What Does Nation-State Attacker Looks Like: Russian Tradecraft In 2016 U.S. Elections
Document Description
- ข้อมูลซึ่งปรากฎในบทความนี้มีที่มาจาก Special Counsel Indictment July 13, 2018 ซึ่งเป็นคำร้องต่อศาลเพื่อดำเนินคดีกับชาวรัสเซีย 12 คนในหลายข้อหา หนึ่งในข้อหาที่ถูกกล่าวหาคือ “การสมคบคิดกันเพื่อกระทำการอันเป็นปฏิปักษ์ต่อสหรัฐฯ” โดยกระทำการแทรกแซงกระบวนเลือกตั้งของสหรัฐฯ ในปี 2016
- บทความนี้ถูกจัดทำขึ้นเพื่อจุดประสงค์ในการนำเสนอ Tactics, Techniques and Procedures (TTP) จากการโจมตีจริงซึ่งมีที่มาจากกลุ่มผู้โจมตีที่ได้รับการสนุนโดยรัฐฯ (Nation-state sponsored attacker)
Summary
- คณะทำงานภายใต้การนำของอัยการพิเศษ Robert Muller ได้มีการส่งคำร้องต่อศาลเพื่อดำเนินคดีกับชาวรัสเซีย 12 คนในข้อหาซึ่งมีที่มาจากความพยายามในการแทรกแซงกระบวนการเลือกตั้งสหรัฐฯ ในปี 2016 ชาวรัสเซียทั้ง 12 คนนั้นมีส่วนร่วมในการเจาะระบบคอมพิวเตอร์รวมไปถึงการเข้าถึงและเผยแพร่ข้อมูลของบุคคลและกลุ่มบุคคลที่มีความเกี่ยวข้องกับการเลือกตั้งสหรัฐ
- คำฟ้องร้องที่เกิดขึ้นนั้นนับว่าเป็นการยืนยันอย่างเป็นทางการและเป็นการเพิ่มน้ำหนักของคำกล่าวหาและข้อเท็จจริงเกี่ยวกับการแทรกแซงการเลือกตั้งโดยรัสเซีย กระบวนการเผยแพร่ข่าวปลอมและแคมเปญการหาเสียงเลือกตั้งของ Donald Trump ซึ่งมีความเชื่อมโยงกับรัฐบาลของรัสเซีย
Attribution
- ชาวรัสเซียทั้ง 12 คนนั้นถูกระบุว่ามีความเชื่อมโยงกับหน่วยข่าวกรองทางการทหารของรัสเซีย (Main Intelligence Directorate of the General Staff - GRU) โดยเป็นสมาชิกในหน่วยย่อยชื่อ Unit 261655 และ 74455 ที่มีหน้าที่ในการดำเนินปฏิบัติการทางไซเบอร์ ซึ่งรวมไปถึงการเจาะระบบ ขโมยและเผยแพร่ข้อมูลที่ได้
- เป้าหมายในการโจมตีในครั้งนี้นั้นคือกลุ่มของเจ้าหน้าที่ พนักงานและอาสาสมัครซึ่งให้การสนับสนุนและดำเนินการอยู่ในแคมเปญหาเสียงของ Hillary Clinton ซึ่งรวมไปถึง John Podesta ซึ่งเป็นผู้นำแคมเปญหาเสียงนี้
- กลุ่มผู้ต้องหายังมีการเจาะระบบคอมพิวเตอร์และเครือข่ายของ Democratic Congressional Campaign Committee (DCCC) และ Democratic National Committee (DNC) กลุ่มผู้ต้องหาใช้ช่องทางเข้าถึงที่ได้ในการสอดแนม ฝังมัลแวร์ลงไฟล์ในระบบคอมพิวเตอร์ พร้อมทั้งขโมยและเผยแพร่ข้อมูลที่ได้ซึ่งต่อมาถูกเผยแพร่ภายใต้บุคคลหรือกลุ่มคนนิรนามชื่อ “DCLeaks” และ “Guccifer 2.0” บนเว็บไซต์ WikiLeaks
Spearphishing Operations
- กลุ่มผู้ต้องหาทำการโจมตีผู้นำแคมเปญหาเสียงด้วยวิธีการโจมตีแบบ spearphishing โดยอาศัยการส่งอีเมลปลอมที่มีหน้าตาเหมือนกับอีเมลแจ้งเตือนด้านความปลอดภัยจากบริการของ Google เพื่อหลอกล่อให้เป้าหมายหลงเชื่อและเปิดลิงค์ที่มากับอีเมล ลิงค์ดังกล่าวถูกย่อผ่านบริการ URL-shortening service โดยมีปลายทางไปยังหน้าเว็บไซต์ปลอม กลุ่มผู้ต้องหาจะทำการหลอกล่อให้เป้าหมายหลงเชื่อว่ามีการเข้าถึงบัญชีอีเมลที่ผิดปกติเพื่อให้ดำเนินการเปลี่ยนรหัสผ่าน ซึ่งจะถูกดำเนินการผ่านหน้าเว็บไซต์ปลอมที่ถูกจัดเตรียมเอาไว้ก่อนแล้ว กลุ่มผู้โจมตีมีการดำเนินการค้นหาข้อมูลและความเชื่อมโยงระหว่างเป้าหมายอ้างอิงจากข้อมูลซึ่งปรากฎในเว็บไซต์เครือข่ายสังคมออนไลน์ จากนั้นกลุ่มผู้โจมตีมีการนำข้อมูลที่ได้มาใช้เป็นข้อมูลในการประกอบการโจมตีครั้งต่อไป อาทิ ใช้ชื่อของบุคคลที่มีความเกี่ยวข้องกับแคมเปญหาเสียงของ Hillary Clinton มาสร้างอีเมลปลอมเพื่อโจมตีในรูปแบบของ spearphishing เป็นทอดๆ ต่อไป
- ในอีเมลที่ถูกสร้างมาจากบัญชีผู้ใช้ปลอมเพื่อโจมตีในรูปแบบของ spearphishing นั้น กลุ่มผู้ต้องหามีการแนบลิงค์ซึ่งมีการอ้างถึงเอกสารชื่อ “hillary-clinton-favorable-rating.xlsx” โดยหากมีการคลิกลิงค์เพื่อเข้าถึงเอกสารดังกล่าว เว็บไซต์ปลอมซึ่งกลุ่มผู้ต้องหาสร้างขึ้นและมีการลอกเลียนบริการออนไลน์จะถูกเปิดขึ้นมาเพื่อหลอกเอาข้อมูลของผู้ใช้งานต่อไป
Hacking Into The DCCC and DNC Network
- กลุ่มผู้ต้องหามีการเก็บข้อมูลลักษณะของเครือข่ายของ DCCC และ DNC เพื่อระบุหาช่องโหว่ของเครือข่ายและระบบ
- กลุ่มผู้ต้องหามีการนำข้อมูลบัญชีผู้ใช้งานและรหัสผ่านที่ได้ในกระบวนการโจมตีแบบ spearphishing มาใช้ซ้ำเพื่อเข้าถึงระบบภายในของ DCCC
- เมื่อเข้าถึงเครือข่ายภายในได้ กลุ่มผู้ต้องหามีการติดตั้งมัลแวร์ X-Agent ในระบบซึ่งอยู่ในเครือข่ายของ DCCC จำนวนอย่างน้อย 10 ระบบ มัลแวร์ X-Agent ถูกใช้โดยกลุ่มผู้ต้องหาในการคอยสอดแนมการใช้งานภายในเครือข่าย ขโมยข้อมูลที่เป็นความลับออกและใช้เป็นช่องทางในการเข้าถึงระบบที่โจมตีสำเร็จแล้วในภายหลัง
- มัลแวร์ X-Agent มีการติดต่อกลับไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมของกลุ่มผู้ต้องหาซึ่งอยู่ในรัฐแอริโซนาเพื่อรอรับคำสั่งในการทำงาน กลุ่มผู้ต้องหามีการใช้ระบบ AMS ซึ่งถูกระบุว่าเป็นระบบสำหรับควบคุมมัลแวร์ในการเปิดใช้งานฟีเจอร์ของการดักจับการใช้งานคียบ์อร์ดและการแอบถ่ายภาพหน้าจอ เพื่อสอดแนมการใช้งานภายในเครือข่ายของ DCCC ซึ่งมีทั้งข้อมูลที่เกี่ยวข้องกับการแคมเปญการหาเสียงและเรื่องส่วนตัวของพนักงาน
- ในเวลาต่อมา กลุ่มผู้ต้องหามีการเปิดใช้งานเซิร์ฟเวอร์ขึ้นมาใหม่นอกสหรัฐฯ ซึ่งถูกใช้เป็น “เซิร์ฟเวอร์ตัวกลาง” ที่จะคอยรับ-ส่งคำสั่งและข้อมูลระหว่างระบบที่มีการติดตั้งมัลแวร์ X-Agent และระบบ AMS ซึ่งใช้ในการควบคุมมัลแวร์
- ในการขโมยข้อมูลออกจากเครือข่าย กลุ่มผู้ต้องหามีการติดตั้งและใช้งานมัลแวร์ X-Tunnel ซึ่งจะทำหน้าที่ในการส่งข้อมูลที่ต้องการออกจากระบบด้วยช่องทางที่มีการเข้ารหัสไปยังเซิร์ฟเวอร์ที่ปลายทางที่ไม่เกี่ยวข้องกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมมัลแวร์
- กลุ่มผู้ต้องหามีการเรียกใช้คำสั่ง PowerShell ในการเข้าถึงและจัดการขโมยข้อมูลซึ่งอยู่ใน Microsoft Exchange Server
- กลุ่มผู้ต้องหามีการใช้ข้อมูลซึ่งรวมไปถึงบัญชีผู้ใช้งานและรหัสผ่านซึ่งได้จากการเข้าถึงเครือข่ายของ DCCC ในการเข้าถึงเครือข่ายของ DNC ต่อและมีการใช้มัลแวร์ X-Agent และ X-Tunnel ในการสอดแนมและขโมยข้อมูลในลักษณะเดียวกัน
- กลุ่มผู้ต้องหามีการเข้าถึงระบบบนคลาวด์ซึ่งใช้ในการทดสอบและใช้งานแอปพลิเคชันวิเคราะห์ของ DNC โดยกลุ่มผู้ต้องหามีการใช้เครื่องมือซึ่งผู้ให้บริการคลาวด์ดังกล่าวเปิดให้ใช้งานอยู่แล้วในการสร้างข้อมูลสำรอง (หรือ snapshot) ของระบบบนคลาวด์ที่ DNC ใช้งาน ก่อนจะย้ายข้อมูลสำรองดังกล่าวไปยังบัญชีผู้ของกลุ่มผู้ต้องหาเพื่อเข้าถึงและขโมยข้อมูลต่อ
Anti-Forensics and Countermeasures Against IR
- กลุ่มผู้ต้องหามีการปกปิดปฏิบัติการด้วยการลบบันทึกการทำงานของระบบ (Windows Event Log) และไฟล์ต่างๆ ที่เกี่ยวข้องกับปฏิบัติการโดยใช้โปรแกรม CCleaner รวมไปถึงหลักฐานในระบบ AMS ซึ่งในการควบคุมมัลแวร์
- เมื่อมีการพยายามตรวจสอบจากบริษัทด้านความปลอดภัยที่ถูกว่าจ้างโดย DCCC และ DNC กลุ่มผู้ต้องหามีการสืบค้นข้อมูลเกี่ยวกับบริษัทด้านความปลอดภัยดังกล่าวจากแหล่งข้อมูลสาธารณะ โดยเน้นไปที่รายงานใดๆ ที่เกี่ยวข้องกับมัลแวร์ X-Agent และ X-Tunnel
- มัลแวร์ X-Agent ในรุ่นที่ถูกพัฒนาให้ทำงานในระบบปฏิบัติการลินุกซ์และถูกตั้งค่าให้มีการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมที่โดเมนเนม linuxkrnl[.]net ยังคงอยู่ในระบบจนถึงเดือนตุลาคม 2016 แม้การตรวจสอบและตอบสนองภัยคุกคามจะเริ่มต้นขึ้นตั้งแต่เดือนพฤษภาคม 2016
- เมื่อมัลแวร์ X-Agent ที่ตรวจพบและถูกปิดการใช้งาน กลุ่มผู้ต้องหามีการพยายามเข้าถึงระบบอีกครั้งผ่านทางข้อมูลบัญชีผู้ใช้งานและรหัสผ่านของผู้ใช้งานในระบบที่ขโมยออกมา
DCLeaks
- ในการเผยแพร่ข้อมูลที่ขโมยออกมาได้ กลุ่มผู้ต้องหามีการจดทะเบียนโดเมนเนม dcleaks[.]com ผ่านทางผู้ให้บริการจดทะเบียนโดเมนเนมที่เปิดรับการจดทะเบียนโดเมนเนมแบบนิรนาม และรับการจ่ายเงินค่าใช้บริการผ่านทาง cryptocurrency และใช้เว็บไซต์ดังกล่าวในการเผยแพร่ข้อมูล บันทึกอีเมลและเอกสารอื่นๆ ที่แฮกออกมาได้
- กลุ่มผู้ต้องหามีการสร้างและใช้งาน Facebook Page “DCLeaks” ซึ่งถูกสร้างโดยบัญชีผู้ใช้งาน Facebook สมมติชื่อ “Alice Donovan” และยังมีการใช้บัญชีผู้ใช้งานปลอมที่มีการปลอมแปลงชื่อและข้อมูลในการช่วยโปรโมตเพจ “DCLeaks” ดังกล่าว กระบวนการเข้าถึงบัญชีบน Facebook จะถูกเข้าจากคอมพิวเตอร์ที่ถูกจัดการโดยหนึ่งในสมาชิกของกลุ่มผู้ต้องหาโดยเฉพาะ
- กลุ่มผู้ต้องหามีการสร้างและใช้งานบัญชี Twitter “@dcleaks_” ซึ่งถูกใช้งานบนคอมพิวเตอร์เครื่องเดียวกับที่มีการเข้าถึงบัญชี Twitter อื่นๆ ที่ถูกใช้เพื่อแพร่กระจายข่าวปลอม
- กลุ่มผู้ต้องหามีการเข้าถึงบัญชีผู้ใช้งานในเครือข่ายสังคมออนไลน์และบริการบล็อกผ่านทาง VPN
Guccifer 2.0
- เมื่อมีการประกาศถึงการโจมตีระบบที่เกี่ยวข้องกับแคมเปญการหาเสียงของสหรัฐฯ โดยกลุ่มแฮกเกอร์ชาวรัสเซียจากบริษัทด้านความปลอดภัยที่เข้าทำการตรวจสอบการโจมตีระบบ DCCC และ DNC กลุ่มผู้ต้องหามีการสร้างตัวตนปลอมภายใต้ชื่อ Guccifer 2.0 ซึ่งอ้างว่าเป็นแฮกเกอร์ชาวโรมาเนียเพื่อเบี่ยงเบนคำกล่าวหาว่ารัสเซียอยู่เบื้องหลังการโจมตี
- กลุ่มผู้ต้องหามีการเข้าถึงระบบที่ถูกควบคุมโดย Unit 74455 ซึ่งอยู่ในมอสโควและมีการพยายามค้นหาคำและลักษณะของประโยคในภาษาอังกฤษเพื่อค้นหาคำแปลและตัวอย่างของการใช้คำ ต่อมาในวันเดียวกันนั้น Guccifer 2.0 ได้มีการเผยแพร่บทความชิ้นแรกในบล็อกบนบริการของ WordPress ซึ่งใช้หัวข้อของบล็อกว่า “DNS’s servers hacked by a lone hacker” เนื้อหาในบล็อกดังกล่าวนั้นมีการปรากฎของคำและลักษณะของประโยคที่กลุ่มผู้ต้องหาทำการค้นหาและมีความเชื่อมโยงกับ Unit 74455 อย่างถูกต้องตรงกัน
- กลุ่มผู้ต้องหามีการเข้าถึงบัญชีผู้ใช้งานในเครือข่ายสังคมออนไลน์และบริการบล็อกผ่านทาง VPN
- ในการเข้าถึงบัญชีที่เกี่ยวข้องกับ Guccifer 2.0 และ DCLeaks กลุ่มผู้ต้องหามีการซื้อบริการ VPN และเซิร์ฟเวอร์โดยใช้บัญชีในสกุลเงิน Boitcoin เดียวกัน และมีการใช้รหัสผ่านสำหรับปกป้องข้อมูลซึ่งอยู่บทเว็บไซต์เดียวกัน ทำให้โปรไฟล์ของ Guccifer 2.0 และ DCLeaks นั้นมีความเชื่อมโยงกัน
- WikiLeaks มีการติดต่อไปยัง Guccifer 2.0 โดยมีการอ้างว่าการเผยแพร่เอกสารผ่านทาง WikiLeaks จะสร้างผลกระทบที่มากกว่า และได้มีการส่งขั้นตอนสำหรับการเข้าถึงข้อมูลที่ถูกขโมยมาจาก DNC ให้กับ WikiLeaks
Read other posts