พบแฮกเกอร์มือสมัครเล่น ใช้โฮสต์แบบ Bulletproof ในรัสเซีย เป็นฐานแพร่กระจายมัลแวร์

พบแฮกเกอร์มือสมัครเล่น ใช้โฮสต์แบบ Bulletproof ในรัสเซีย


เซิร์ฟเวอร์ที่ใช้ในการปล่อยมัลแวร์นั้น โดยทั่วไปแฮกเกอร์มักใช้บัญชีที่แฮกเพื่อเข้าใช้งานเซิร์ฟเวอร์ของผู้ให้บริการที่มีคุณภาพ และความน่าเชื่อถือสูง แต่ก็ยังมีเซิร์ฟเวอร์อีกประเภทหนึ่งที่เรียกได้ว่า เป็นเซิร์ฟเวอร์ที่กฎหมายเข้าถึง และเล่นงานได้ยาก โดยเซิร์ฟเวอร์ประเภทนี้ถูกเรียกว่าเซิร์ฟเวอร์กันกระสุน หรือ Bulletproof Hosting Providers (BHP)

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบพฤติกรรมการทำงานของแฮกเกอร์มือสมัครเล่นจากรัสเซียในการใช้เซิร์ฟเวอร์รูปแบบดังกล่าวในการแพร่กระจายมัลแวร์โดยทางทีมวิจัยจาก DomainTools บริษัทผู้เชี่ยวชาญด้านการสืบสวนพฤติกรรมการก่อการร้ายทางไซเบอร์ ซึ่งทางทีมวิจัยได้ตรวจพบว่า แฮกเกอร์มือสมัครเล่นที่ใช้นามแฝงว่า ‘Coquettte’ ได้มีการใช้งานบริการเซิร์ฟเวอร์ประเภทดังกล่าวที่มีชื่อว่า Proton66 ซึ่งเป็นเซิร์ฟเวอร์ที่เป็นที่นิยมในหมู่อาชญากรไซเบอร์ โดยผู้ให้บริการรายนี้มีพฤติกรรมในการปฏิเสธคำร้องเรียนถึงการที่เซิร์ฟเวอร์ถูกนำไปใช้งานในทางที่ผิดทั้งหมด

สำหรับพฤติกรรมการทำงานของแฮกเกอร์มือสมัครเล่นรายดังกล่าว ทางทีมวิจัยได้เปิดเผยว่า แฮกเกอร์รายดังกล่าวได้สร้างเว็บไซต์ปลอม cybersecureprotect[.]com ซึ่งอวดอ้างว่าเป็นเว็บไซต์สำหรับแจกซอฟต์แวร์แอนตี้ไวรัสที่มีชื่อว่า ‘CyberSecure Pro’ ฟรี แต่ที่จริงแล้วเป็นซอฟต์แวร์ปลอมซึ่งข้างในนั้นกลับเป็นมัลแวร์นกต่อ (Loader) ที่มีชื่อว่า Rugmi สำหรับใช้ในการปล่อยมัลแวร์ตัวอื่นๆ ลงบนเครื่องของเหยื่อ โดยทางแฮกเกอร์ได้ฝากเว็บไซต์นี้ไว้บนเซิร์ฟเวอร์ของ Proton66

หลังจากที่ทีมวิจัยทำการเข้าตรวจสอบโฟลเดอร์หนึ่งบนเว็บไซต์ ก็ได้พบว่าภายในนั้นมีไฟล์บีบอัดนามสกุล .Zip ที่เมื่อคลายไฟล์ก็จะเป็นไฟล์ติดตั้งในรูปแบบ Windows Installer ที่มีสอดไส้มัลแวร์ Rugmi อยู่ภายใน แทนที่จะเป็นซอฟต์แวร์ดังที่อวดอ้าง ซึ่งเมื่อติดตั้งเสร็จแล้ว ตัวมัลแวร์จะติดต่อกับ URL 2 ตัวที่ถูกฝังอยู่ในโค้ดของมัลแวร์ นั่นคือ cia[.]tf และ quitarlosi[.]

โดยหนึ่งในนั้นอย่าง cia[.]tf จะทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดมัลแวร์ตัวจริง ซึ่งอาจจะเป็นมัลแวร์ประเภทเพื่อการขโมยข้อมูล (Infostealer), มัลแวร์เพื่อการเรียกค่าไถ่ (Ransomware) และโทรจัน โดยมัลแวร์หลักๆ ที่แฮกเกอร์ใช้ตามที่ทางทีมวิจัยตรวจสอบได้ นั่นคือ Vidar, Raccoon Stealer V2, Lumma Stealer และ Rescoms และแน่นอนคือ ตัวเซิร์ฟเวอร์ดังกล่าวก็ได้ถูกฝากไว้บนบริการของ Proton66 อีกเช่นเดียวกัน โดยบริการทั้งในส่วนของเซิร์ฟเวอร์ C2 และตัวเว็บไซต์ล้วนถูกลงทะเบียนไว้ด้วยอีเมลเดียวกัน คือ root[@]coquettte[.]com

นอกจากการใช้บริการดังกล่าวเพื่อการปล่อยมัลแวร์แล้ว ทางแฮกเกอร์รายนี้ยังได้มีการดำเนินกิจการผิดกฎหมายต่างๆ ผ่านทางบริการเซิร์ฟเวอร์ Proton66 อีกจำนวนหนึ่ง เช่น meth[.]to ซึ่งเนื้อหาภายในเว็บไซต์นั้นล้วนเต็มไปด้วยเนื้อหาเกี่ยวกับยาเสพติด และอาวุธผิดกฎหมาย เช่น วิธีการผลิตยาไอซ์ (Methamphetamine), การประกอบระเบิด C4 เป็นตอน ขณะที่เว็บไซต์อย่างเป็นทางการของแฮกเกอร์รายดังกล่าวอย่าง coquettte[.]com กลับถูกฝากไว้บนบริการฝากเว็บไซต์ที่ถูกกฎหมายที่มีความน่าเชื่อถือสูงอย่าง AWS (Amazon Web Service) แทน

โดยบนเว็บไซต์ได้ระบุว่า เป็นนักพัฒนาซอฟต์แวร์อายุ 18 ปีที่กำลังจะเรียนต่อปริญญาตรีด้านวิทยาศาสตร์คอมพิวเตอร์ ซึ่งถึงแม้ข้อมูลดังกล่าวจะไม่สามารถยืนยันได้ว่าเป็นความจริงหรือไม่ ? แต่ทางทีมวิจัยก็คาดการณ์ว่าจะเป็นความจริง โดยให้ความเห็นว่า “ผู้กระทำคงเป็นแค่นักเรียน นักศึกษา ที่ขาดประสบการณ์ พลาดได้ก็ทั้งจุดเล็กๆ อย่างเช่น การเผลอให้ผู้ใช้งานภายนอกสามารถเข้าถึงโฟลเดอร์บนเว็บไซต์ที่ใช้สำหรับก่ออาชญากรรมไซเบอร์ได้”

ทางทีมวิจัยยังคาดการณ์อีกว่า Coquettte อาจเป็นเพียงนามแฝงของสมาชิกรายหนึ่งของกลุ่มแฮกเกอร์ขนาดใหญ่ที่มีชื่อว่า Horrid โดยเมื่อตรวจสอบเว็บไซต์ของรายนี้อย่าง meth.to เทียบกับเว็บไซต์อื่นๆ อย่างเช่น horrid.xyz, terrorist.ovh และ meth.su ทางทีมวิจัยได้พบความเชื่อมโยงกันของพฤติกรรมของเว็บไซต์เหล่านี้ แต่ก็ยังคาดการณ์อีกว่า แฮกเกอร์รายนี้คงเป็นเพียงแค่สมาชิกธรรมดา ๆ รายหนึ่ง ไม่ใช่ตัวการใหญ่ของกลุ่มแฮกเกอร์ดังกล่าว


ที่มา: news.thaiware.com/21704.html