ពួក Hacker រុស្ស៊ីកេងប្រវ័ញ្ចមុខងារ 'ឧបករណ៍ភ្ជាប់' របស់ Signal ដើម្បីឈ្លបយកការណ៍លើការសន្ទនាដែលបានអ៊ិនគ្រីប
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតកំពុងបង្កើនការជូនដំណឹងបន្ទាប់ពីរកឃើញយុទ្ធនាការលួចស្តាប់ដោយអ្នកវាយប្រហារដែលឧបត្ថម្ភដោយរដ្ឋរុស្ស៊ី ដែលលួចចូលគណនី Signal Messenger ដើម្បីលួចស្តាប់ការសន្ទនាឯកជន និងអ៊ិនគ្រីបក្នុងពេលជាក់ស្តែង។
នៅក្នុងការស៊ើបអង្កេតដែលបានចេញផ្សាយថ្មី អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពមកពី Mandiant ដែលជាផ្នែកមួយរបស់ Google ព្រមានថាក្រុមរុស្ស៊ី Advanced Persistent Threat (APT) ជាច្រើនបានបង្កើតវិធីសាស្ត្រដ៏មានឥទ្ធិពលមួយដើម្បីសម្របសម្រួលមុខងារ "ឧបករណ៍ដែលបានភ្ជាប់" របស់ Signal ដែលជាសមត្ថភាពគន្លឹះដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ធ្វើសមកាលកម្មកម្មវិធីផ្ញើសារដែលមានសុវត្ថិភាពរបស់ពួកគេតាមរយៈទូរសព្ទ ថេប្លេត ឬកុំព្យូទ័រជាច្រើន។
ទោះជាយ៉ាងណាក៏ដោយ ភាពងាយស្រួលនេះកំពុងត្រូវបានបង្វែរទៅជាអាវុធគ្រោះថ្នាក់។ តាមរយៈការកេងប្រវ័ញ្ចឧបករណ៍ដែលបានភ្ជាប់ អ្នកលួចចូលអាចមើលមិនឃើញចូលទៅក្នុងគណនីរបស់ជនរងគ្រោះ និងតាមដានសារដែលបានអ៊ិនគ្រីបរបស់ពួកគេ ដោយមិនចាំបាច់បំបែកការអ៊ិនគ្រីបពីចុងដល់ចុងរបស់ Signal ។ នៅពេលដែលទទួលបានសិទ្ធិចូលប្រើប្រាស់ រាល់សារទាំងអស់ត្រូវបានចម្លងដោយផ្ទាល់ទៅកាន់អ្នកវាយប្រហារ ដោយមិនមានគោលដៅដឹងឡើយ។
តារាងមាតិកា
របៀបដែលការវាយប្រហារដំណើរការ៖ QR Code Phishing និងការលួចឧបករណ៍
វិធីសាស្រ្តរបស់ពួក Hacker ពឹងផ្អែកលើការបោកប្រាស់។ ជនរងគ្រោះត្រូវបានបោកបញ្ឆោតឱ្យស្កេនកូដ QR ព្យាបាទដែលមើលទៅដូចជាការអញ្ជើញក្រុម Signal ស្របច្បាប់ ឬការណែនាំអំពីការផ្គូផ្គងឧបករណ៍។ នៅពេលដែលស្កេនរួច ឧបករណ៍របស់អ្នកវាយប្រហារត្រូវបានបន្ថែមដោយសម្ងាត់ទៅក្នុងគណនី Signal របស់ជនរងគ្រោះជា “ឧបករណ៍ដែលបានភ្ជាប់”។
ចាប់ពីពេលនោះមក សារទាំងអស់ - ទាំងផ្ញើ និងទទួល - ត្រូវបានឆ្លុះបញ្ចាំងក្នុងពេលជាក់ស្តែងទៅកាន់ប្រព័ន្ធរបស់អ្នកវាយប្រហារ។ វារំលងការអ៊ិនគ្រីបដ៏រឹងមាំរបស់ Signal ពីព្រោះឥឡូវនេះអ្នកវាយប្រហារគឺជាអ្នកចូលរួមដែលមានការអនុញ្ញាត មិនមែនបំបែកការអ៊ិនគ្រីបទេ ប៉ុន្តែចូលរួមការសន្ទនាដោយលួចលាក់។
របាយការណ៍របស់ Mandiant គូសបញ្ជាក់ថា៖
- ក្រុម APT របស់រុស្សីដែលបានតម្រឹមជាមួយវិមានក្រឹមឡាំងត្រូវបានគេមើលឃើញថាកំពុងប្រើប្រាស់វិធីសាស្រ្តនេះក្នុងការវាយប្រហារដោយបន្លំសំដៅទៅលើបុគ្គលិកយោធា អ្នកនយោបាយ អ្នកកាសែត និងសកម្មជន - បុគ្គលដែលជាទូទៅពឹងផ្អែកលើសញ្ញាសម្រាប់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាព។
- ទំព័របន្លំទាំងនេះជារឿយៗធ្វើត្រាប់តាមចំណុចប្រទាក់ផ្លូវការរបស់ Signal ឬដាក់ជាកម្មវិធីដែលអាចទុកចិត្តបាន ដូចជាឧបករណ៍ណែនាំកាំភ្លើងធំរបស់យោធាអ៊ុយក្រែន Kropyva ជាដើម។
- នៅក្នុងសេណារីយ៉ូសមរភូមិ កងកម្លាំងរុស្ស៊ីត្រូវបានចាប់បានដោយប្រើឧបករណ៍ចាប់បានដើម្បីភ្ជាប់គណនីសញ្ញាត្រឡប់ទៅម៉ាស៊ីនមេរបស់ពួកគេវិញសម្រាប់ការប្រមូលព័ត៌មាន។
ការចូលមើលមិនឃើញ៖ ហេតុអ្វីបានជាការកេងប្រវ័ញ្ចនេះមានគ្រោះថ្នាក់ខ្លាំង
ទិដ្ឋភាពមួយក្នុងចំណោមទិដ្ឋភាពដែលពាក់ព័ន្ធបំផុតនៃការវាយប្រហារនេះគឺរបៀបដែលវាដំណើរការដោយស្ងប់ស្ងាត់។ អ្នកប្រើប្រាស់ Signal ជាធម្មតាមិនទទួលបានការជូនដំណឹងណាមួយដែលអាចកត់សម្គាល់បានទេ នៅពេលដែលឧបករណ៍ថ្មីត្រូវបានភ្ជាប់ទៅគណនីរបស់ពួកគេ។ នេះអនុញ្ញាតឱ្យពួក Hacker រក្សាការឃ្លាំមើលរយៈពេលវែងដោយគ្មានការរកឃើញ។
Mandiant ពិពណ៌នាអំពីបច្ចេកទេសនេះថាជា "ទម្រង់ហត្ថលេខាទាបនៃការចូលប្រើដំបូង" មានន័យថាវាទុកដានមួយចំនួននៅពីក្រោយ។ ដោយមិនពិនិត្យមើលការកំណត់ "ឧបករណ៍ភ្ជាប់" របស់ពួកគេយ៉ាងសកម្ម ជនរងគ្រោះអាចនៅតែមិនដឹងអស់រយៈពេលជាច្រើនខែ—ឬយូរជាងនេះ—ថាការសន្ទនាឯកជនរបស់ពួកគេកំពុងត្រូវបានចាក់ផ្សាយទៅកាន់តួអង្គអរិភាព។
គោលដៅទូលំទូលាយ៖ WhatsApp និង Telegram មានហានិភ័យផងដែរ។
ខណៈពេលដែល Signal គឺជាការផ្តោតអារម្មណ៍នាពេលបច្ចុប្បន្ន Mandiant សង្កត់ធ្ងន់ថាប្រភេទនៃការវាយប្រហារឧបករណ៍ភ្ជាប់នេះមិនមានតែមួយគត់សម្រាប់ Signal នោះទេ។ ពួក Hacker រុស្ស៊ីកំពុងដាក់ពង្រាយយុទ្ធសាស្ត្រស្រដៀងគ្នានេះប្រឆាំងនឹងកម្មវិធីផ្ញើសារដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយផ្សេងទៀត រួមទាំង WhatsApp និង Telegram ផងដែរ។
កម្មវិធីទាំងអស់នេះអនុញ្ញាតឱ្យធ្វើសមកាលកម្មឧបករណ៍ច្រើន ហើយដំណើរការនេះច្រើនតែពាក់ព័ន្ធនឹងកូដ QR ដើម្បីភាពងាយស្រួល ដែលធ្វើឱ្យពួកវាទុំដោយសារការរំលោភបំពានតាមរយៈការបន្លំ។
ចារកម្មពិភពលោកពិត៖ គោលដៅយោធា និងនយោបាយ
ការផ្តោតសំខាន់របស់អ្នកវាយប្រហារហាក់ដូចជាប្រមូលផ្តុំការស៊ើបការណ៍សម្ងាត់ពីបុគ្គល និងក្រុមដែលមានតម្លៃខ្ពស់ រួមទាំង៖
- បុគ្គលិកយោធាអ៊ុយក្រែន
- អ្នកនយោបាយអឺរ៉ុប
- អ្នកកាសែតស៊ើបអង្កេត
- សកម្មជនសិទ្ធិមនុស្ស
ប្រតិបត្តិការដ៏ស្មុគ្រស្មាញពិសេសមួយ បានឃើញ ក្រុមលួចស្តាប់ Sandworm ដ៏ល្បីល្បាញរបស់រុស្ស៊ី ប្រើប្រាស់បច្ចេកទេសនេះនៅលើសមរភូមិ។ បន្ទាប់ពីចាប់បានទូរស័ព្ទរបស់ទាហានសត្រូវ ពួកគេបានភ្ជាប់ឧបករណ៍ទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេ ដែលអាចឱ្យពួកគេអាចឈ្លបយកការណ៍លើទំនាក់ទំនងយោធាក្នុងពេលវេលាជាក់ស្តែង។
សញ្ញាថាអ្នកអាចត្រូវបានគេសម្របសម្រួល
ដោយសារវិធីសាស្ត្រវាយប្រហារនេះត្រូវបានរចនាឡើងដើម្បីស្ងាត់ ការត្រួតពិនិត្យដោយខ្លួនឯងគឺមានសារៈសំខាន់ណាស់។ នេះជាជំហានមួយចំនួនដើម្បីរកឃើញ និងការពារការចូលដោយគ្មានការអនុញ្ញាត៖
- ពិនិត្យមើលឧបករណ៍ដែលបានភ្ជាប់ជាទៀងទាត់៖ បើកកម្មវិធី Signal របស់អ្នក ចូលទៅកាន់ ការកំណត់ → ឧបករណ៍ដែលបានភ្ជាប់ ហើយពិនិត្យបញ្ជីដោយប្រុងប្រយ័ត្ន។ ប្រសិនបើអ្នកឃើញឧបករណ៍ដែលមិនធ្លាប់ស្គាល់ សូមផ្តាច់វាភ្លាមៗ។
អ្វីដែលអ្នកប្រើសញ្ញាគួរធ្វើឥឡូវនេះ
របាយការណ៍របស់ Mandiant គឺជាការរំលឹកដ៏ក្រៀមក្រំថា គ្មានកម្មវិធីណាមានភាពស៊ាំនឹងការកេងប្រវ័ញ្ចទេ ជាពិសេសនៅពេលប្រឈមមុខនឹងតួអង្គរដ្ឋដែលមានធនធានច្រើន។ ការអ៊ិនគ្រីបពីចុងដល់ចប់របស់ Signal នៅតែរឹងមាំ ប៉ុន្តែការវាយប្រហារនេះរំលងការអ៊ិនគ្រីបដោយទាញយកអាកប្បកិរិយារបស់មនុស្ស និងភាពងាយស្រួលនៃការធ្វើសមកាលកម្មឧបករណ៍របស់កម្មវិធី។
ប្រសិនបើអ្នកស្ថិតនៅក្នុងវិជ្ជាជីវៈរសើប ឬរស់នៅក្នុងតំបន់ដែលមានការគំរាមកំហែងលើការឃ្លាំមើលសកម្ម ការត្រួតពិនិត្យការកំណត់សុវត្ថិភាពសញ្ញារបស់អ្នកគួរតែក្លាយជាទម្លាប់ធម្មតា។
អ្នកជំនាញសន្តិសុខសង្កត់ធ្ងន់ថា ការប្រុងប្រយ័ត្នគឺជាគន្លឹះ៖
- អ្នកប្រើប្រាស់ដែលមានហានិភ័យខ្ពស់ (បុគ្គលិកយោធា អ្នកកាសែត សកម្មជន) គួរពិនិត្យមើលឧបករណ៍ដែលបានភ្ជាប់រៀងរាល់សប្តាហ៍។
- ជៀសវាងការស្កែនកូដ QR លុះត្រាតែមានប្រភពច្បាស់លាស់។
- រាយការណ៍សារគួរឱ្យសង្ស័យ ឬការប៉ុនប៉ងបន្លំទៅកាន់ក្រុម IT ឬអ្នកផ្តល់សេវាសន្តិសុខតាមអ៊ីនធឺណិតរបស់ស្ថាប័នអ្នក។
យុគសម័យថ្មីនៃការឃ្លាំមើលស្ងាត់
ការកេងប្រវ័ញ្ចលើមុខងារ "ឧបករណ៍ភ្ជាប់" របស់ Signal បង្ហាញពីការវិវត្តដ៏ត្រជាក់មួយនៅក្នុងចារកម្មតាមអ៊ីនធឺណិតដែលគាំទ្រដោយរដ្ឋ។ មិនដូចមេរោគដែលបន្សល់ទុកដាន ឬរំខានដល់ប្រព័ន្ធទេ វិធីសាស្ត្រនេះដំណើរការដោយស្ងៀមស្ងាត់ លាយឡំជាមួយផ្ទៃខាងក្រោយ ខណៈពេលដែលកំពុងរៀបចំការសន្ទនាដ៏រសើបទៅកាន់ទីភ្នាក់ងារស៊ើបការណ៍សម្ងាត់រុស្ស៊ី។