เคราะห์ซ้ำกรรมซัด พบหลักฐาน SolarWinds โดนเจาะสองรอบ ฝังมัลแวร์สองตัวที่ไม่เกี่ยวกัน

กรณี SolarWinds โดนแฮ็กซัพพลายเชนจนลามไปยังหน่วยงานลูกค้าจำนวนมาก ยังเป็นประเด็นข่าวสำคัญในแวดวงความปลอดภัยไซเบอร์ปีนี้

ทีมความปลอดภัยของไมโครซอฟท์ เขียนบล็อกอธิบายการทำงานของมัลแวร์ตัวนี้ (ถูกตั้งชื่อว่า Solorigate น่าจะมาจาก Sol arWinds Ori on + gate) อย่างละเอียด ตั้งแต่กระบวนการฝังมัลแวร์ตั้งแต่ต้นทาง ไปจนถึงการทำงานของมัลแวร์ที่ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ถึง 2 ตัวเพื่อเลี่ยงการตรวจจับ

แผนผังการทำงานของมัลแวร์ Solorigate

No Description

ประเด็นที่น่าศึกษาคือวิธีการฝังโค้ดของแฮ็กเกอร์ในไฟล์ dll ของ Orion ที่แนบเนียน ฝังโค้ดเพียง 10 บรรทัด โดยใช้ชื่อคลาสที่ดูเป็นธุรกิจมากๆ (OrionImprovementBusinessLayer) เพื่อให้คนตรวจโค้ดมองข้าม และฝังในเมธอดที่ถูกเรียกใช้งานเป็นประจำ (RefreshInternal) เพื่อการันตีว่ามัลแวร์จะถูกรันขึ้นมาเสมอ

โค้ดดั้งเดิม

No Description

โค้ดที่ถูกแก้

No Description

ในตัวคลาส OrionImprovementBusinessLayer ที่เป็นมัลแวร์ ยังตั้งชื่อผสมผสานระหว่างโค้ดจริงๆ และหลีกเลี่ยงการใช้คำอย่าง backdoor หรือ keylogger เพื่อป้องกันการตรวจจับ แถมสตริงในโค้ดยังถูกเข้ารหัสแบบ Base64 เพื่อไม่ให้มนุษย์อ่านออกด้วย

No Description

อีกประเด็นที่น่าสนใจคือ ไมโครซอฟท์พบว่ามีแฮ็กเกอร์อีกกลุ่มเข้ามาฝังมัลแวร์ใน SolarWinds Orion ได้เช่นกัน แต่มัลแวร์ตัวที่สองไม่แนบเนียนเท่าตัวแรก รูปแบบเป็นการฝังไฟล์ DLL แต่ไม่ถูกเซ็นใบรับรองดิจิทัลเหมือนมัลแวร์ตัวแรก และตัวสคริปต์ไม่ซับซ้อน ไม่พรางตัวแนบเนียนเหมือนตัวแรกด้วย

นักวิจัยความปลอดภัยเรียกมัลแวร์ตัวที่สองว่า SUPERNOVA ถูกสร้างขึ้นช่วงปลายเดือนมีนาคม และยังไม่ชัดเจนว่าสร้างขึ้นมาเพื่อโจมตีหน่วยงานใดเป็นพิเศษหรือไม่ แต่ก็แสดงให้เห็นว่าบริษัท SolarWinds เป็นเป้าหมายสำคัญของแฮ็กเกอร์ และโดนเจาะเข้ามาได้สำเร็จถึงสองครั้ง

ที่มา – Microsoft, Reuters

Topics: 
SolarWinds
Hacking
Security
Malware