มัลแวร์ใหม่ EAGERBEE มุ่งลอบขโมยข้อมูลหน่วยงานราชการทั่วตะวันออกกลาง และกลุ่มอาเซียน

การขโมยข้อมูลผ่านทางการแฮกหรือใช้มัลแวร์นั้น หน่วยงานรัฐมักจะตกเป็นเป้าหมายต้น ๆ เนื่องจากเป็นหน่วยงานที่กุมความลับต่าง ๆ ไว้มากมาย และในกรณีนี้ก็เป็นอีกครั้งหนึ่งที่หน่วยงานรัฐต้องตกเป็นเหยื่อ

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบมัลแวร์ตัวใหม่ที่มีชื่อว่า EAGERBEE ที่มุ่งเน้นในการเข้าสอดแนมเพื่อขโมยข้อมูล รวมทั้งเข้าควบคุมระบบของหน่วยงานรัฐต่าง ๆ ในเขตพื้นที่แถบตะวันออกกลาง และ ประเทศในกลุ่มอาเซียน แน่นอนว่ารวมถึงประเทศไทยด้วย

โดยทางทีมวิจัยได้คาดการณ์ว่าเป็นฝีมือของกลุ่มแฮกเกอร์จากจีนที่มีชื่อว่า CoughingDown ที่มีส่วนเกี่ยวข้องกับแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนอย่าง APT27 (LuckyMouse) ซึ่งมัลแวร์ดังกล่าวนี้ก็ไม่ได้มาแค่ตัวมัลแวร์ที่ฝังเข้าสู่ระบบเพียงอย่างเดียว แต่มาพร้อมเครื่องมือการแฮกต่าง ๆ ที่เรียกได้ว่าช่วยเสริมสร้างความสามารถให้มัลแวร์ตัวนี้กลายเป็นมัลแวร์ที่น่ากลัว ทรงอานุภาพ ได้ ซึ่งเครื่องมือต่าง ๆ ที่มากับมัลแวร์ในรูปแบบของปลั๊กอินนั้นมีดังนี้

• เครื่องมือบริหารปลั๊กอิน (Plugin Orchestrator): เป็นเครื่องมือที่ช่วยในการบริหารจัดการ รวมถึงประสานการทำงานของปลั๊กอินตัวอื่น ๆ ให้สามารถทำงานร่วมกันได้
• เครื่องมือจัดการไฟล์บนระบบของเหยื่อ (File System Manipulation): เครื่องมืออำนวยความสะดวกให้แฮกเกอร์สามารถจัดการค้นหาและดัดแปลงไฟล์บนเครื่องของเหยื่อได้อย่างสะดวก
• เครื่องมือจัดการการเข้าถึงเครื่องจากระยะไกล (Remote Access Management): เป็นเครื่องมือที่ช่วยให้แฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้
• เครื่องมือสำรวจ Process บนระบบของเหยื่อ (Process Exploration): เป็นเครื่องมือที่ช่วยให้แฮกเกอร์สามารถเข้าตรวจสอบ Process ต่าง ๆ ที่ทำงานอยู่บนเครื่องของเหยื่อ
• รายชื่อเครือข่ายต่าง ๆ ที่มีอยู่ (Network Connection Listing): เป็นเครื่องมือที่รวมรายชื่อของเครือข่ายต่าง ๆ ที่เครื่องหรือระบบของเหยื่อเชื่อมต่อด้วยอยู่ เพื่ออำนวยความสะดวกให้การวางแผนโจมตีต่อไป
• เครื่องมือจัดการ Service ต่าง ๆ บนเครื่องของเหยื่อ (Service Management): เป็นเครื่องมือที่ช่วยให้แฮกเกอร์สามารถจัดการกับ Service ต่าง ๆ ที่มีอยู่บนเครื่องของเหยื่อได้อย่างตามใจชอบ

ซึ่งขั้นตอนในการเข้าสู่ระบบของมัลแวร์นั้น ยังอยู่ระหว่างการตรวจสอบของทีมวิจัยอยู่ แต่ก็ได้มีการตรวจพบว่า หลังจากมัลแวร์ได้ฝังตัวลงสู่ระบบแล้ว ทางแฮกเกอร์จะทำการยิงไฟล์ที่มีชื่อว่า tsvipsrv.dll และ ntusers0.dat ลงมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อทำการเปิดประตูหลัง (Backdoor) ของตัวระบบ โดยเป็นการดำเนินการผ่าน Service ที่มีชื่อว่า SessionEnv

หลังจากที่ตัวมัลแวร์และ Backdoor สามารถทำงานได้อย่างสมบูรณ์แล้ว ตัวมัลแวร์จะทำการเก็บข้อมูลต่าง ๆ ของระบบ เช่น สถาปัตยกรรมของตัวชิปประมวลผล, ข้อมูลของตัว Bios, ข้อมูลของตัวระบบปฏิบัติการ, และข้อมูลเกี่ยวกับตัวระบบอื่น ๆ เพื่อส่งกลับไปยังเซิร์ฟเวอร์ดังกล่าว ซึ่งในการสื่อสารกับตัวเซิร์ฟเวอร์ C2 นี้เอง ก็ไม่ใช่การติดต่อโดยทั่วไป แต่มีการเข้ารหัสไว้อย่างดีผ่านเทคโนโลยี SSL ด้วยการใช้แพ็คเกจความปลอดภัย SCHANNEL อีกทั้งยังมีความสามารถในการใช้งานช่องทางติดต่อทั้งทางโปรโตคอลแบบ IPv4 และ IPv6 อีกด้วย

ซึ่งหลังจากที่มัลแวร์ได้ทำการส่งข้อมูลระบบทั้งหมดกลับไปยังเซิร์ฟเวอร์ C2 หมดเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการดาวน์โหลด Plugin Orchestrator ลงมาเป็นตัวแรกภายใต้ชื่อไฟล์ ssss.dll โดยตัวปลั๊กอินตัวนี้จะทำหน้าที่เป็นศูนย์กลางสำหรับการดาวน์โหลด และควบคุมปลั๊กอินตัวอื่น ๆ ที่ตัวมัลแวร์จะทำการดาวน์โหลดลงมาในช่วงเวลาถัดมา นอกจากนั้นเครื่องมือชิ้นนี้ยังมีความสามารถในการเก็บข้อมูลต่าง ๆ เกี่ยวกับด้านเครือข่ายที่ตัวระบบของเหยื่อใช้งานอยู่อีกด้วย เช่น ชื่อโดเมน, รูปแบบการปรับแต่งตั้งค่าบนเครื่องของเหยื่อ, สถิติการใช้งานหน่วยความจำ เป็นต้น