แคสเปอร์สกี้ แลป เผยรายงานจารกรรมไซเบอร์ใหม่ล่าสุด พบการแทรกซึมของภัยคุกคามในองค์กรระดับชาติทั่วภูมิภาคทะเลจีนใต้โดยกลุ่ม “ไนกอน” (Naikon) เป็นเวลานานกว่า 5 ปี ด้วยวิธีการติดตั้งโครงสร้างการเชื่อมต่อแบบเรียลไทม์และการทำเหมืองข้อมูล (Data Mining) จนถึงทูลที่มี 48 คอมมานด์เพื่อสอดส่องระบบ
ผู้เชี่ยวชาญค้นพบว่ากลุ่มไนกอนใช้ภาษาจีนในการสื่อสารและมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลระดับสูง รวมถึงองค์กรทางการทหารและพลเรือนในภูมิภาคทะเลจีนใต้ ได้แก่ ประเทศฟิลิปปินส์ มาเลเซีย กัมพูชา อินโดนีเซีย เวียดนาม เมียนมาร์ สิงคโปร์ เนปาล ลาว จีน และไทย
แคสเปอร์สกี้ แลป ระบุข้อมูลสำคัญของปฏิบัติการของไนกอนไว้ดังนี้
• แต่ละประเทศใช้คนในการดำเนินการเก็บข้อมูลวัฒนธรรมของแต่ละประเทศ เช่น แนวโน้มการใช้อีเมลส่วนตัวในการทำงาน
• สถานที่ตั้งของโครงสร้าง (พร็อกซี่เซิร์ฟเวอร์) ภายในชายแดนของแต่ละประเทศ เพื่อรองรับการเชื่อมต่อเรียลไทม์และการไหลของข้อมูลในแต่ละวัน
• ปฏิบัติการโจมตีตามภูมิรัฐศาสตร์ดำเนินการยาวนานกว่า 5 ปี พุ่งเป้าหน่วยงานระดับสูง
• ใช้รหัสที่เป็นอิสระจากแพลตฟอร์ม สามารถสกัดกั้นทราฟฟิกของทั้งเครือข่าย
• ใช้คอมมานด์ทั้งสิ้น 48 คอมมานด์ในฟังก์ชั่นการบริหารระยะไกล รวมถึงคอมมานด์สำหรับการดาวน์โหลดและอัพโหลดข้อมูล การติดตั้งโมดูลแอด-ออน และการทำงานด้วยคอมมานด์ไลน์
กลุ่มจารกรรมไซเบอร์ที่ชื่อ “ไนกอน” นี้ ปรากฏชื่อครั้งแรกในรายงานล่าสุดของแคสเปอร์สกี้ แลป เรื่อง “The Chronicles of the Hellsing APT: the Empire Strikes Back” ซึ่งกลุ่มไนกอนมีบทบาทสำคัญในเหตุการณ์โจมตีกลุ่ม APT ด้วยกันเอง โดยมีคู่ปรับคือกลุ่มเฮลซิ่ง (Hellsing) ที่ต่อมาได้ตัดสินใจแก้แค้นเอาคืนกลุ่มไนกอน
เคิร์ต บอมการ์ตเนอร์ นักวิจัยซิเคียวริตี้ ทีมวิเคราะห์และวิจัยระดับโลก (GReAT)
เคิร์ต บอมการ์ตเนอร์ นักวิจัยซิเคียวริตี้ ทีมวิเคราะห์และวิจัยระดับโลก (GReAT) แคสเปอร์สกี้ แลป กล่าวว่า “กลุ่มอาชญากรไนกอนได้ออกแบบโครงสร้างที่มีความยืดหยุ่นสูงเพื่อใช้งานกับประเทศเป้าหมายประเทศใดก็ได้ตามความต้องการ และพร้อมรับข้อมูลที่หลั่งไหลมาจากระบบของเหยื่อสู่ศูนย์ควบคุมคำสั่ง หากผู้โจมตีตัดสินใจว่าจะเปลี่ยนเป้าหมายไปยังประเทศอื่นๆ ก็สามารถตั้งค่าเชื่อมต่อใหม่ได้ง่ายดาย การมีโอเปอเรเตอร์เฉพาะสำหรับแต่ละกลุ่มเป้าหมายยังช่วยให้กลุ่มไนกอนทำงานได้ง่ายขึ้นอีกด้วย”
กลุ่มไนกอนโจมตีเป้าหมายด้วยเทคนิคสเปียร์ฟิชชิ่งแบบดั้งเดิม โดยใช้อีเมลพร้อมไฟล์แนบที่ออกแบบให้ดึงดูดความสนใจของเป้าหมาย ไฟล์แนบนี้อาจดูเหมือนเอกสารเวิร์ด แต่แท้จริงแล้วเป็นไฟล์ที่บรรจุโปรแกรมคำสั่งพร้อมเอ็กเท็นชั่นนั่นเอง
แคสเปอร์สกี้ แลป แนะนำให้องค์กรป้องกันตัวเองจากไนกอนตามวิธีต่อไปนี้
• ไม่เปิดไฟล์และเว็บลิ้งก์จากผู้ส่งที่ไม่รู้จัก
• ใช้โซลูชั่นป้องกันมัลแวร์ขั้นสูง
• ถ้าไม่แน่ใจไฟล์แนบ ให้ลองเปิดไฟล์นั้นในแซนด์บ็อก
• ใช้ระบบปฏิบัติการเวอร์ชั่นที่อัพเดทล่าสุดที่ติดตั้งแพทช์ครบถ้วน
• แคสเปอร์สกี้ แลป ปกป้องผู้ใช้จากภัยคุกคามด้วยฟังก์ชั่น Automatic Exploit Prevention สามารถตรวจจับคอมโพเน้นท์ของไนกอนได้ ได้แก่ Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent and Backdoor.Win32.Agent.
