Targeted Surveillance and Evidence Fabrication Against Indian Political Activists - Forensics Report Note
การสอดแนมแบบเจาะจงตัวบุคคลเป็นทางเลือกที่ปรากฎขึ้นบ่อยครั้งหากเป้าหมายของผู้ปฏิบัติการคือการเข้าถึงความเคลื่อนไหวและกิจกรรมของบุคคลที่เป็นเป้าหมาย และหากบุคคลที่เป็นเป้าหมายนั้นเป็นบุคคลที่มีความสำคัญและคุ้มค่ามากพอที่จะทำ การสอดแนมนอกจากทำให้ผู้ปฏิบัติการสามารถ “อ่าน” ความเคลื่อนไหนหรือกิจกรรมที่เกิดขึ้นในระบบที่เข้ายึดครองได้แล้ว ในบางกรณีมันยังอนุญาตให้ผู้ปฏิบัติสามารถ “เขียน” ข้อมูลลงไปในระบบ ซึ่งนำไปสู่การสร้างข้อมูลใหม่หรือการแก้ไขข้อมูลเดิมได้อีกด้วย
ในมุมมองหนึ่ง การดำเนินการไม่ว่าจะเป็นการ “อ่าน” หรือ “เขียน” นั้นสามารถเกิดขึ้นได้ทั้งในแบบ passive และในแบบ active เราสามารถอธิบายความแตกต่างระหว่าง passive และ active ได้ง่ายหากเอาการมีปฏิสัมพันธ์กับเป้าหมายเป็นตัวคัดแยก การดำเนินการแบบ passive หลีกเลี่ยงการมีปฏิสัมพันธ์โดยตรงกับเป้าหมาย ในขณะที่ active เลือกที่จะสร้างปฏิสัมพันธ์โดยตรงกับเป้าหมาย
หากการอ่านหรือเข้าถึงข้อมูลนั้นเกิดขึ้นในแบบ passive ผู้ปฏิบัติการจะอาศัยช่องทางอื่นๆ ที่ไม่ใช่การมีปฏิสัมพันธ์กับเป้าหมายเพื่อให้สามารถอ่านหรือเข้าถึงข้อมูลที่ต้องการได้ การสอดแนมมักเกิดขึ้นในลักษณะนี้ซึ่งเปรียบเสมือนกับการเฝ้ามอง แต่หากการอ่านหรือเข้าถึงข้อมูลนั้นเกิดขึ้นในแบบ active นั่นหมายถึงเกิดปฏิสัมพันธ์ระหว่างผู้ปฏิบัติการกับเป้าหมายโดยตรง คำอธิบายนี้สามารถใช้ได้หากเปลี่ยนจากการ “อ่าน” เป็นการ “เขียน” เช่นเดียวกัน
กรณีของ Rona Wilson เป็นกรณีศึกษาที่น่าสนใจทั้งในแง่ของการวิเคราะห์หลักฐานดิจิตอลและการสร้าง perfect crime เมื่อการเข้าถึงที่ได้จากการสอดแนมนั้นถูกนำมาใช้เพื่อสร้างข้อมูลและหลักฐานปลอมแบบ active ที่นำมาสู่การเข้าจับกุม Rona Wilson และผู้มีส่วนเกี่ยวข้องอื่นๆ กรณีศึกษานี้ยังสะท้อนจุดอ่อนที่สามารถถูกตรวจพบได้ในเหตุการณ์อื่นที่อาจมีองค์ประกอบและลักษณะที่คล้ายคลึงกัน และความเป็นไปได้ที่จะปกปิดจุดอ่อนนั้นและทำให้การวิเคราะห์หลักฐานดิจิตอลยากขึ้นด้วย
เอกสารที่ถูกพูดถึงในบล็อกนี้สามารถเข้าถึงได้จากลิงค์นี้ SentinelOne มีการพูดถึง TTP เพิ่มเติมของกลุ่มผู้ปฏิบัติการที่เชื่อว่าเกี่ยวข้องกับกรณีนี้เอาไว้ด้วยที่นี่
Initial Leads
ประเด็นที่น่าสนใจประเด็นแรกของกรณีนี้จุดเริ่มต้นของคำถามและข้อสงสัยซึ่งทำให้เกิดคำถามและการตรวจสอบตามมาว่าหลักฐานที่ปรากฎในคอมพิวเตอร์ของ Rona Wilson นั้นเป็นของจริงหรือไม่
จากรายงานการวิเคราะห์หลักฐานดิจิตอลของ Arsenal Consulting มีการระบุไว้ว่าการตรวจสอบคอมพิวเตอร์ของ Rona Wilson ได้เคยเกิดขึ้นมาก่อนเลยโดย The Caravan ซึ่งเป็นนิตยสารในอินเดีย (ดูเพิ่มเติม Bhima Koregaon case: Prison-rights activist Rona Wilson’s hard disk contained malware that allowed remote access)
จากผลการตรวจสอบของ The Caravan การเกิดขึ้นของข้อสงสัยถึงที่มาของหลักฐานดูเหมือนจะเกิดขึ้นจากหลายปัจจัยที่ส่งเสริมทฤษฎีและสมมติฐานเดียวกันว่าหลักฐานที่ปรากฎและถูกนำมาใช้เอาผิดนั้นมีลักษณะที่ต้องสงสัย ปัจจัยบางส่วนนั้นได้แก่
- การตรวจพบการมีอยู่ของ NetWire ซึ่งเป็นมัลแวร์ที่มีความสามารถในการเข้าถึงข้อมูลในระบบ รวมไปถึงมีความสามารถในการเขียนและแก้ไขข้อมูลด้วย
- การไม่มีอยู่ของหลักฐานดิจิตอลซึ่งควรมีอยู่หากผู้ถูกกล่าวหาคือ Rona Wilson นั้นมีการเข้าถึง สร้างหรือแก้ไขข้อมูลเอกสารที่ถูกใช้ปรักปรำผู้ถูกกล่าวหา เกิดเป็นคำถามถึงการลบหรือทำลายหลักฐานซึ่งมีความเป็นไปได้ต่ำเนื่องจากไฟล์ที่ถูกใช้กล่าวหานั้นยังคงอยู่ในระบบ และเกิดเป็นคำถามต่อมาถึงที่มาของไฟล์ข้อมูลเอกสารดังกล่าว
- การไม่มีอยู่ของหลักฐานส่วนอื่นซึ่งควรจะสะท้อนให้เห็นถึงการพฤติกรรมและประวัติการใช้งานโดยทั่วไปของผู้ใช้งาน ซึ่งอาจเป็นไปได้ว่ามีการลบและทำลายหลักฐานเกิดขึ้น
- ข้อสงสัยที่มีจากเหตุการณ์ในลักษณะเดียวกันที่เคยเกิดขึ้นมาก่อน ซึ่งสะท้อนให้เห็นถึงการพุ่งเป้าไปยังกลุ่มนักเคลื่อนไหวทางการเมืองที่มีความเชื่อมโยงกัน รวมไปถึงความสามารถและศักยภาพในการโจมตีกลุ่มเป้าหมายนี้ (ดูเพิ่มเติม Exclusive: Not Just WhatsApp, Snooping Attack on Indian Activists Was Through Email Too)
เมื่อมองในภาพรวม จุดเริ่มต้นที่นำมาสู่การตั้งข้อสงสัยและการตรวจสอบล้วนแล้วแต่เกิดจากความเข้าใจที่มีอยู่ก่อนแล้วต่อ threat landscape ที่อาจมีความเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้น ซึ่งนำไปสู่การกำหนด threat model และพิจารณาถึงศักยภาพที่ threat สามารถทำให้เกิดได้ และความสามารถที่มีอยู่ในปัจจุบันของผู้ตรวจสอบ (The Caravan) ในระบุหาความผิดปกติจากหลักฐานดิจิตอลจาก threat model ที่มีอยู่
ข้อสงสัยและความสามารถในการตรวจสอบข้อสงสัยจึงเป็นองค์ประกอบสำคัญในการค้นพบความผิดปกตินี้
Tactics, Techniques, and Procedures
รายงานของ Arsenal Consulting อธิบายพฤติกรรมของผู้โจมตีไว้ดังนี้
- ผู้โจมตีใช้วิธีการส่งอีเมลแนบไฟล์มัลแวร์ NetWire มายังอีเมลของ Rona Wilson โดยอาศัยการส่งอีเมลจากบัญชีจริงของบุคคลที่ Rona Wilson รู้จักและเคยพูดคุยกันด้วย
- อีเมลที่ถูกใช้เพื่อแพร่กระจายมัลแวร์ NetWire นั้นมีการใช้ฝังลิงค์เพื่อดาวโหลดและติดตั้งมัลแวร์ โดยปลอมแปลงข้อความที่ปรากฎให้มีลักษณะเสมือนกับเป็นลิงค์ของบริการ Dropbox
- ตลอดระยะเวลา 22 เดือนที่มีการยึดครองระบบ มีหลักฐานซึ่งปรากฎให้เห็นถึงการเรียกใช้โปรแกรม CCleaner, Quick Heal PC Tuner และ SDelete ทั้งในลักษณะที่ต้องสงสัยและไม่ต้องสงสัยซึ่งส่งผลให้เกิดการตรวจพบและยับยั้งการทำงานของมัลแวร์ ยังมีการพบหลักฐานซึ่งปรากฎให้เห็นถึงความพยายามในการใช้วิธีการเดิมเพื่อหลอกให้ Rona Wilson ทำการดาวโหลดและติดตั้งมัลแวร์ NetWire อีกหลายครั้งในช่วงระยะเวลา 22 เดือน
- การตรวจสอบและถอดรหัสบันทึกของมัลแวร์ NetWrie ทำให้พบการใช้งานฟีเจอร์ keylogging เพื่อบันทึกการใช้งานคีย์บอร์ด
- นอกเหนือจากการใช้มัลแวร์ NetWire ในการจัดการไฟล์ข้อมูล ผู้โจมตีมีการใช้งานโปรแกรม WinSCP โดยตั้งค่าให้มีการโอนถ่ายไฟล์โดยอัตโนมัติระหว่างคอมพิวเตอร์ของ Rona Wilson (รวมไปถึงอุปกรณ์อื่นๆ ที่มีการเชื่อมต่ออยู่กับระบบ) กับระบบของผู้โจมตีที่ใช้เป็นเซิร์ฟเวอร์สำหรับออกคำสั่งและควบคุม (C&C)
- ในกระบวนการโอนถ่ายไฟล์จากระบบของผู้โจมตีมาไว้ที่คอมพิวเตอร์ของ Rona Wilson ผู้โจมตีหลีกเลี่ยงการถูกตรวจพบโดยการโอนถ่ายไฟล์มาไว้ที่ไดเรกทอรีที่ถูกซ่อนเอาไว้ รวมไปถึงไดเรกทอรีอย่าง “System Volume Information” ใน thumb drive และในตำแหน่งอื่นๆ
นอกเหนือจากพฤติกรรมของผู้โจมตี กรณีนี้ยังมีประเด็นที่น่าสนใจที่สะท้อนให้เห็นศักยภาพของภัยคุกคามเพิ่มเติมอีก เช่น การตรวจสอบเพิ่มเติมกับ infrastructure ที่เกี่ยวข้องกับมัลแวร์ที่ตรวจพบทำให้พบข้อมูลเพิ่มเติมว่า infrastructure ดังกล่าวซึ่งถูกใช้เพื่อควบคุมและสั่งการมัลแวร์ปรากฎมาแล้วไม่ต่ำกว่า 4 ปี และมีความเชื่อมโยงกับคดีอื่นด้วย
Evidence Suggests Otherwise
ส่วนสำคัญของรายงานโดย Arsenal Consulting คือส่วนที่ใช้เพื่ออธิบายที่มาของไฟล์เอกสารที่ใช้เพื่อปรักปรำและจับกุม Rona Wilson บางส่วนของเนื้อหาสอดคล้องและไปในทางเดียวกับผลการตรวจสอบโดย The Caravan
- ไฟล์เอกสารที่ใช้เพื่อกล่าวหา Rona Wilson ถูกบันทึกเป็นไฟล์ PDF จากโปรแกรม Word 2010 หรือ Word 2013 อย่างไรก็ตามโปรแกรม Word ที่ปรากฎในคอมพิวเตอร์ของ Rona Wilson มีเพียง Word 2007 ไม่มีหลักฐานที่ปรากฎของการมีอยู่ของโปรแกรม Word เวอร์ชันอื่น
- มีการตรวจพบว่าผู้โจมตีมีการโอนถ่ายไฟล์เอกสารบางส่วนมาไว้ที่ระบบพร้อมกับโปรแกรมสำหรับบีบอัดไฟล์เพื่อใช้ในการคลายการบีบอัดของไฟล์ที่นำมาใส่ไว้ในระบบ กระบวนการทั้งหมดเกิดขึ้นผ่านการทำ NTFS transaction model
- ไม่พบหลักฐานที่แสดงให้เห็นถึงการเข้าถึงไฟล์เอกสารที่ถูกใช้เพื่อเกี่ยวหา และไม่พบหลักฐานที่แสดงให้เห็นว่าไดเรกทอรีที่ไฟล์เอกสารเหล่านั้นถูกจัดเก็บเคยถูกเปิดออก อ้างอิงจากพฤติกรรมของระบบไฟล์ NTFS ที่จะเกิดขึ้นหากมีการเปิดไฟล์เอกสาร
หมายเหตุ: NTFS transaction model เป็นการวิเคราะห์แบบเฉพาะที่ Arsenal Consulting พัฒนาขึ้น อ้างอิงจากข้อมูลในระบบ และการใช้ data buffers เมื่อมีการเขียนข้อมูลลงในดิสก์
Planning a Perfect Crime
กรณีของ Rona Wilson แสดงให้เห็นถึงความเสี่ยงในมุมของผู้ปฏิบัติการหากต้องมีปฏิสัมพันธ์กับเป้าหมายโดยตรงซึ่งส่งผลให้เกิดหลักฐานที่นำมาใช้อธิบายเหตุการณ์ที่เกิดขึ้นในภายหลังได้ การพิจารณาเลือกระหว่างลักษณะการมีปฏิสัมพันธ์เป็นเรื่องหนึ่งที่ควรเกิดขึ้นเช่นเดียวกับการพิจารณามาตรการที่จำเป็นเพื่อขัดขวางหรือต่อต้านการตรวจสอบและวิเคราะห์หลักฐานหากมีความจำเป็นต้องมีปฏิสัมพันธ์และหากการยับยั้งการ attribution คือเป้าหมายของปฏิบัติการด้วย
การดำเนินการแบบ passive มักอาศัยการเฝ้ามองเหตุการณ์ที่เกิดขึ้นและใช้ประโยชน์จากมัน หรือการใช้สิ่งอื่นเพื่อมีปฏิสัมพันธ์กับเป้าหมายแทน แน่นอนว่าการเฝ้ารอให้เกิดเงื่อนไขบางอย่างในระบบจากนั้นจึงใช้เงื่อนไขในตอนนั้นเพื่อสร้างข้อมูลปลอมขึ้นมาเป็นสิ่งที่เป็นไปได้ภายใต้ข้อจำกัดตามปัจจัยที่วิธีการดังกล่าวนั้นพึ่งพาอยู่ แน่นอนว่าการดำเนินการในลักษณะนี้มาพร้อมกับความเสี่ยงที่จะถูกตรวจจับได้ในระหว่างรออยู่เช่นกัน
การดำเนินการแบบ active โดยผู้ที่มีความรู้และเข้าใจการทำงานของระบบซึ่งสามารถแก้ไขการมีอยู่ของหลักฐานหรือสร้างข้อมูล metadata อื่นๆ อีกชั้นหนึ่งถือเป็นวิธีการที่ซับซ้อนและเสี่ยงน้อยกว่าเมื่อเทียบกับการพัฒนามัลแวร์ที่เฝ้ามองและรอวันที่จะทำงานตามเงื่อนไข อย่างไรก็ตามกิจกรรมที่มีเป้าหมายในลบร่องรอยหลักฐานในอีกมุมหนึ่งก็ได้สร้างรอยเท้าของตัวมันเองขึ้นด้วยเช่นเดียวกันขึ้นอยู่กับวิธีการ
การทำให้หลักฐานที่มีอยู่นั้นไม่สามารถเข้าถึงได้แทนที่การลบหลักฐานซึ่งจะนำมาสู่ข้อสงสัยอื่นๆ นั้นเป็นแนวทางที่เป็นไปได้ ตัวอย่างเช่น การเริ่มการทำงานของมัลแวร์เรียกค่าไถ่หรือมัลแวร์ทำลายข้อมูลโดยใช้สายพันธุ์ของมัลแวร์ที่พบเห็นได้ทั่วไปเพื่อกลบเกลื่อนและเบี่ยงเบนการถูก attribute อย่างไรก็ตามการเข้ารหัสไฟล์ของระบบที่สามารถนำมาใช้เป็นหลักฐานได้เป็นพฤติกรรมที่ไม่ได้พบเห็นกันบ่อยนักในความเป็นจริง ยังไม่รวมไปถึงความเสี่ยงที่จะทำให้ไฟล์หลักฐานที่จะวางไว้เพื่อกล่าวหาและปรักปรำถูกเข้ารหัสหรือทำลายตามไปด้วย
ท้ายที่สุดแล้วด้วยลักษณะของสภาพแวดล้อมที่อาชญากรรมนั้นจะเกิดขึ้นและเป้าหมายของปฏิบัติการ การใส่ร้ายหรือกล่าวหาด้วยวิธีการที่ปรากฎในกรณีอาจเป็นไปได้ที่ยากที่จะเกิดขึ้นและมีคุณสมบัติเป็น perfect crime การพิจารณาถึงวิธีการอื่นที่ให้ได้ผลลัพธ์แบบเดียวกันภายใต้สภาพแวดล้อมดังกล่าวอาจช่วยเพิ่มคุณสมบัติการเป็น perfect crime ได้มากกว่าการปรับแต่งปัจจัยภายใต้วิธีการในลักษณะนี้