APT ภัยคุกคามรูปแบบใหม่

Posted onAuthortanwongLeave a comment

APT หรือ Advanced Persistent Threat คือประเภทหนึ่งของอาชญากรรมทางคอมพิวเตอร์ ที่มีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ เช่น หน่วยงานทางทหารหรือหน่วยงานทางด้านความมั่นคงปลอดภัยของประเทศ หน่วยงานทางการเมือง หรือองค์กรธุรกิจขนาดใหญ่ รูปแบบการโจมตีแบบ APT ส่วนใหญ่ผู้ดำเนินการมักจะเป็นกลุ่มบุคคลมากกว่าเป็นการดำเนินการของบุคคลใดบุคคลหนึ่ง ซึ่งอาจเป็นไปได้ว่า กลุ่มบุคคลนี้มักจะมีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง การโจมตีมีเป้าหมายที่แน่ชัด ผู้โจมตีมักพยายามแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด และใช้ทุกวิถีทางเพื่อให้การโจมตีสำเร็จผล

คำนิยามของ APT นั้นค่อนข้างหลากหลาย แต่สามารถสรุปคร่าวๆ ได้ดังนี้

Advanced – ผู้ที่โจมตี มีความสามารถและมีทรัพยากรณ์ที่พร้อมสำหรับการโจมตี วิธีการโจมตีจะใช้เครื่องมือและเทคนิคหลายอย่างด้วยกัน ซึ่งเป็นไปได้ตั้งแต่การใช้ความรู้ทางคอมพิวเตอร์ขั้นสูงเพื่อเจาะระบบ ไปจนถึงการใช้เทคนิคพื้นฐาน เช่น Social Engineering ซึ่งเป็นการโจมตีโดยอาศัยหลักจิตวิทยาเพื่อหลอกลวงคนให้เปิดเผยข้อมูลสำคัญ

Persistent – การโจมตีจะเป็นแบบค่อยเป็นค่อยไปและสม่ำเสมอ เนื่องจากผู้โจมตีต้องแฝงเข้าไปอยู่ในระบบโดยไม่ให้เป้าหมายรู้ตัว เพื่อสร้างความเสียหายหรือรวบรวมข้อมูลที่ต้องการให้ได้มากที่สุด

Threat – จัดเป็นภัยคุกคามที่เกิดขึ้นกับระบบเทคโนโลยีสารสนเทศและการสื่อสาร

ตัวอย่างการโจมตีแบบ APT

Operation Aurora – Google ประกาศเมื่อวันที่ 12 มกราคม 2553 ว่าถูกโจมตีด้วยวิธี APT ตั้งแต่ช่วงกลางปี 2552 ถึงเดือนธันวาคม 2552 โดยที่มาของการโจมตีมาจากประเทศจีน สาเหตุการโจมตีคาดว่าเกิดจากกลุ่มผู้โจมตีไม่พอใจที่ Google ไม่ยอมรับเงื่อนไขของรัฐบาลจีนว่าให้เซ็นเซอร์ผลการค้นหาข้อมูลจากเว็บไซต์ Google ประเทศจีน จากการสืบสวนพบว่า ผู้โจมตีใช้ช่องโหว่ที่ค้นพบแต่ยังไม่มีการแก้ไข (Zero-day) ของ Internet Explorer โดยมีเป้าหมายคือข้อมูลใน Gmail ของนักสิทธิมนุษยชนในประเทศจีน ผลจากการโจมตีครั้งนี้ ทำให้ Google ตัดสินใจถอนตัวและย้ายสำนักงานใหญ่ออกจากประเทศจีน

วิธีการโจมตีแบบ APT นั้นมีการปฏิบัติมานานแล้ว ตัวอย่างเช่น ในยุคสงครามเย็น สหภาพโซเวียตได้ทำการส่งสายลับ KGB เข้าไปแฝงตัวในเขตแดนของศัตรูเพื่อขโมยข้อมูล [9] ซึ่งการโจมตีแบบ APT นั้นก็ใช้หลักการเดียวกัน เพียงแต่การนำวิธีนี้มาใช้เพื่อโจมตีระบบคอมพิวเตอร์นั้นเพิ่งจะมีขึ้น ดังนั้นการโจมตีแบบ APT จึงเป็นภัยคุกคามในรูปแบบเดิม แต่เป็นการโจมตีที่เพิ่งนำมาใช้ในระบบคอมพิวเตอร์

แนวโน้มทางด้าน Advanced Persistent Threat ในประเทศไทย และคำแนะนำจาก Kaspersky ในการป้องกันภัยเหล่านี้ในองค์กร

การโจมตีหน่วยงานรัฐและการทำ Cyber-crime กำลังเติบโต
จากในปี 2013 ที่การโจมตีเพื่อสร้างความรำคาญและความเสียหายโดยตรงอย่าง Spam, DDoS, Trojan และอื่นๆ นั้นเป็นที่นิยมสูงสุด ในปี 2015 นี้การมุ่งเน้นการโจมตีหน่วยงานรัฐที่มีงบประมาณเป็นจำนวนมาก และการโจมตีเพื่อหวังผลทางด้านการเงินโดยตรงนั้นได้เติบโตขึ้นมาเป็นอย่างมาก ดังนั้นองค์กรต่างๆ ก็ต้องระวังตัวต่อภัยคุกคามในลักษณะนี้ที่อันตรายกว่าแต่ก่อนเป็นอย่างมาก

สถิติที่น่าสนใจเกี่ยวกับการโจมตีในประเทศไทย
จากการสำรวจ ประเทศไทยโดนโจมตีผ่านทางเว็บไซต์มากถึง 30% และนับเป็นอันดับที่ 9 ของโลก ด้วยการโจมตีด้วย Malware ผ่านทางเว็บในประเทศไทยมากถึง 1,167,000 ครั้งในช่วงระยะเวลาเพียง 3 เดือนในปี 2015
Kaspersky ตรวจพบเครื่องคอมพิวเตอร์ในประเทศไทยนั้นมีการถูกโจมตีด้วย Malware ผ่านทาง Hard Drive และ USB ถึง 47% ด้วยการโจมตีที่มากกว่า 14 ล้านครั้ง

ต้องระวังทั้ง 1-day, 0-day และ Oldday Threats
Kaspersky ได้จำแนกการโจมตีออกเป็น 3 กลุ่มที่น่าสนใจ ได้แก่
Oldday: การโจมตีผ่าน Vulnerabilty ที่ผู้ผลิตประกาศมานานและเป็นที่รู้จักอยู่แล้ว แต่องค์กรไม่ได้ทำการ Patch เพื่อป้องกัน
0-day: การโจมตีผ่าน Vulnerability ใหม่ๆ ที่ผู้โจมตีค้นพบและยังไม่เคยมีใครใช้โจมตีจนเป็นที่เปิดเผยมาก่อน ทำให้องค์กรยังไม่สามารถป้องกันด้วยการ Patch ได้
1-day: การโจมตีผ่าน Vulnerability ที่ถูกเปิดเผยว่าเป็น 0-day โดยมุ่งเป้าไปยังองค์กรที่ยังไม่ทันได้ทำการ Patch หรือแก้ไข แม้ผู้ผลิตจะประกาศ Patch หรือวิธีการอุดช่องโหว่ชั่วคราวมาแล้ว

เทคโนโลยีใหม่ๆ จะตกเป็นเป้าของการโจมตีมากขึ้นเรื่อยๆ
ไม่ว่าจะเป็น Smart Cities, Internet of Things หรือแม้แต่ Connected Cars ที่ถือว่าจะมาเป็นเทคโนโลยีที่เปลี่ยนโลก และเปลี่ยนวิถีชีวิตของเราในอนาคตนั้น ต่างก็จะตกเป็นเป้าหมายของการโจมตีลักษณะนี้มากขึ้นเรื่อยๆ ดังนั้นผู้ที่ผลิตหรือพัฒนาระบบเหล่านี้ก็จะต้องทำกรพัฒนาระบบเหล่านี้โดยคำนึงถึงประเด็นทางด้านความปลอดภัยให้มากที่สุด เพื่อให้เทคโนโลยีไม่ตกเป็นเป้าของการโจมตีในอนาคตจนสร้างปัญหาแก่ผู้ใช้งานและผู้ผลิตเองในระยะยาว

ข้อแนะนำเบื้องต้น 3 ข้อสำหรับองค์กร
Kaspersky ได้มีข้อแนะนำ 3 ประเด็นสำหรับองค์กรดังต่อไปนี้
ให้ความรู้แก่ผู้ใช้งานทั้งหมด เพราะการรักษาความปลอดภัยไม่ใช่เพียงประเด็นทางด้านเทคโนโลยี หรือปัญหาของฝ่าย IT เท่านั้น แต่เป็นเรื่องที่ทุกคนในองค์กรต้องรับผิดชอบร่วมกันแล้ว
มีกระบวนการเพื่อรับมือกับภัยคุกคามเหล่านี้ เพื่อลดระยะเวลาในการเกิดช่องโหว่หรือการถูกโจมตีให้ลดน้อยลง และสร้างความเสียหายให้น้อยที่สุด และทำให้ฝ่าย IT และผู้ที่เกี่ยวข้องมีความพร้อมในการรับมือกับประเด็นปัญหาทางด้านความปลอดภัยให้มากที่สุด
ใช้เทคโนโลยีเพื่อช่วยติดตามการโจมตีเหล่านี้ เพราะการโจมตีเหล่านี้เข้ามาด้วยวิธีการที่หลากหลาย การมีเครื่องมือที่ดีในการช่วยให้ตรวจพบและยับยั้งการโจมตีเหล่านี้ให้ได้ก็เป็นอีกสิ่งหนึ่งที่จำเป็นสำหรับทุกองค์กรในปัจจุบันนี้

เว็บไซด์แนะนำจาก Kaspersky
Kaspersky มีเว็บไซต์ https://cybermap.kaspersky.com ซึ่งสามารถติดตามสถิติทางด้านการโจมตีแบบ Cybersecurity ด้วยกราฟฟิคสวยงามได้ ใครสนใจก็ลองเข้าไปเล่นกันดูได้ครับ

ที่มา : https://www.thaicert.or.th/papers/technical/2011/pa2011te002.html

https://www.techtalkthai.com/kaspersky-advanced-persistent-threat-in-thailand-2015/

ใส่ความเห็น