอร์
APT มักใช้มัลแวร์ที่ทำงานอย่างลับๆ เพื่อเข้าถึงระบบ ใช้เทคนิคการสอดแนม และการค้นหาช่องโหว่ภายในระบบเพื่อเข้าถึงข้อมูลสำคัญ กลุ่ม APT สามารถแบ่งออกเป็นประเภทต่างๆ ตามภูมิศาสตร์และวัตถุประสงค์ ประเภทของกลุ่ม APT ที่สำคัญ ได้แก่
APT ของรัฐ (State-sponsored APT) กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เช่น รัฐบาลจีน รัสเซีย หรืออิหร่าน ซึ่งในลักษณะนี้จะเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เป้าหมายของกลุ่ม APT ของรัฐมักมุ่งเป้าไปที่รัฐบาล องค์กรธุรกิจ หรือบุคคลสำคัญในประเทศอื่น เป้าหมายเหล่านี้อาจเป็นเป้าหมายทางการเมือง เศรษฐกิจ หรือความมั่นคง โดยกลุ่ม APT ของรัฐมักใช้เทคนิคขั้นสูง เช่น การโจมตี Zero-day เพื่อเจาะระบบเป้าหมายโดยไม่ถูกตรวจพบ พวกเขายังมีทรัพยากรและการสนับสนุนมากมายจากรัฐบาล ซึ่งช่วยให้พวกเขาสามารถปฏิบัติการได้เป็นเวลานานและซับซ้อน
APT ของกลุ่มอาชญากร (Criminal APT) กลุ่มแฮกเกอร์ที่โจมตีเพื่อแสวงหาผลประโยชน์ทางการเงิน เช่น ขโมยข้อมูลบัตรเครดิตหรือข้อมูลส่วนตัว
APT ของกลุ่มก่อการร้าย (Terrorist APT) กลุ่มแฮกเกอร์ที่โจมตีเพื่อก่อความเสียหายหรือเผยแพร่ข้อมูลเท็จ
กลุ่มแฮกเกอร์ที่มีชื่อหมายเลข “APT” หรือ “Advanced Persistent Threat” คือกลุ่มผู้กระทำการโจมตีทางไซเบอร์ที่มีความสามารถสูงและมักเกี่ยวข้องกับการสนับสนุนจากรัฐบาลหรือหน่วยงานของรัฐบาลบางประเทศ
โดยแบ่งเป็นกลุ่มหลักที่เป็น State-sponsored APT ดังนี้
- APT1 (Unit 61398) เชื่อกันว่าเป็นหน่วยของกองทัพปลดปล่อยประชาชนจีน โดยมีเป้าหมายการโจมตีหลักคือสหรัฐอเมริกา
- APT28 (Fancy Bear) มีความเชื่อมโยงกับรัฐบาลรัสเซีย โดยมีเป้าหมายการโจมตีหลักคือองค์กรของนาโต้ และองค์กรทางการเมืองของยุโรปและสหรัฐอเมริกา
- APT29 (Cozy Bear) กลุ่มนี้เชื่อมโยงกับรัฐบาลรัสเซียเช่นกัน และมีเป้าหมายการโจมตีที่คล้ายคลึงกับ APT28
- APT30 กลุ่มนี้มีการดำเนินการมานานหลายปี โดยมุ่งเป้าไปที่เป้าหมายในภูมิภาคเอเชีย
- APT33 (Shamoon) มีการเชื่อมโยงกับรัฐบาลอิหร่าน โดยมีเป้าหมายหลักในอุตสาหกรรมพลังงาน
- APT37 (Reaper) มีความเชื่อมโยงกับเกาหลีเหนือ โดยมุ่งเป้าไปที่เป้าหมายในเกาหลีใต้และญี่ปุ่น
- APT38 ยังเชื่อมโยงกับเกาหลีเหนือ โดยมุ่งเน้นไปที่โจมตีทางการเงินเพื่อเป็นการหาเงินสนับสนุน
การติดตามและระบุกลุ่ม APT เป็นเรื่องที่ท้าทาย เนื่องจากกลุ่มเหล่านี้มักใช้เทคนิคที่ซับซ้อนและต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับ และพวกเขามักเปลี่ยนแปลงวิธีการและเป้าหมายอยู่เสมอ
คุณลักษณะของ APT แต่บะกลุ่ม มีดังนี้
วิธีการและระยะเวลา มุ่งเน้นการเข้าถึงและคงอยู่ในเครือข่ายเป้าหมายเป็นเวลานาน ไม่เพียงแค่โจมตีครั้งเดียวและจบ
การสนับสนุนจากรัฐบาล มักได้รับทรัพยากร การฝึกอบรม หรือการสนับสนุนอื่นๆ จากรัฐบาล
โจมตีที่เป็นเป้าหมาย โจมตีเฉพาะกลุ่มหรือองค์กรที่มีความสำคัญ เช่น หน่วยงานของรัฐบาล, องค์กรทางการเงิน, หรือบริษัทเทคโนโลยี
การใช้เทคนิคที่หลากหลาย รวมถึงการใช้มัลแวร์ที่ซับซ้อน การหลีกเลี่ยงการตรวจจับ และการใช้เทคนิคการเข้ารหัสลับ
ผลกระทบทางการเมืองหรือทางทหาร โจมตีมีแนวโน้มที่จะสนับสนุนเป้าหมายทางการเมืองหรือทหารของรัฐบาลที่สนับสนุน
การรักษาความลับ มักทำงานอย่างเงียบๆ และพยายามซ่อนตัวตนและกิจกรรมของพวกเขา
ประเภทของ malware ที่กลุ่ม APT ใช้
สามารถแบ่งออกได้เป็นประเภทหลักๆ ดังนี้
- Malware ประเภท Remote Access Trojan (RAT) เป็น malware ที่ช่วยให้แฮกเกอร์สามารถควบคุมระบบเป้าหมายจากระยะไกลได้ RAT มักถูกใช้เพื่อรวบรวมข้อมูลหรือติดตั้ง malware ชนิดอื่นๆ บนระบบเป้าหมาย
- Malware ประเภท Ransomware เป็น malware ที่ขโมยข้อมูลและเรียกค่าไถ่จากเหยื่อ Ransomware มักถูกใช้เพื่อโจมตีองค์กรหรือหน่วยงานต่างๆ
- Malware ประเภท Spyware เป็น malware ที่ติดตามกิจกรรมของเหยื่อ Spyware มักถูกใช้เพื่อรวบรวมข้อมูลส่วนตัวหรือข้อมูลทางธุรกิจของเหยื่อ
- Backdoor เป็น malware ที่เปิดช่องโหว่ให้กับแฮกเกอร์ในการเข้าถึงระบบเป้าหมายได้ Backdoor มักถูกใช้โดยกลุ่ม APT เพื่อติดตั้ง malware ชนิดอื่นๆ บนระบบเป้าหมาย
- Dropper เป็น malware ที่ใช้ในการติดตั้ง malware ชนิดอื่นๆ บนระบบเป้าหมาย Dropper มักถูกใช้เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส
- Keylogger เป็น malware ที่บันทึกการกดแป้นพิมพ์ Keylogger มักถูกใช้เพื่อรวบรวมข้อมูลส่วนตัว เช่น รหัสผ่าน หมายเลขบัตรเครดิต
- Rootkit เป็น malware ที่ซ่อนตัวอยู่ในระบบปฏิบัติการ Rootkit มักถูกใช้เพื่อควบคุมระบบเป้าหมายอย่างสมบูรณ์
- Trojan เป็น malware ที่ปลอมตัวเป็นโปรแกรมหรือไฟล์ที่ไม่เป็นอันตราย Trojan มักถูกใช้เพื่อหลอกให้เหยื่อดาวน์โหลดหรือติดตั้ง malware
- เทคนิคอื่นๆ
Botnet เป็นเครือข่ายของคอมพิวเตอร์ที่ควบคุมโดยแฮกเกอร์ Botnet มักถูกใช้เพื่อโจมตีเป้าหมายขนาดใหญ่ เช่น การโจมตี DDoS/DoS เป็นต้น
APT 1
หรือที่รู้จักในชื่อ “Unit 61398,” เป็นกลุ่ม Advanced Persistent Threat ที่มีชื่อเสียงและเป็นที่รู้จักกันดี เชื่อกันว่าเป็นหน่วยของกองทัพปลดปล่อยประชาชนจีน (PLA) ข้อมูลเกี่ยวกับ APT1 ได้รับการเปิดเผยอย่างกว้างขวางในรายงานของ Mandiant ซึ่งเป็นบริษัทด้านความมั่นคงไซเบอร์ ในปี 2013
รายละเอียดบางส่วนเกี่ยวกับ APT1
หน่วยที่เกี่ยวข้อง หน่วย 61398 ของ PLA มักเชื่อมโยงกับกลุ่มนี้ ฐานทัพของหน่วยนี้ตั้งอยู่ในเขต Pudong ของเซี่ยงไฮ้
กิจกรรมหลัก APT1 โด่งดังในการทำการโจมตีไซเบอร์ที่มีเป้าหมายและระยะยาวต่อองค์กรในสหรัฐอเมริกา โดยเฉพาะในอุตสาหกรรมความมั่นคงแห่งชาติ พลังงาน และอุตสาหกรรมอื่น ๆ
วิธีการ ใช้เทคนิคต่างๆ เช่น spear-phishing emails (อีเมล์ที่มีการออกแบบมาเพื่อหลอกลวงผู้รับให้เปิดไฟล์หรือลิงก์ที่มีอันตราย) และมัลแวร์ที่ซับซ้อนเพื่อเข้าถึงและขโมยข้อมูล
เป้าหมาย รายงานของ Mandiant ระบุว่า APT1 ได้โจมตีกว่า 100 บริษัทในสหรัฐอเมริกา
การปฏิเสธ รัฐบาลจีนปฏิเสธการมีส่วนร่วมหรือการสนับสนุนกิจกรรมของ APT1
ผลกระทบทางการเมืองและเศรษฐกิจ การโจมตีของ APT1 ส่งผลกระทบอย่างมากต่อความมั่นคงไซเบอร์ และยังมีผลกระทบทางการเมืองและเศรษฐกิจ เนื่องจากการขโมยทรัพย์สินทางปัญญาและข้อมูลธุรกิจของกลุ่มเป้าหมาย
APT28
หรือที่รู้จักว่า “Fancy Bear,” เป็นกลุ่ม Advanced Persistent Threat ที่มีชื่อเสียงและเป็นที่รู้จักกันดีในการทำการโจมตีทางไซเบอร์ กลุ่มนี้มักถูกเชื่อมโยงกับรัฐบาลรัสเซียและมีความสามารถทางเทคนิคระดับสูง
รายละเอียดบางส่วนเกี่ยวกับ APT28
ชื่ออื่นๆ: นอกจากชื่อ “Fancy Bear,” APT28 ยังรู้จักในชื่ออื่น ๆ อย่าง “Sofacy,” “Pawn Storm,” “Sednit,” และ “Strontium”
เป้าหมายการโจมตี กลุ่มนี้มุ่งเป้าไปที่หน่วยงานรัฐบาล สื่อมวลชน และองค์กรทางการเมือง โดยเฉพาะในยุโรป นาโต้ และสหรัฐอเมริกา
วิธีการโจมตี APT28 ใช้เทคนิคต่างๆ รวมถึง spear-phishing, การใช้เว็บไซต์ปลอม, และการใช้มัลแวร์ที่ซับซ้อนเพื่อเข้าถึงระบบและข้อมูล
การเชื่อมโยงทางการเมือง มีหลักฐานที่บ่งชี้ว่า APT28 มีความเชื่อมโยงกับ GRU, หน่วยข่าวกรองทางทหารของรัสเซีย
การโจมตีที่โดดเด่น หนึ่งในการโจมตีที่มีชื่อเสียงของ APT28 คือการแทรกแซงการเลือกตั้งสหรัฐอเมริกาในปี 2016, รวมทั้งการโจมตีต่อองค์กรกีฬาโอลิมปิก
ผลกระทบ กิจกรรมของ APT28 ส่งผลกระทบทางการเมืองและความมั่นคงไซเบอร์ในระดับสากล แม้จะมีหลักฐานมากมายที่บ่งชี้ถึงการเชื่อมโยงของ APT28 กับรัฐบาลรัสเซีย แต่รัฐบาลรัสเซียยังคงปฏิเสธความเกี่ยวข้องใดๆ
APT29 ซึ่งมักเรียกว่า “Cozy Bear,” เป็นอีกหนึ่งกลุ่ม Advanced Persistent Threat (APT) ที่มีชื่อเสียง และเช่นเดียวกับ APT28, กลุ่มนี้มักถูกเชื่อมโยงกับรัฐบาลรัสเซีย
APT29 ยังรู้จักในชื่อ “The Dukes” หรือ “CozyDuke”
รายละเอียดเกี่ยวกับ APT29
เป้าหมายและวิธีการ APT29 มีเป้าหมายหลักคือองค์กรทางการเมือง รัฐบาล และสื่อมวลชน โดยใช้เทคนิคที่หลากหลาย เช่น spear-phishing และการใช้มัลแวร์
การเชื่อมโยงทางการเมือง หลักฐานหลายอย่างบ่งชี้ว่ากลุ่มนี้มีความเชื่อมโยงกับรัฐบาลรัสเซีย และบางครั้งกิจกรรมของพวกเขาดูเหมือนจะสอดคล้องกับเป้าหมายทางการเมืองของรัสเซีย
การโจมตีที่โดดเด่น หนึ่งในการโจมตีที่โด่งดังที่สุดของ APT29 คือ
(1) การโจมตีต่อ Democratic National Committee (DNC) ในสหรัฐอเมริกาในช่วงการเลือกตั้งปี 2016
(2) การโจมตี SolarWinds ใช้ช่องโหว่ในซอฟต์แวร์ SolarWinds ในการเข้าถึงระบบคอมพิวเตอร์ขององค์กรต่างๆ ทั่วโลก รวมถึงกระทรวงการต่างประเทศสหรัฐอเมริกาและสำนักงานความมั่นคงแห่งมาตุภูมิ (United States Department of Homeland Security)
(3) การโจมตีระบบคอมพิวเตอร์ของ Colonial Pipeline บริษัทท่อส่งน้ำมันรายใหญ่ของสหรัฐอเมริกา ทำให้ท่อส่งน้ำมันหยุดทำงานชั่วคราว
เป็นต้น
ผลกระทบทางการเมืองและความมั่นคงไซเบอร์ กิจกรรมของ APT29 มีผลกระทบอย่างมากต่อความมั่นคงไซเบอร์และความมั่นคงแห่งชาติ โดยเฉพาะในสหรัฐอเมริกา
เทคนิคที่ซับซ้อน APT29 มีชื่อเสียงในเรื่องการใช้เทคนิคที่ซับซ้อนและการแฝงตัวเข้าไปในเครือข่ายเป้าหมายเพื่อรักษาการเข้าถึงระยะยาว
แม้ว่าจะมีหลักฐานที่ชี้ให้เห็นถึงการเชื่อมโยงกับรัฐบาลรัสเซีย แต่รัฐบาลรัสเซียยังคงปฏิเสธความเกี่ยวข้องกับกลุ่มนี้
============
APT30 เป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีการดำเนินการอย่างต่อเนื่องและเป็นระยะยาว โดยเฉพาะอย่างยิ่งในภูมิภาคเอเชีย
รายละเอียดเกี่ยวกับ APT30
กิจกรรมหลัก APT30 โด่งดังในการดำเนินการสอดแนมข้อมูลทางไซเบอร์ โดยมุ่งเป้าไปที่องค์กรภาครัฐและทหารในภูมิภาคเอเชีย
ช่วงเวลาของการดำเนินการ รายงานต่างๆ ชี้ให้เห็นว่า APT30 มีการดำเนินการมานานกว่าทศวรรษ โดยมีเป้าหมายที่ชัดเจนและคงที่
วิธีการ กลุ่มนี้ใช้เทคนิคต่างๆ เช่น spear-phishing และการใช้มัลแวร์ที่ออกแบบมาเฉพาะเพื่อขโมยข้อมูลและติดตามเป้าหมาย
เป้าหมาย APT30 มุ่งเป้าไปที่องค์กรภาครัฐ ทหาร และสื่อมวลชนในประเทศเอเชียต่างๆ เช่น อินเดีย มาเลเซีย และเวียดนาม
การสอดแนม ความสนใจหลักของกลุ่มนี้คือข้อมูลทางทหารและการเมือง โดยมีวัตถุประสงค์ในการรวบรวมข้อมูลที่สามารถนำไปใช้ประโยชน์ทางการเมืองหรือทหาร
การปฏิบัติการ : APT30 ทำงานอย่างเงียบๆ และใช้เทคนิคที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ พวกเขามีความสามารถในการปรับเปลี่ยนและพัฒนาเครื่องมือของตนเองเพื่อตอบสนองต่อสถานการณ์ที่เปลี่ยนแปลงไป
การดำเนินการของ APT30 ยังเป็นตัวอย่างของการที่กลุ่ม APT สามารถมุ่งเน้นไปที่เป้าหมายระยะยาวและมีวิธีการที่แยบยลเพื่อบรรลุเป้าหมายการสอดแนมข้อมูลที่สำคัญ
APT33 บางครั้งเรียกว่า “Shamoon” หรือ “Elfin,” เป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีชื่อเสียงสำหรับการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับรัฐบาลอิหร่าน
รายละเอียดบางส่วนเกี่ยวกับ APT33
กิจกรรมหลัก APT33 มีชื่อเสียงในการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่อุตสาหกรรมพลังงาน โดยเฉพาะในตะวันออกกลาง และองค์กรในสหรัฐอเมริกา และยุโรป
เป้าหมายและวิธีการ กลุ่มนี้ใช้เทคนิคต่างๆ เช่น spear-phishing และการใช้มัลแวร์เพื่อเข้าถึงเครือข่ายเป้าหมายและขโมยข้อมูล
การเชื่อมโยงกับรัฐบาลอิหร่าน หลายแหล่งข้อมูลระบุว่า APT33 มีความเชื่อมโยงกับรัฐบาลอิหร่าน โดยมีเป้าหมายที่สอดคล้องกับเป้าหมายทางการเมืองและทหารของอิหร่าน
การโจมตีที่โดดเด่น หนึ่งในการโจมตีที่มีชื่อเสียงของ APT33 คือการใช้มัลแวร์ “Shamoon” ซึ่งสามารถลบข้อมูลจากเครื่องคอมพิวเตอร์ได้ การโจมตีนี้เป้าหมายไปที่อุตสาหกรรมน้ำมันและก๊าซ
ผลกระทบ กิจกรรมของ APT33 ส่งผลกระทบที่ร้ายแรงต่อความมั่นคงไซเบอร์ โดยเฉพาะในอุตสาหกรรมพลังงาน และสร้างความเสียหายทางเศรษฐกิจและเทคนิค
ความสามารถทางเทคนิค APT33 แสดงความสามารถทางเทคนิคที่สูงในการพัฒนาและใช้มัลแวร์ที่มีเป้าหมายเฉพาะและการดำเนินการที่ซับซ้อน
การปฏิเสธจากรัฐบาลอิหร่าน: แม้จะมีหลักฐานที่บ่งชี้ถึงความเกี่ยวข้องของ APT33 กับรัฐบาลอิหร่าน แต่รัฐบาลอิหร่านมักจะปฏิเสธความเกี่ยวข้องความเกี่ยวข้องกับการโจมตีเหล่านี้
APT34 หรือที่รู้จักกันในชื่อ OilRig, COBALT GYPSY, IRN2, Helix Kitten, Evasive Serpens, Group G0049 เป็นกลุ่มแฮกเกอร์ชาวอิหร่านที่รู้จักกันในการโจมตีองค์กรธุรกิจและหน่วยงานรัฐบาลทั่วโลก พวกเขาได้รับรายงานว่าได้รับการสนับสนุนจากรัฐบาลอิหร่าน
APT34 ใช้เทคนิคขั้นสูงในการโจมตีเป้าหมายของตน พวกเขามักใช้การโจมตี Zero-day ซึ่งเป็นช่องโหว่ในซอฟต์แวร์ที่ยังไม่ได้รับการแก้ไข APT34 ยังใช้วิธีการต่างๆ เช่น การฟิชชิง การโจมตีทางสังคม และการใช้ช่องโหว่ในซอฟต์แวร์เพื่อเข้าถึงระบบเป้าหมาย
เป้าหมายของ APT34 มักมุ่งเป้าไปที่ข้อมูลลับ เช่น ข้อมูลทางทหาร ข้อมูลทางการเมือง และข้อมูลทางธุรกิจ APT34 ยังใช้ข้อมูลนี้เพื่อก่อความเสียหายต่อเป้าหมายของตน เช่น การเผยแพร่ข้อมูลเท็จหรือการก่อวินาศกรรม
ตัวอย่างบางส่วนของการโจมตีของ APT34
(1) การโจมตีบริษัทน้ำมันแห่งชาติอิรัก โดยการโจมตีระบบคอมพิวเตอร์ของ บริษัทน้ำมันแห่งชาติอิรัก ทำให้บริษัทสูญเสียข้อมูลสำคัญและทำให้การดำเนินงานหยุดชะงัก
(2) การโจมตีบริษัทพลังงานซาอุดีอาระเบีย เป็นการโจมตีระบบคอมพิวเตอร์ของ บริษัทพลังงานซาอุดีอาระเบีย ทำให้บริษัทสูญเสียข้อมูลสำคัญและทำให้การดำเนินงานหยุดชะงัก
(3) การโจมตีบริษัทเทคโนโลยีในตะวันออกกลาง เป็นการโจมตีระบบคอมพิวเตอร์ของ บริษัทเทคโนโลยีในตะวันออกกลาง ทำให้บริษัทสูญเสียข้อมูลสำคัญและทำให้การดำเนินงานหยุดชะงัก
APT37 หรือที่รู้จักกันในชื่อ Reaper, Group123, TEMP.Reaper, Ricochet Chollima, และ Group G0067 เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักกันในการโจมตีองค์กรธุรกิจและหน่วยงานรัฐบาลทั่วโลก พวกเขาได้รับรายงานว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ
รายละเอียดบางส่วนเกี่ยวกับ APT37
การเชื่อมโยงกับเกาหลีเหนือ APT37 มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ และมีหลักฐานว่าได้รับการสนับสนุนหรือทำงานร่วมกับหน่วยข่าวกรองของประเทศ
เป้าหมายการโจมตี กลุ่มนี้มุ่งเป้าไปที่เป้าหมายในเกาหลีใต้ รวมถึงองค์กรทางการเมือง, สื่อมวลชน, และอุตสาหกรรมที่สำคัญ นอกจากนี้ยังมีรายงานการโจมตีเป้าหมายในญี่ปุ่น และประเทศอื่นๆ ในเอเชีย ตัวอย่างการโจมตีที่โดดเด่น
(1) การโจมตีบริษัทเทคโนโลยีในเอเชียตะวันออกเฉียงใต้ เป็นการโจมตีระบบคอมพิวเตอร์ของ บริษัทเทคโนโลยีในเอเชียตะวันออกเฉียงใต้ ทำให้บริษัทสูญเสียข้อมูลสำคัญและทำให้การดำเนินงานหยุดชะงัก
(2) การโจมตีบริษัทน้ำมันในตะวันออกกลาง หลายครั้ง ตัวอย่างเช่น ในปี 2019 APT37 โจมตีบริษัทน้ำมันแห่งชาติอิรัก (INOC) และขโมยข้อมูลสำคัญเกี่ยวกับเครือข่ายท่อส่งน้ำมันของ INOC การโจมตีครั้งนี้ทำให้ INOC ต้องปิดท่อส่งน้ำมันบางส่วนชั่วคราวและก่อให้เกิดความเสียหายทางเศรษฐกิจมหาศาล
(3) การโจมตีบริษัทน้ำมันในซาอุดีอาระเบียและอาบูดาบีอีกด้วย ในปี 2020 APT37 โจมตีบริษัทน้ำมันแห่งชาติซาอุดีอาระเบีย (Aramco) และขโมยข้อมูลสำคัญเกี่ยวกับการดำเนินงานของ Aramco การโจมตีครั้งนี้ทำให้ Aramco ต้องปิดท่อส่งน้ำมันบางส่วนสร้างความเสียหายต่อเศรษฐกิจ
(4) การโจมตีองค์กรรัฐบาลในยุโรป: APT37 โจมตีระบบคอมพิวเตอร์ของ องค์กรรัฐบาลในยุโรป ทำให้องค์กรสูญเสียข้อมูลสำคัญและทำให้การดำเนินงานหยุดชะงัก
วิธีการโจมตี APT37 ใช้เทคนิคต่างๆ รวมถึง spear-phishing, การใช้เว็บไซต์ปลอม, และการใช้มัลแวร์ที่มีความซับซ้อนเพื่อเข้าถึงระบบและข้อมูล
เครื่องมือและมัลแวร์ พวกเขาพัฒนาและใช้มัลแวร์หลายชนิด เช่น KEYMARBLE, RICECURRY, และ ROKRAT, ซึ่งออกแบบมาเพื่อการสอดแนมและขโมยข้อมูล และที่โดดเด่น คือกลุ่มนี้ใช้มัลแวร์ที่ชื่อ “BITTER” เพื่อโจมตีบริษัทน้ำมันในตะวันออกกลาง มัลแวร์ BITTER ใช้ประโยชน์จากช่องโหว่ Zero-day ในซอฟต์แวร์ Windows เพื่อเข้าสู่ระบบคอมพิวเตอร์ของเป้าหมาย จากนั้นมัลแวร์ BITTER จะขโมยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลประจำตัวทางการเงิน และข้อมูลทางธุรกิจ
ผลกระทบ การโจมตีของ APT37 ส่งผลกระทบต่อความมั่นคงของเกาหลีใต้และประเทศอื่นๆ ในภูมิภาค และมีความสำคัญทางการเมืองและความมั่นคงแห่งชาติ
กลุ่มนี้ได้แสดงให้เห็นถึงการพัฒนาความสามารถและวิธีการใหม่ๆ อย่างต่อเนื่อง เพื่อเพิ่มประสิทธิภาพในการโจมตีและการหลีกเลี่ยงการตรวจจับ เช่นเดียวกับหลายประเทศที่ถูกกล่าวหาว่าสนับสนุนกลุ่ม APT, รัฐบาลเกาหลีเหนือมักปฏิเสธความเกี่ยวข้องกับกลุ่มนี้ การดำเนินการของ APT37 ถือเป็นตัวอย่างของการใช้ไซเบอร์เพื่อเป้าหมายทางการเมืองและการสอดแนม ซึ่งเป็นลักษณะพื้นฐานของการดำเนินงาน APT ในปัจจุบัน
ขอบคุณ
Nontawatt.S