APT 41 Indictments
Overview
ตั้งแต่เดือนสิงหาคม 2019 จนถึงเดือนกันยายน 2020 กระทรวงยุติธรรมสหรัฐฯ และหน่วยงานภายใต้กระทรวงฯ ได้มีการสืบสวนและออกหมายจับกลุ่มแฮกเกอร์และผู้สมรู้ร่วมคิดในขบวนการซึ่งเป็นชาวต่างชาติรวมทั้งสิ้น 7 คน ผลลัพธ์จากการสืบสวนและการประสานงานทำให้ผู้สมรู้ร่วมคิด 2 คนจาก 7 คนซึ่งเป็นชาวมาเลเซียถูกจับกุม ในขณะที่ผู้ต้องหาตามหมายจับอีก 5 คนซึ่งเป็นชาวจีนยังคงหลบหนีอยู่ในประเทศจีน
รายละเอียดของการสืบสวนและออกหมายจับในครั้งนี้มีความน่าสนใจอยู่หลายประเด็น อาทิ
- 3 จากใน 5 ของชาวจีนที่ถูกออกหมายจับนั้นเป็นหนึ่งในกลุ่มของ Advanced Persistent Threat (APT) ที่รู้จักกันในชื่อกลางว่า APT 41 หรือกลุ่ม Winnti ซึ่งเป็นกลุ่มที่ทำการโจมตี TeamViewer และสามารถเข้าถึงซอร์สโค้ดของโปรแกรมได้ (อ้างอิง Bleeping Computer)
- ข้อมูลการสอบสวนบ่งชี้ให้เห็นความสัมพันธ์ระหว่างกลุ่มแฮกเกอร์กับกระทรวงความมั่นคงแห่งรัฐของจีน (Ministry of State Security - MSS) ซึ่งทำให้ปฏิบัติการการโจมตีในแต่ละครั้งที่เกิดขึ้นอาจจำเป็นที่จะต้องถูกตีความว่ารัฐบาลจีนจะได้ผลประโยชน์จากการโจมตีด้วย
- หนึ่งในเหยื่อจากการโจมตีนั้นถูกระบุว่าเป็นบริษัท Eletronic Extreme (อ้างอิง We Live Security) และยังมีบริษัทด้านโทรคมนาคมในประเทศไทยอีกด้วย
- ลักษณะการดำเนินการของกลุ่ม APT 41 นั้นมีลักษณะที่คล้ายคลึงกับกลุ่ม FIN7 ในประเด็นของการมีบริษัทซึ่งมีความเชี่ยวชาญด้านความปลอดภัยไซเบอร์บังหน้า แม้จะไม่มีรายละเอียดซึ่งเปิดเผยให้เห็นถึงกระบวนการภายในอย่างในกรณีของ FIN7 เราก็อาจจะสามารถคาดเดาความคล้ายคลึงกันในด้านของการปฏิบัติการ (opertional tradecraft) ได้ (ดูเพิ่มเติม FIN7 CrimeOps: ศึกษาปฏิบัติการของกลุ่มอาชญากรไซเบอร์ “FIN7” กลุ่มนักล่าระบบ Point of Sale (POS))
ตามแนวทางของการเผยแพร่เนื้อหาในลักษณะเดียวกันอย่างที่ได้เคยมีการนำเสนอไปแล้วในกรณีของ FIN7 เนื้อหาดังต่อไปนี้จะเป็นการสรุปสิ่งที่เราได้เรียนรู้เกี่ยวกับพฤติกรรมของกลุ่มแฮกเกอร์ รวมไปถึงประเด็นทางด้านเทคนิคซึ่งอาจนำไปสู่การพัฒนาของแนวทางในการป้องกัน, ตรวจจับและตอบสนองภัยคุกคามต่อไป
Characters
การออกคำฟ้องร้องของกระทรวงยุติธรรมสหรัฐฯ ในกรณีที่เกิดขึ้นมีการประกาศออกมา 2 ช่วงเวลาคือในเดือนสิงหาคม 2019 และในเดือนสิงหาคม 2020 เพื่อป้องกันความสับสนในความเกี่ยวข้องของบุคคล ลำดับเหตุการณ์และข้อหาที่ถูกออกหมายจับ เราจะทำการเรียบเรียงผู้เกี่ยวข้องทั้งหมดใหม่อีกครั้งเพื่อความเข้าใจที่ถูกต้องดังนี้
- กลุ่ม Video Game Consipiracy ซึ่งโจมตีบริษัทที่เกี่ยวข้องกับการพัฒนาและให้บริการเกม ผู้ที่ถูกออกหมายจับคือ Zhang Haoran และ Tan Dailin มีชื่ออยู่ในคำฟ้องร้องครั้งที่ 1 ออกเมื่อเดือนสิงหาคม 2019
- กลุ่ม APT 41 ผู้ซึ่งอยู่เบื้องหลังการโจมตีบริษัทกว่า 100 แห่งทั่วโลก มีชื่ออยู่ในคำฟ้องร้องครั้งที่ 2 ออกเมื่อเดือนสิงหาคม 2020 ผู้ที่มีชื่ออยู่ในคำฟ้องร้องคือ Jiang Lizh, Qian Chuan และ Fu Qiang
- กลุ่ม SEA Gamer Mall เป็นการออกคำฟ้องร้องชาวมาเลเซีย 2 คนในข้อหาของการแสวงหาผลประโยชน์จากการโจมตีและมีส่วนเกี่ยวข้องกับกลุ่ม Video Game Consipiracy ผู้ที่มีชื่ออยู่ในคำฟ้องร้องคือ Wong Ong Hua และ Ling Yang Ching โดยคำฟ้องร้องดังกล่าวนับเป็นคำฟ้องร้องครั้งที่ 3 ออกเมื่อเดือนสิงหาคม 2020
Relationships
ในคำฟ้องร้องทั้งหมด 3 ฉบับ คำฟ้องร้องในฉบับที่ 2 ของกลุ่ม APT 41 ได้มีการระบุความสัมพันธ์ระหว่างกลุ่ม APT 41 และกลุ่ม Video Game Consipiracy เอาไว้ว่าผู้ที่มีชื่ออยู่ในคำร้องของทั้งสองกลุ่มนั้นมีความสัมพันธ์ในลักษณะของการเป็นเพื่อนร่วมงาน เราอาจมองได้ว่าการออกคำร้องครั้งแรกนั้นเป็นจิ๊กซอว์ตัวกลางซึ่งมีจิ๊กซอว์ตัวก่อนหน้าคือกลุ่ม APT 41 และมีจิ๊กซอว์ตัวต่อไปคือกลุ่ม SEA Gamer Mall ตามความสัมพันธ์คือ
- กลุ่ม Video Game Consipiracy มีความสัมพันธ์ในลักษณะของเพื่อนร่วมงานกับกลุ่ม APT 41
- กลุ่ม Video Game Consipiracy มีความสัมพันธ์ต่อกลุ่ม SEA Gamer Mall ในฐานะผู้ให้ผลประโยชน์จากการโจมตีระบบ
- กลุ่ม APT 41 และกลุ่ม SEA Gamer Mall ไม่ได้มีการระบุว่ามีความสัมพันธ์การโดยตรง
Jiang Lizh ซึ่งมีชื่อในคำฟ้องร้องที่เกี่ยวข้องกับกลุ่ม APT 41 เคยทำงานในบริษัทด้านความมั่นคงปลอดภัยไซเบอร์แห่งหนึ่งซึ่งอ้างว่า “มีลูกค้าเป็นหน่วยงานรัฐบาล” ในช่วงปี 2008 ถึง 2010 โดยในช่วงดังกล่าว หนึ่งในกลุ่ม APT 41 มีการพบกับกลุ่ม Video Game Consipiracy จนถึงปี 2011 ถึง 2014
ในปี 2014 Jiang Lizh เริ่มทำงานกับบริษัทด้านความมั่นคงปลอดภัยไซเบอร์แห่งใหม่ชื่อ Chengu 404 Network Technology Co., Ltd. หรือ CHENGDU 404 บริษัทฯ มีการให้บริการรักษาความปลอดภัยเครือข่าย, บริการกลุ่ม data analytic รวมไปถึงบริการทดสอบเจาะระบบเพื่อประเมินความปลอดภัย, กู้คืนรหัสผ่านและตรวจพิสูจน์หลักฐานดิจิตอล หน้าเว็บไซต์ของบริษัทมีการกล่าวถึง “จิตวิญญาณแห่งความรักชาติ” และมีการอ้างว่าทางบริษัทมีการให้บริการแก่หน่วยงานของรัฐและทางกองทัพด้วย
Jiang Lizh มีตำแหน่งเป็นรองประธานฝ่ายเทคนิคของ CHENGDU 404 ในขณะที่ Qian Chuan เป็นประธานของ CHENGDU 404 และ Fu Qiang เป็นผู้ดูแลฝ่าย Big Data Development การเกิดขึ้นของ APT 41 จึงอาจเรียกได้ว่าเกิดขึ้นภายใน CHENGDU 404
Objectives
ทั้งกลุ่ม Video Game Consipiracy และกลุ่ม SEA Gamer Mall ซึ่งมีความสัมพันธ์ระหว่างกันโดยตรงนั้นต่างมีจุดมุ่งหมายที่คล้ายคลึงกันคือการพยายามแสวงหารายได้จากการโจมตีระบบ จากคำฟ้องร้องเฉพาะของกลุ่ม Video Game Consipiracy กลุ่มฯ มีพฤติกรรมในการโจมตีบริษัทซึ่งอยู่ในอุตสาหกรรมเกมเพื่อเข้าถึงฐานข้อมูลของเกม จากนั้นมีการแก้ไขข้อมูลเพื่อสร้างไอเทมในเกมหรือการเปลี่ยนแปลงเงินของตัวละครในเกม ผลประโยชน์ที่เกิดขึ้นในลักษณะดังกล่าวถูกนำมาขายให้กับผู้เล่นในเกมคนอื่นโดยแลกเปลี่ยนเป็นเงินจริง
กลุ่ม SEA Gamer Mall เข้ามามีบทบาทในการซื้อขายแลกเปลี่ยนผลประโยชน์จากกลุ่ม Video Game Consipiracy อ้างอิงจากเนื้อในคำฟ้องร้องฉบับที่ 3 ของกลุ่ม SEA Gamer Mall
หนึ่งในเหยื่อซึ่งเกิดจากปฏิบัติการของทั้ง 2 กลุ่มนี้นั้นคือบริษัท Electronics Extreme อ้างอิงจากรายงานของ ESET มีการตรวจพบว่าผู้โจมตีมีการแก้ไขโค้ดของเกมและฝังช่องทางลับ (backdoor) เอาไว้ในโค้ดของเกม รายงานของ ESET ยังระบุว่าเกม Infestation ในเวอร์ชันที่ถูกฝังโค้ดอันตรายซึ่ง Electronics Extreme เป็นผู้พัฒนานั้นยังคงมีการเปิดให้ดาวโหลด โดย ESET ไม่สามารถติดต่อทาง Electronics Extreme เพื่อแจ้งปัญหาได้ (ในขณะนั้น)
While two of the compromised products no longer include the backdoor, one of the affected developers is still distributing the trojanized version: ironically, the game is named Infestation, and is produced by Thai developer Electronics Extreme. We have tried informing them several times, through various channels, since early February, but without apparent success.
ESET on Gaming industry still in the scope of attackers in Asia (March 11, 2019)
แม้ว่าเป้าหมายของกลุ่ม APT 41 จะซ้อนทับกับกลุ่ม Video Game Consipiracy และ SEA Gamer Mall แต่อาจเป็นเพราะความเป็นไปได้ของความสัมพันธ์ระหว่างกลุ่ม APT 41 และกระทรวงความมั่นคงแห่งรัฐของจีน เป้าหมายรวมไปถึงเหยื่อของกลุ่ม APT 41 จึงมีความหลากหลายกว่า โดยสามารถแยกประเภทได้ดังนี้
- เป้าหมายการจารกรรมข้อมูล (information theft) โดยมีข้อมูลเป้าหมายในการขโมย อาทิ ซอร์สโค้ดของโปรแกรม, ใบรับรองสำหรับการทำ code signing ของซอฟต์แวร์, ข้อมูลลูกค้าหรือผู้ใช้บริการและข้อมูลส่วนบุคคลอื่นๆ การได้มาซึ่งข้อมูลถูกนำไปใช้ทั้งการนำไปแสวงหารายได้ต่อและการปรับปรุงผลิตภัณฑ์ของ CHENGDU 404 เพื่อผลประโยชน์ทางธุรกิจ
- เป้าหมายในการแสวงหารายได้โดยตรง (monetization) อาทิ การแพร่กระจายมัลแวร์เรียกค่าไถ่ในระบบที่ยึดครองได้ หรือการโจมตีในลักษณะของ cryptomining เพื่อแสวงหารายได้จากสกุลเงินดิจิตอล
- เป้าหมายด้านความมั่นคง (state-interests) มีการระบุว่ากลุ่ม APT 41 มีการนำข้อมูลที่ได้จากการโจมตีระบบมาเพิ่มประสิทธิภาพของผลิตภัณฑ์ที่มีลักษณะการทำงานโดยอ้างอิงข้อมูลแบบ OSINT คำฟ้องร้องยังระบุถึงการใช้แพลตฟอร์มที่สอดคล้องกับเป้าหมายของรัฐบาลจีน อาทิ การค้นหาต่อกรณีของการประท้วงในฮ่องกง และการค้นหาในประเด็นที่เกี่ยวข้องกับชาวอุยกูร์
เอกลักษณ์ของการโจมตีโดยกลุ่ม APT 41 อย่างหนึ่งคือการโจมตีในรูปแบบ Supply-chain attack หรือการพุ่งเป้าไปโจมตีไปยังกลุ่มผู้ให้บริการเซอร์วิส (Managed Service Provider - MSP) หรือผู้พัฒนาซอฟต์แวร์ซึ่งได้รับความนิยม กลุ่ม APT 41 จะทำการโจมตีบริการหรือองค์กรในกลุ่มนี้ หลังจากนั้นจึงมีการใช้ช่องทางของผู้ให้บริการในการเข้าถึงผู้ใช้บริการของผู้ให้บริการ หรือใช้ช่องทางของผู้พัฒนาซอฟต์แวร์ในการเข้าถึงผู้ใช้ซอฟต์แวร์ต่อไป
- The conspirators also targeted and compromised prominent electronic communications services and telecommunications providers in the United States and around the pworld, including in Australia, China (Tibet), Chile, India, Indonesia, Malaysia, Pakistan, Singapore, South Korea, Taiwan, and Thailand. These providers included, as examples, ECS #9, ECS #10, ECS #11, and ECS #12.
Department of Justice on C404 Indictment (September 16, 2020)
ทั้งนี้กลุ่ม APT 41 ถูกระบุว่ามีการโจมตีบริษัทด้านโทรคมนาคมแห่งหนึ่งในประเทศไทย แต่ไม่มีการระบุอย่างชัดเจนว่าเป็นบริษัทใด
Tactics, Techniques, and Procedures (TTP)
เนื่องจากในเอกสารฟ้องร้องทั้ง 3 ฉบับนั้นมีเพียงฉบับเดียวที่มีการลงรายละเอียดถึงเครื่องมือ ช่องโหว่และวิธีการโจมตีระบบอย่างชัดเจนคือคำฟ้องร้องกลุ่ม APT 41 เนื้อหาในส่วนนี้จะอ้างจากข้อมูลจากคำฟ้องร้องดังกล่าวเป็นหลัก
โครงการ MITRE ATT&CK Enterprise Matrix ได้มีการระบุถึงเทคนิคและซอฟต์แวร์ซึ่งกลุ่ม APT 41 ใช้ในการโจมตีระบบเอาไว้แล้วซึ่งสามารถดูได้ทั้งจากหน้าข้อมูลของกลุ่ม หรือดูข้อมูลผ่านโครงการ ATT&CK Navigator ดังนั้นเนื้อหาในส่วนต่อไปนี้จะเป็นการพูดถึงรายละเอียดซึ่งข้อมูลที่มีอยู่นั้นอาจยังไม่ครอบคลุม รวมไปถึงรายละเอียดของช่องโหว่แทน
Software/Malware
- MITRE ATT&CK มีการระบุรายชื่อมัลแวร์ที่กลุ่ม APT 41 มีการใช้งาน ได้แก่ BLACKCOFFEE, Derusbi, gh0st RAT, MESSAGETAP, njRAT, PlugX และ ROCKBOOT อย่างไรก็ตามในคำฟ้องร้องยังมีการระบุถึงมัลแวร์ Winnti/Pasteboy, Shadowpad หรือ POISONPLUG และ Crosswalk/ProxIP ด้วย
- ในกรณีของการโจมตีมหาวิทยาลัยแห่งหนึ่งในฮ่องกง กลุ่ม APT 41 มีการใช้เฟรมเวิร์ค Gophish ในการโจมตีแบบ spear phishing
- ในการโจมตีหน่วยงานราชการของต่างประเทศ อาทิ เวียดนาม, อินเดียและสหราชอาณาจักร กลุ่ม APT 41 มีการใช้ซอฟต์แวร์ Acunetix และ SQLMap ในการโจมตี
Vulnerabilities
คำฟ้องร้องของกลุ่ม APT 41 มีการระบุถึงพฤติกรรมของกลุ่ม APT 41 ซึ่งมีการใช้ช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่ซึ่งพึ่งมีการเปิดเผยสู่สาธารณะในการปฏิบัติการของตน ทาง US-CERT ยังได้มีการให้รายละเอียดเพิ่มเติมของช่องโหว่ที่มีการใช้งานในรายงาน Alert (AA20-258A) Chinese Ministry of State Security-Affiliated Cyber Threat Actor Activity รายการของช่องโหว่ซึ่งถูกใช้โดยกลุ่ม APT 41 ตามรายละเอียดดังนี้
| CVE Identifier | Affected Products | CVSSv3 | Source |
|---|---|---|---|
| CVE-2019-19781 | Citrix Application Delivery Controller (ADC) และ Gateway | 9.8 | Indictment & US-CERT |
| CVE-2019-11510 | Pulse Secure Pulse Connect Secure (PCS) | 10.0 | Indictment & US-CERT |
| CVE-2019-16920 | D-Link Routers | 9.8 | Indictment |
| CVE-2019-16278 | nostromo nhttpd | 9.8 | Indictment |
| CVE-2019-1652 | Cisco Small Business RV320 และ RV325 Dual Gigabit WAN VPN Routers | 7.2 | Indictment |
| CVE-2019-1653 | Cisco Small Business RV320 และ RV325 Dual Gigabit WAN VPN Routers | 7.5 | Indictment |
| CVE-2020-10189 | Zoho ManageEngine Desktop Central | 9.8 | Indictment |
| CVE-2020-5902 | F5 BIG-IP | 9.8 | US-CERT |
| CVE-2020-0688 | Microsoft Exchange | 8.8 | US-CERT |
Remarks
- คำฟ้องร้องที่กระทรวงยุติธรรมสหรัฐฯ มีการเผยแพร่ออกมามีบันทึกการสนทนาระหว่างกลุ่ม APT 41 และผู้สมรู้ร่วมคิดในปี 2017 การสนทนาเกิดขึ้นในช่องทางและในวิธีการที่ไม่สามารถระบุได้ การได้มาซึ่งบันทึกการสนทนาอาจเป็นไปได้ว่าข้อมูลของปฏิบัติการนั้นรั่วไหล หรืออาจถูกเข้าถึงโดยบุคคลภายนอก
- คำฟ้องร้องที่กระทรวงยุติธรรมสหรัฐฯ มีการเผยแพร่ออกมามีการพูดถึงโครงการภายในของ CHENGDU 404 ในชื่อ “Sonar X” ซึ่งเป็นโครงการที่ถูกระบุว่าสามารถใช้เพื่อประเมินความเสี่ยงได้ เทคโนโลยีเบื้องหลังของ Sonar X นั้นคือระบบซึ่งใช้ในการค้นหาข้อมูลจากเครือข่ายสังคมออนไลน์ แหล่งข้อมูลสาธารณะ ในลักษณะของการ open-source intelligence (OSINT) รวมไปถึงข้อมูลซึ่งได้จากการโจมตีระบบต่าง ๆ คำฟ้องร้องมีการระบุว่าระบบ Sonar X ถูกใช้โดย CHENGDU 404 โดยละเอียดอย่างไร เช่นเดียวกัน การยืนยันข้อเท็จจริงในส่วนนี้ไม่สามารถทำได้แม้จะทราบว่าเป้าหมายซึ่ง APT 41 โจมตีนั้นคือองค์กรหรือคือผู้ใด อย่างไรก็ตามการที่คำฟ้องร้องสามารถยืนยันการใช้ระบบ Sonar X ซึ่งดูสอดคล้องกับแนวทางการเมืองของจีนบ่งชี้ว่ามีการทราบข้อมูลเชิงลึกด้วยวิธีการใดวิธีการหนึ่งมาก่อน และข้อมูลดังกล่าวก็มีความน่าเชื่อถือสูงด้วย ประเด็นนี้จึงมีความน่าสนใจว่ารัฐบาลสหรัฐฯ รู้ได้อย่างไรถึงพฤติกรรมการใช้งานระบบ Sonar X โดยละเอียดนี้
References
- Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally
- Alert (AA20-258A) Chinese Ministry of State Security-Affiliated Cyber Threat Actor Activity
- Gaming industry still in the scope of attackers in Asia
- APT 41 - Malpedia
- APT 41, Group G0096 | MITRE ATT&CK