เงาที่คงอยู่: แกะรอยแคมเปญ APT ที่ได้รับการสนับสนุนจากรัฐ ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ

ภูมิทัศน์ทางภูมิรัฐศาสตร์ยังคงปรากฏให้เห็นในโลกไซเบอร์ โดยแคมเปญภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ที่ได้รับการสนับสนุนจากรัฐยังคงเป็นข้อกังวลอันดับต้นๆ สำหรับ CISOs และวิศวกรความปลอดภัย การค้นพบ APT ที่ซับซ้อนซึ่งใช้แบ็คดอร์ใหม่ในเอเชียตะวันออกเฉียงใต้เมื่อเร็วๆ นี้ เป็นเครื่องเตือนใจที่ชัดเจนถึงภัยคุกคามที่คงอยู่และพัฒนาอย่างต่อเนื่องเหล่านี้ เหตุการณ์นี้ซึ่งมุ่งเป้าไปที่ภาครัฐและภาคพลังงาน ชี้ให้เห็นถึงรูปแบบที่กว้างขึ้นของนักแสดงระดับประเทศที่ใช้มัลแวร์ที่สร้างขึ้นเองและกลยุทธ์ที่ซับซ้อนเพื่อให้บรรลุวัตถุประสงค์เชิงกลยุทธ์

การทำความเข้าใจความซับซ้อนของแคมเปญเหล่านี้เป็นสิ่งสำคัญ ไม่ใช่แค่การระบุมัลแวร์ชิ้นใหม่ แต่เป็นการวิเคราะห์วิธีการปฏิบัติงาน การคาดการณ์การเคลื่อนไหวในอนาคต และการนำการป้องกันเชิงรุกมาใช้ซึ่งสามารถต้านทานภัยคุกคามที่มุ่งมั่นดังกล่าวได้ ภัยคุกคามนี้เป็นความเป็นจริงในการปฏิบัติงานประจำวันสำหรับผู้ปฏิบัติงานโครงสร้างพื้นฐานที่สำคัญและหน่วยงานราชการ

เกิดอะไรขึ้น

ในแคมเปญล่าสุด กลุ่ม APT ได้ใช้แบ็คดอร์ที่สร้างขึ้นเองใหม่ มัลแวร์ที่ซับซ้อนนี้ได้รับการสังเกตว่ามุ่งเป้าไปที่ภาครัฐและภาคพลังงานโดยเฉพาะในเอเชียตะวันออกเฉียงใต้ การใช้แบ็คดอร์นี้บ่งชี้ถึงแนวทางเฉพาะในการจารกรรม ซึ่งออกแบบมาเพื่อสร้างการเข้าถึงที่ถาวรและขโมยข้อมูลที่ละเอียดอ่อนจากเป้าหมายที่มีมูลค่าสูง

เหตุการณ์นี้เป็นส่วนหนึ่งของแนวโน้มที่กว้างขึ้นของนักแสดงระดับประเทศที่ใช้เครื่องมือที่กำหนดเองสำหรับการปฏิบัติงานของตน การมุ่งเน้นไปที่โครงสร้างพื้นฐานที่สำคัญและหน่วยงานราชการเน้นย้ำถึงความสำคัญเชิงกลยุทธ์ของเป้าหมายเหล่านี้สำหรับการรวบรวมข่าวกรองและการก่อกวนที่อาจเกิดขึ้น การใช้มัลแวร์สายพันธุ์ใหม่ที่ตรวจไม่พบมาก่อนทำให้การตรวจจับและการระบุแหล่งที่มาเป็นเรื่องที่ท้าทายมากขึ้นสำหรับผู้ป้องกัน

ทำไมรูปแบบนี้ถึงเกิดขึ้นซ้ำๆ

แคมเปญ APT ที่ได้รับการสนับสนุนจากรัฐยังคงดำเนินต่อไปเนื่องจากปัจจัยหลายประการ โดยหลักๆ คือความจำเป็นเชิงกลยุทธ์ของรัฐชาติ นักแสดงเหล่านี้พยายามที่จะได้เปรียบทางภูมิรัฐศาสตร์ ขโมยทรัพย์สินทางปัญญา ดำเนินการจารกรรม หรือเตรียมพร้อมสำหรับสงครามไซเบอร์ที่อาจเกิดขึ้น ต้นทุนต่ำและผลกระทบสูงของการปฏิบัติงานทางไซเบอร์ เมื่อเทียบกับการแทรกแซงทางทหารแบบดั้งเดิม ทำให้เป็นทางเลือกที่น่าสนใจสำหรับการบรรลุเป้าหมายเหล่านี้

นอกจากนี้ ลักษณะที่ไม่สมมาตรของสงครามไซเบอร์หมายความว่าแม้แต่ประเทศเล็กๆ ก็สามารถพัฒนาขีดความสามารถในการรุกที่สำคัญได้ การพัฒนาเครื่องมือและเทคนิคใหม่อย่างต่อเนื่องช่วยให้กลุ่มเหล่านี้สามารถหลีกเลี่ยงการป้องกันทั่วไปได้ ทำให้จำเป็นต้องมีการแข่งขันด้านอาวุธอย่างต่อเนื่องในด้านความปลอดภัยทางไซเบอร์ ภัยคุกคามที่พัฒนาอย่างต่อเนื่องที่เกิดจากนักแสดงระดับประเทศ รวมถึงกลุ่มที่ได้รับการสนับสนุนจากรัฐบางกลุ่ม ไม่ใช่ความเสี่ยงในอนาคตอีกต่อไป แต่เป็นความเป็นจริงในการปฏิบัติงานในปัจจุบัน

แผนการรุกของผู้โจมตีทีละขั้นตอน

แม้ว่ารายละเอียดเฉพาะของเวกเตอร์การเข้าถึงเริ่มต้นสำหรับแคมเปญล่าสุดจะยังไม่เปิดเผยต่อสาธารณะ แต่แผนการทั่วไปสำหรับ APT ที่ได้รับการสนับสนุนจากรัฐจะปฏิบัติตามกระบวนการหลายขั้นตอนที่คาดเดาได้

1. การสอดแนมและการเข้าถึงเริ่มต้น: ผู้โจมตีดำเนินการสอดแนมอย่างกว้างขวางเพื่อระบุช่องโหว่ โดยมักจะใช้ข้อมูลที่เปิดเผยต่อสาธารณะ วิศวกรรมสังคม หรือการบุกรุกห่วงโซ่อุปทาน การเข้าถึงเริ่มต้นอาจเกี่ยวข้องกับแคมเปญสเปียร์ฟิชชิ่ง การใช้ประโยชน์จากช่องโหว่ Zero-day ในซอฟต์แวร์ทั่วไปหรืออุปกรณ์เครือข่าย หรือการบุกรุกผู้จำหน่ายบุคคลที่สาม แคมเปญบางแคมเปญได้แสดงให้เห็นถึงเวกเตอร์การโจมตีทั่วไปสำหรับการสร้างฐานที่มั่นเริ่มต้นโดยการใช้ประโยชน์จากช่องโหว่ในอุปกรณ์เครือข่าย
2. การสร้างฐานที่มั่นและการคงอยู่: เมื่อมีการเข้าถึงเริ่มต้นสำเร็จ APT จะใช้แบ็คดอร์หรืออิมแพลนท์เพื่อรักษาการเข้าถึงที่ถาวร เครื่องมือเหล่านี้มักสร้างขึ้นเอง ทำให้ยากต่อการตรวจจับโดยโซลูชันป้องกันไวรัสทั่วไป เทคนิคต่างๆ ได้แก่ การสร้างช่องทาง Command-and-Control (C2) การแก้ไขการกำหนดค่าระบบ และการสร้างงานตามกำหนดเวลา
3. การสอดแนมภายในและการเคลื่อนที่ด้านข้าง: เมื่อมีการสร้างฐานที่มั่นแล้ว ผู้โจมตีจะเคลื่อนที่ด้านข้างภายในเครือข่ายเพื่อระบุสินทรัพย์ที่มีมูลค่าสูงและยกระดับสิทธิ์ ซึ่งเกี่ยวข้องกับการแมปโทโพโลยีเครือข่าย การนับบัญชีผู้ใช้ และการบุกรุกระบบเพิ่มเติม พวกเขามักจะผสมผสานเข้ากับการรับส่งข้อมูลเครือข่ายที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงการตรวจจับ
4. การรวบรวมข้อมูลและการรั่วไหลของข้อมูล: เป้าหมายสูงสุดมักเป็นการรั่วไหลของข้อมูล ผู้โจมตีระบุตำแหน่ง จัดเตรียม และบีบอัดข้อมูลที่ละเอียดอ่อนก่อนที่จะโอนออกนอกเครือข่ายที่ถูกบุกรุกอย่างลับๆ ซึ่งอาจเกี่ยวข้องกับการใช้ช่องทางที่เข้ารหัส พื้นที่เก็บข้อมูลบนคลาวด์ หรือแม้แต่บริการที่ถูกต้องตามกฎหมายเพื่อปกปิดกิจกรรมของพวกเขา
5. การปกปิดและการต่อต้านการพิสูจน์หลักฐาน: เพื่อขัดขวางการตรวจจับและการระบุแหล่งที่มา APTs ใช้เทคนิคการปกปิดที่ซับซ้อน เข้ารหัสการสื่อสาร และลบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ สิ่งนี้ทำให้การตอบสนองต่อเหตุการณ์และการกู้คืนเป็นเรื่องที่ท้าทายมากขึ้นสำหรับองค์กรที่ตกเป็นเหยื่อ

ความซับซ้อนของแคมเปญเหล่านี้ต้องการการเปลี่ยนแปลงจากการป้องกันแบบตอบสนองไปสู่การล่าภัยคุกคามเชิงรุกและการตรวจสอบการควบคุมความปลอดภัยอย่างต่อเนื่อง

สิ่งที่ผู้ป้องกันพลาดไป

ในหลายกรณีของแคมเปญ APT ที่ประสบความสำเร็จ ผู้ป้องกันมักจะพลาดตัวบ่งชี้เริ่มต้นเนื่องจากปัจจัยหลายประการ ปัญหาหลักคือการพึ่งพากลไกการตรวจจับตามลายเซ็นมากเกินไป ซึ่งไม่มีประสิทธิภาพในการต่อต้านมัลแวร์ใหม่ ลักษณะเฉพาะของแบ็คดอร์เหล่านี้หมายความว่ามักจะไม่มีลายเซ็นที่รู้จัก ทำให้สามารถหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมได้

การละเลยที่พบบ่อยอีกประการหนึ่งคือการแบ่งส่วนเครือข่ายและการควบคุมการเข้าถึงที่ไม่เพียงพอ เมื่อผู้โจมตีได้รับฐานที่มั่นเริ่มต้น สถาปัตยกรรมเครือข่ายแบบเรียบจะช่วยให้การเคลื่อนที่ด้านข้างเป็นไปอย่างง่ายดาย ทำให้พวกเขาสามารถขยายการปรากฏตัวได้อย่างรวดเร็ว นอกจากนี้ การแบ่งปันและการวิเคราะห์ข้อมูลภัยคุกคามที่ไม่เพียงพออาจทำให้องค์กรเสี่ยงต่อกลยุทธ์ เทคนิค และขั้นตอน (TTPs) ที่รู้จักซึ่งเคยพบในแคมเปญที่คล้ายกันทั่วโลก การมุ่งเน้นไปที่เทคนิควิศวกรรมสังคม ดังที่เห็นในการปฏิบัติงานอาชญากรรมไซเบอร์ต่างๆ ตอกย้ำถึงความจำเป็นในการฝึกอบรมผู้ใช้ที่แข็งแกร่งและความปลอดภัยของอีเมล

รายการตรวจสอบการป้องกันที่ใช้งานได้จริง

การป้องกันภัยคุกคาม APT ที่ซับซ้อนต้องใช้แนวทางเชิงรุกหลายชั้น CISOs และวิศวกรความปลอดภัยควรให้ความสำคัญกับการดำเนินการต่อไปนี้:

• นำสถาปัตยกรรม Zero Trust มาใช้: ตรวจสอบผู้ใช้และอุปกรณ์ทุกเครื่องที่พยายามเข้าถึงทรัพยากรอย่างเคร่งครัด ไม่ว่าจะอยู่ที่ใดก็ตาม จำกัดการเคลื่อนที่ด้านข้างโดยการแบ่งส่วนเครือข่ายและแบ่งส่วนสินทรัพย์ที่สำคัญแบบไมโคร
• ปรับปรุง Endpoint Detection and Response (EDR): ใช้โซลูชัน EDR ขั้นสูงที่มีความสามารถในการวิเคราะห์พฤติกรรมเพื่อตรวจจับกิจกรรมที่ผิดปกติที่บ่งชี้ถึงมัลแวร์ที่กำหนดเองหรือการเคลื่อนที่ด้านข้าง แม้ว่าจะไม่ทราบลายเซ็นก็ตาม
• จัดลำดับความสำคัญของการจัดการแพตช์และการสแกนช่องโหว่: อัปเดตแพตช์ระบบทั้งหมดอย่างสม่ำเสมอ โดยเฉพาะแอปพลิเคชันที่ต้องเผชิญกับอินเทอร์เน็ตและอุปกรณ์เครือข่าย ดำเนินการสแกนช่องโหว่อย่างต่อเนื่องเพื่อระบุและแก้ไขจุดอ่อนที่ APTs อาจใช้เพื่อเข้าถึงเริ่มต้น
• เสริมสร้าง Identity and Access Management (IAM): บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์พิเศษ ใช้หลักการสิทธิ์ขั้นต่ำเพื่อลดผลกระทบของข้อมูลรับรองที่ถูกบุกรุก
• พัฒนาแผนการตอบสนองต่อเหตุการณ์ที่แข็งแกร่ง: ทดสอบและปรับปรุงแผนการตอบสนองต่อเหตุการณ์อย่างสม่ำเสมอเพื่อให้แน่ใจว่าการควบคุม การกำจัด และการกู้คืนเป็นไปอย่างรวดเร็วและมีประสิทธิภาพในกรณีที่มีการละเมิด รวมถึงโปรโตคอลการสื่อสารที่ชัดเจนและความสามารถในการพิสูจน์หลักฐาน
• ใช้ประโยชน์จาก Threat Intelligence: สมัครและรวมฟีดข่าวกรองภัยคุกคามที่มีความแม่นยำสูงอย่างกระตือรือร้น โดยเน้นที่ TTPs ของรัฐชาติ มัลแวร์ที่รู้จัก และเวกเตอร์การโจมตีที่เกิดขึ้นใหม่ สิ่งนี้ช่วยคาดการณ์ภัยคุกคามและปรับการป้องกันเชิงรุก
• ดำเนินการฝึกอบรมการรับรู้ด้านความปลอดภัยอย่างสม่ำเสมอ: ให้ความรู้แก่พนักงานเกี่ยวกับวิศวกรรมสังคมและเวกเตอร์การโจมตีทั่วไปอื่นๆ ที่ APTs ใช้เพื่อเข้าถึงเริ่มต้น ไฟร์วอลล์มนุษย์ที่แข็งแกร่งยังคงเป็นชั้นการป้องกันที่สำคัญ

การทดสอบการรุกสมัยใหม่จะตรวจจับสิ่งนี้ได้อย่างไร

การทดสอบการเจาะระบบแบบดั้งเดิมมักจะไม่สามารถจำลองความคงอยู่และการซ่อนตัวของ APTs ที่ได้รับการสนับสนุนจากรัฐได้ นี่คือจุดที่การทดสอบการรุกสมัยใหม่ โดยเฉพาะการทดสอบการรุกแบบอัตโนมัติด้วย Proof-of-Concepts (PoCs) ที่สามารถรันได้ กลายเป็นสิ่งที่มีค่า แพลตฟอร์มที่มีความสามารถด้านข่าวกรองภัยคุกคามขั้นสูงและการทดสอบการรุกแบบอัตโนมัติด้วย PoCs ที่สามารถรันได้ ได้รับการออกแบบมาเพื่อเลียนแบบแคมเปญ APT ในโลกแห่งความเป็นจริง

ด้วยการท้าทายการป้องกันขององค์กรอย่างต่อเนื่องด้วย TTPs ล่าสุดและมัลแวร์ที่กำหนดเอง แพลตฟอร์มดังกล่าวสามารถระบุจุดอ่อนที่ทำให้มัลแวร์ที่ซับซ้อนสามารถสร้างฐานที่มั่นและคงอยู่ได้ ซึ่งรวมถึงการทดสอบการตรวจจับแบ็คดอร์ใหม่ เทคนิคการเคลื่อนที่ด้านข้าง และวิธีการรั่วไหลของข้อมูลที่เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมอาจพลาดไป PoCs ที่สามารถรันได้นั้นก้าวข้ามช่องโหว่ทางทฤษฎี โดยแสดงให้เห็นอย่างชัดเจนว่าผู้โจมตีสามารถใช้ประโยชน์จากจุดอ่อนได้อย่างไร ซึ่งให้ข้อมูลเชิงลึกที่นำไปใช้ได้จริงสำหรับการแก้ไขก่อนที่จะเกิดเหตุการณ์จริงขึ้น

สิ่งที่ต้องจับตาดูต่อไป

ภูมิทัศน์ของการปฏิบัติการทางไซเบอร์ของรัฐชาติมีการพัฒนาอย่างต่อเนื่อง เราสามารถคาดการณ์ได้ว่าจะยังคงมุ่งเน้นไปที่โครงสร้างพื้นฐานที่สำคัญ หน่วยงานราชการ และทรัพย์สินทางปัญญา การพัฒนามัลแวร์ที่กำหนดเองใหม่ที่มีความสามารถในการหลบหลีกสูงมีแนวโน้มที่จะเร่งตัวขึ้น ทำให้ผู้ป้องกันต้องพึ่งพาการวิเคราะห์พฤติกรรมและการตรวจจับที่ขับเคลื่อนด้วย AI มากขึ้น การทำงานร่วมกันระหว่างการปฏิบัติการทางไซเบอร์ต่างๆ ซึ่งความสามารถหรือโครงสร้างพื้นฐานอาจถูกแบ่งปันหรือใช้ประโยชน์ ก็เป็นสิ่งสำคัญที่ต้องติดตามอย่างใกล้ชิด

นอกจากนี้ เมื่อความตึงเครียดทางภูมิรัฐศาสตร์เพิ่มขึ้น ความถี่และความซับซ้อนของการโจมตีเหล่านี้คาดว่าจะเพิ่มขึ้น องค์กรต่างๆ ต้องระมัดระวัง ลงทุนในเทคโนโลยีความปลอดภัยขั้นสูง และส่งเสริมวัฒนธรรมของการปรับปรุงความปลอดภัยอย่างต่อเนื่องเพื่อก้าวล้ำหน้าภัยคุกคามที่คงอยู่และมีทรัพยากรมากมายเหล่านี้