Business model ที่เปลี่ยนไปของอาชญากรไซเบอร์ซึ่งใช้ประโยชน์จากเงื่อนไขต่างๆ เพื่อนำมาขู่กรรโชกสร้างการเปลี่ยนแปลงที่น่าสนใจในหลายมุมมอง โดยเฉพาะอย่างยิ่งการเกิดขึ้นของ Business model ที่มัลแวร์เรียกค่าไถ่ (Ransomware) ถูกใช้เพื่อสร้างผลกระทบในขั้นตอนสุดท้ายหลังจากที่การบุกรุกระบบเสร็จสิ้น (Post-compromise)

ผมได้พูดถึงความแตกต่างและข้อสังเกตในประเด็นทั่วไปของ Classical ransomware campaign กับ Human-operated ransomware หรือ Post-compromise ransomware ไว้ในบล็อกรายละเอียดภัยคุกคามและปฏิบัติการของ Maze Ransomwareของไอ-ซีเคียว ดังนั้นในโพสต์ผมจะมาพูดถึง Unpopular opinion ในประเด็นเชิงเทคนิคอื่นๆ ที่เกี่ยวข้องกับประเภทของภัยคุกคามกลุ่มนี้กันครับ

ข้อคิดเห็นเหล่านี้ได้รับอิทธิพลอย่างสูงมาจากการทำความเข้าใจพฤติกรรมของกลุ่ม Maze จากรายงานการวิเคราะห์ของ FireEye Mandiant

Exposed Risks for Initial Access

Opinion: แนวคิดการรักษาความมั่นคงปลอดภัยโดยส่วนใหญ่ให้นิยามกับ Asset ว่าเป็นกลางโดยพื้นฐาน หรือมักอยู่บนพื้นฐานของแนวคิด “ป้องกันไม่ให้ถูกแฮก” ซึ่งทำให้เราเพิกเฉยข้อเท็จจริงว่า Asset ที่เราจำเป็นต้องปกป้องหรือรักษาความปลอดภัยนั้นได้รับการสืบทอดความเสี่ยงบางอย่างมา หรืออาจเคยได้รับผลกระทบไปแล้ว ส่งผลให้การจัดการความเสี่ยงทำได้อย่างไม่สมบูรณ์หรือมีประสิทธิภาพ

รายงานของ FireEye Mandiant มีการระบุถึงข้อเท็จจริงที่น่าสนใจ 2 ประเด็นคือ

  1. รูปแบบหนึ่งของ Initial access vector ซึ่งพบบ่อยครั้งในปฏิบัติการของ Maze คือการเข้าถึงระบบจากระยะไกลผ่านทางช่องทางซึ่งเหยื่ออนุญาตให้เข้าถึงอยู่แล้ว อย่างไรก็ตามไม่สามารถระบุได้ว่าผู้โจมตีได้มาซึ่งข้อมูลสำหรับยืนยันตัวตนได้อย่างไร
  2. Organization ของ Maze มีลักษณะของการรวมกลุ่มของผู้ที่มีประสบการณ์แตกต่างกัน เช่น ผู้พัฒนามัลแวร์เรียกค่าไถ่, กลุ่มซึ่งมีช่องทางในการแพร่กระจายมัลแวร์และกลุ่มซึ่งสามารถให้ช่องทางในการเข้าถึงระบบภายในขององค์กรใดๆ ได้ รวมไปถึงมีการแบ่งผลประโยชน์อย่างเหมาะสมระหว่างกันด้วย

สมมติฐานหนึ่งซึ่งเป็นไปได้ตามข้อสังเกตจากรายงานการวิเคราะห์ฉบับนี้คือกลุ่มซึ่งคอยจัดหาช่องทางในการเข้าถึงระบบได้ไม่ได้มีเพียงแต่กลุ่มซึ่งใช้กำลังคนเพื่อเสาะหาช่องโหว่และสร้างช่องทางในการยืดครอง แต่รวมไปถึงผู้ใช้กำลังของเงินในการซื้อช่องทางในการเข้าถึงใดๆ ด้วย ช่องทางเหล่านี้เป็นช่องทางที่ง่ายและมีประสิทธิภาพในการให้กลุ่มซึ่งมีศักยภาพในการเข้าถึงระบบอื่นที่สูงนั้นสามารถจดจ่อกับเป้าหมายที่มีความสำคัญและมูลค่าที่คู่ควร

Access as a Service

ในปัจจุบันมีบริการมากมายซึ่งจัดหาและขายช่องทางในการเข้าถึงระบบไม่ว่าจะข้อมูลสำหรับยืนยันตัวตนของบัญชีอีเมลซึ่งมักถูกใช้กับกรณี Business email compromise (BEC) หรือช่องทางการเข้าระบบใดๆ จากระยะไกลตามรูปภาพด้านบน การซื้อขายสามารถเกิดขึ้นได้โดยง่ายภายใต้ราคาซึ่งไม่สูงมาก ทำให้การลงทุนเสี่ยงกับการใช้ข้อมูลในลักษณะนี้เป็นต้นทุนในการโจมตีที่อาจคุ้มค่า

การรั่วไหลหรือการซื้อขายข้อมูลสำหรับการเข้าถึงระบบหรือบัญชีผู้ใช้งานยังสะท้อนให้เห็นถึงการข้อจำกัดในการระบุหาต้นตอและที่มาของการโจมตีอีกด้วย เพราะเมื่อใดก็ตามที่ข้อมูลสำหรับยืนยันตัวตนของบุคคลในองค์กรซึ่งมีตัวตนอยู่จริงถูกใช้โดยผู้ไม่ประสงค์ดีเพื่อแสวงหาประโยชน์ และถูกใช้อย่างมีประสิทธิภาพ (เช่น เข้าถึงเฉพาะช่วงเวลา Business-hour ขององค์กรและจากหมายเลขไอพีแอดเดรสซึ่งจะไม่บ่งชี้ความผิดปกติ) กระบวนการในการตรวจจับความผิดปกติ รวมไปถึงการระบุหาที่มาและต้นตอของการโจมตีย่อมเป็นไปได้ยากขึ้นเช่นกัน

ท้ายที่สุดแล้วการระบุหาความเสี่ยงควรกระทำภายใต้แนวคิดของการตรวจสอบอดีตว่าไม่มีผลต่อกระทบต่อปัจจุบัน และรักษาปัจจุบันเพื่อการันตีอนาคต ซึ่งอาจดำเนินการภายใต้ความสำคัญและปัจจัยทางด้านทรัพยากรที่แตกต่างกันไปในแต่ละองค์กร

Attribution Blurred Line

Opinion: ความมีประสิทธิภาพในการเชื่อมโยงพฤติกรรมและเทคนิคของผู้โจมตี (TTP) ไปยังกลุ่มของผู้โจมตีและเป้าหมายของการโจมตีจะยากขึ้นเนื่องจากลักษณะขององค์กรที่ผสมความมีส่วนร่วมของอาชญากรไซเบอร์หลายกลุ่ม

รายงานของ FireEye Mandiant มีการระบุถึงความแตกต่างของพฤติกรรมและเทคนิคที่ผู้โจมตีใช้ในการโจมตีออกเป็น 3 กลุ่ม และมีการระบุถึงการมีส่วนร่วมของกลุ่ม FIN6 ในปฏิบัติการของมัลแวร์เรียกค่าไถ่ Maze

Maze Group 3 (FIN6) TTP

อ้างอิงจากฐานข้อมูล MITRE ATT&CK ซึ่งมีการระบุรายละเอียดโดยคร่าวของกลุ่ม FIN6 กลุ่มอาชญากรไซเบอร์กลุ่มนี้ถูกระบุว่ามีกลุ่มเป้าหมายอยู่ที่การโจมตีเพื่อให้ได้มาซึ่งข้อมูลรหัสบัตรเครดิตซึ่งจะถูกนำไปขายในฟอรั่มใต้ดิน โดยกลุ่ม FIN6 มักจะพุ่งเป้าไปที่กลุ่มธุรกิจบริการและผู้ขายสินค้าซึ่งมีการใช้ระบบ Point of sale (PoS) และมีพฤติกรรมการโจมตีและเทคนิคที่ใช้ตามที่ระบุไว้ใน MITRE ATT&CK Navigator

การสรุปถึงการมีส่วนร่วมของกลุ่ม FIN6 ในปฏิบัติการของ Maze นั้นดูขัดแย้งกับข้อมูลของกลุ่ม FIN6 ที่มีอยู่ใน MITRE ATT&CK อยู่พอสมควร ไม่ว่าจะเป็นข้อมูลเกี่ยวกลุ่มเป้าหมายและพฤติกรรมการโจมตี (ดูเพิ่มเติมข้อมูลของ Maze (FIN6) ใน ATT&CK Navigator) ความขัดแย้งนี้สร้างแนวทางความเป็นไปได้ออกเป็น 2 ทาง คือการประเมินของ FireEye Mandiant นั้นผิด หรืออีกทางหนึ่งคือ FireEye Mandiant มีหลักฐานบางประการซึ่งทำให้เชื่อว่าสมมติฐานนี้เป็นจริง

เนื่องจากเราไม่สามารถที่จะพิสูจน์แนวทางใดแนวทางหนึ่งได้อย่างถึงที่สุด การนำไปใช้งานจึงขึ้นอยู่กับว่าแนวทางไหนให้ประโยชน์ได้อย่างเหมาะสมกว่ากัน ท้ายที่สุดเราจึงอาจจำเป็นต้องพนันกับการประเมินของทีม FireEye Mandiant ว่าหนึ่งในผู้อยู่เบื้องหลังปฏิบัติการของ Maze คือกลุ่ม FIN6

เมื่อเราไม่ได้มีศักยภาพที่มากพอในการที่จะเชื่อมโยงพฤติกรรมของผู้โจมตีเข้ากับกลุ่มผู้โจมตีซึ่งเป็นที่รู้จักอยู่แล้ว การตอบสนองและรับมือเหตุการณ์จะไม่สามารถเกิดขึ้นได้อย่างมีประสิทธิภาพหรือนำไปสู่การระบุต้นตอและพฤติกรรมของผู้โจมตีได้อย่างชัดเจน และนั่นทำการกระบวนการตอบสนองและรับมือไม่มีทางที่จะบรรลุจุดประสงค์ของมันได้ ข้อเท็จจริงเหล่านี้ยังคงตอกย้ำถึงความสำคัญของการมีข้อมูลซึ่งสามารถถูกนำมาใช้ในการประกอบการตัดสินใจ เชื่อมโยงและกำหนดทิศทางในการตอบสนองและรับมือภัยคุกคามได้

ท้ายที่สุดผู้ที่เป็นฝ่ายเพลี่ยงพล้ำในการต่อสู้มักจะเป็นผู้ที่ศึกษาศัตรูมาน้อยกว่าเสมอ