មេរោគ SafeChat ចល័ត
ពួក Hacker ត្រូវបានគេរកឃើញថាប្រើប្រាស់កម្មវិធី Android បោកបញ្ឆោតដែលមានឈ្មោះថា 'SafeChat' ដើម្បីឆ្លងឧបករណ៍ដែលមានមេរោគ spyware ។ កម្មវិធីព្យាបាទនេះមានគោលបំណងបំភាន់ព័ត៌មានរសើបចេញពីទូរស័ព្ទ រួមទាំងកំណត់ហេតុហៅទូរសព្ទ សារជាអក្សរ និងទីតាំង GPS ។
ប្រព័ន្ធប្រតិបត្តិការ Android spyware ត្រូវបានគេសង្ស័យថាជាវ៉ារ្យ៉ង់នៃមេរោគ 'Coverlm' ដ៏អាក្រក់ ដែលត្រូវបានគេស្គាល់ថាសម្រាប់សមត្ថភាពលួចទិន្នន័យរបស់វាពីកម្មវិធីទំនាក់ទំនងផ្សេងៗ។ កម្មវិធីគោលដៅរួមមានវេទិកាពេញនិយមដូចជា Telegram, Signal, WhatsApp, Viber និង Facebook Messenger ។
ក្រុម hacking APT របស់ឥណ្ឌាដែលគេស្គាល់ថា 'Bahamut ' ត្រូវបានគេជឿថាជាអ្នកនៅពីក្រោយយុទ្ធនាការនេះ។ ពួកគេត្រូវបានគេកំណត់ថាជាជនល្មើសដែលទទួលខុសត្រូវចំពោះការវាយប្រហារនាពេលថ្មីៗនេះ ដោយប្រើប្រាស់ជាចម្បងនូវសារបន្លំលំពែងដែលចែកចាយតាមរយៈ WhatsApp ។ សារទាំងនេះផ្ទុកបន្ទុកគំរាមកំហែង ដែលត្រូវបានបញ្ជូនដោយផ្ទាល់ទៅឧបករណ៍របស់ជនរងគ្រោះ។ គោលដៅចម្បងនៃយុទ្ធនាការ Bahamut នេះគឺអ្នកប្រើប្រាស់ដែលមានទីតាំងនៅអាស៊ីខាងត្បូង។
SafeChat Malware Masquerades ជាកម្មវិធីផ្ញើសារស្របច្បាប់
យុទ្ធសាស្ត្រទូទៅដែលប្រើដោយអ្នកវាយប្រហារគឺព្យាយាមបញ្ចុះបញ្ចូលជនរងគ្រោះឱ្យដំឡើងកម្មវិធីជជែក ដោយអះអាងថាវានឹងផ្តល់ឱ្យពួកគេនូវវេទិកាទំនាក់ទំនងដែលមានសុវត្ថិភាពជាងមុន។ យោងតាមអ្នកជំនាញ infosec ចារកម្មដែលក្លែងបន្លំជា Safe Chat ប្រើចំណុចប្រទាក់អ្នកប្រើបញ្ឆោតដែលធ្វើត្រាប់តាមកម្មវិធីជជែកពិតប្រាកដ។ លើសពីនេះ វាណែនាំជនរងគ្រោះតាមរយៈអ្វីដែលហាក់ដូចជាដំណើរការចុះឈ្មោះអ្នកប្រើប្រាស់ស្របច្បាប់ ដោយបន្ថែមភាពជឿជាក់ និងដើរតួជាគម្របដ៏ល្អឥតខ្ចោះសម្រាប់សកម្មភាពព្យាបាទរបស់ spyware។
ជំហានសំខាន់ក្នុងដំណើរការឆ្លងគឺពាក់ព័ន្ធនឹងការទទួលបានការអនុញ្ញាតសំខាន់ៗ ដូចជាលទ្ធភាពប្រើប្រាស់សេវាភាពងាយស្រួលជាដើម។ បន្ទាប់មកការអនុញ្ញាតទាំងនេះត្រូវបានប្រើប្រាស់ខុស ដើម្បីឱ្យ spyware ចូលប្រើទិន្នន័យរសើបបន្ថែមទៀតដោយស្វ័យប្រវត្តិ។ ជាពិសេសជាងនេះទៅទៀត Spyware ទទួលបានសិទ្ធិចូលទៅកាន់បញ្ជីទំនាក់ទំនងរបស់ជនរងគ្រោះ សារ SMS កំណត់ហេតុការហៅទូរសព្ទ ការផ្ទុកឧបករណ៍ខាងក្រៅ និងអាចទាញយកទិន្នន័យទីតាំង GPS ច្បាស់លាស់ពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។
លើសពីនេះ អត្ថបទខ្លីៗពីឯកសារ Android Manifest បង្ហាញថា តួអង្គគំរាមកំហែងនៅពីក្រោយ spyware បានរចនាវាដើម្បីធ្វើអន្តរកម្មជាមួយកម្មវិធីជជែកដែលបានដំឡើងរួចហើយផ្សេងទៀត។ អន្តរកម្មកើតឡើងតាមរយៈការប្រើប្រាស់ចេតនា ហើយការអនុញ្ញាត OPEN_DOCUMENT_TREE អនុញ្ញាតឱ្យ spyware ជ្រើសរើសថតជាក់លាក់ និងចូលប្រើកម្មវិធីដែលបានរៀបរាប់នៅក្នុងចេតនា។
ដើម្បីដកទិន្នន័យដែលប្រមូលបានពីឧបករណ៍ដែលឆ្លងមេរោគ Spyware ប្រើម៉ូឌុលទាញយកទិន្នន័យជាក់លាក់។ បន្ទាប់មកព័ត៌មានត្រូវបានផ្ទេរទៅម៉ាស៊ីនមេ Command-and-Control (C2) របស់អ្នកវាយប្រហារតាមរយៈច្រក 2053។ ដើម្បីធានាបាននូវភាពសម្ងាត់នៃព័ត៌មានដែលបន្សល់ទុកក្នុងអំឡុងពេលបញ្ជូន Spyware ប្រើប្រាស់ការអ៊ិនគ្រីបដែលសម្របសម្រួលដោយម៉ូឌុលផ្សេងទៀតដែលគាំទ្រ RSA, ECB និង OAEPPadding ។ លើសពីនេះ អ្នកវាយប្រហារប្រើវិញ្ញាបនបត្រ "អនុញ្ញាតឱ្យអ៊ិនគ្រីប" ដើម្បីគេចពីការប៉ុនប៉ងស្ទាក់ចាប់ណាមួយនៃទិន្នន័យបណ្តាញដែលបានធ្វើឡើងប្រឆាំងនឹងពួកគេ។
ការតភ្ជាប់ទៅក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតផ្សេងទៀត។
នៅក្នុងយុទ្ធនាការវាយប្រហារ SafeChat យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីជាច្រើនត្រូវបានកំណត់អត្តសញ្ញាណ ដែលមានលក្ខណៈស្រដៀងនឹងក្រុមគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរបស់ឥណ្ឌាផ្សេងទៀតដែលគេស្គាល់ថា 'DoNot APT' (APT-C-35)។ គួរកត់សម្គាល់ថា 'DoNot APT' ពីមុនបានចូលរួមក្នុងការជ្រៀតចូល Google Play ជាមួយនឹងកម្មវិធីជជែកក្លែងក្លាយដែលមានមុខងារជា spyware ។ ភាពស្រដៀងគ្នារវាងក្រុម Hacker ទាំងពីររួមមានការប្រើប្រាស់អាជ្ញាធរវិញ្ញាបនបត្រដូចគ្នា វិធីសាស្ត្រលួចទិន្នន័យស្រដៀងគ្នា វិសាលភាពកំណត់គោលដៅរួម និងការប្រើប្រាស់កម្មវិធី Android ដើម្បីឆ្លងគោលដៅដែលមានបំណងរបស់ពួកគេ។
ភាពស្របគ្នាដែលបានសង្កេតឃើញទាំងនេះបង្ហាញយ៉ាងខ្លាំងក្លានូវការត្រួតស៊ីគ្នាដ៏មានសក្តានុពល ឬកិច្ចសហការយ៉ាងជិតស្និទ្ធរវាងក្រុមគំរាមកំហែងទាំងពីរ។ លើសពីនេះ ភាពស្រដៀងគ្នានៅក្នុងបច្ចេកទេសលួចទិន្នន័យ និងការផ្តោតគោលដៅរួមគ្នាអាចបង្ហាញពីគោលដៅ ឬគោលបំណងទូទៅនៅក្នុងការវាយប្រហាររបស់ពួកគេ។
ការពិតដែលថាក្រុមទាំងពីរបានប្រើប្រាស់កម្មវិធី Android ជាមធ្យោបាយនៃការជ្រៀតចូល ពង្រឹងបន្ថែមទៀតនូវសញ្ញាណនៃការសហការ ឬចែករំលែកចំណេះដឹងដែលអាចកើតមាន។ វាមានសារៈសំខាន់ណាស់ក្នុងការទទួលយកការចង្អុលបង្ហាញអំពីការសហការទាំងនេះយ៉ាងយកចិត្តទុកដាក់ ខណៈដែលពួកគេបង្ហាញពីការកើនឡើងសក្តានុពលនៃភាពស្មុគស្មាញ និងភាពស្មុគស្មាញនៃការវាយប្រហារដែលធ្វើឡើងដោយក្រុមដែលឧបត្ថម្ភដោយរដ្ឋទាំងនេះ។
