Group-IB ผู้นำด้านการพัฒนาเทคโนโลยีความมั่นคงปลอดภัยไซเบอร์เพื่อการสืบสวน ป้องกัน และต่อสู้กับอาชญากรรมดิจิทัล ได้ค้นพบ Linux Remote Access Trojan (RAT) ชนิดใหม่ที่ถูกใช้โดยเหล่าอาชญากรไซเบอร์
เพื่อลักลอบสร้างช่องทางการเข้าถึงระบบเครือข่ายขององค์กรที่ตกเป็นเป้าหมายแบบปราศจากร่องรอยใด ๆ และที่สำคัญคือมุ่งเป้าโจมตีองค์กรที่ตั้งอยู่ในประเทศไทยเท่านั้น
โทรจันดังกล่าวซึ่งถูกตั้งชื่อว่ากระสือ (Krasue) ให้เป็นชื่อภาษาไทยที่สื่อถึงภูตผีพื้นบ้านที่ออกหากินในเวลากลางคืนซึ่งเป็นที่รู้จักผ่านนิทานพื้นบ้านของเอเชียตะวันออกเฉียงใต้โดยหน่วยงาน Threat Intelligence ของ Group IB นี้ ได้ถูกตรวจพบว่ามีการใช้งานมาอย่างน้อยตั้งแต่ปี 2021 เป็นต้นมา และไม่มีการตรวจพบในตลอดช่วงเวลาที่ผ่านมาแต่อย่างใด
ในปัจจุบันนี้ นักวิจัยจาก Group-IB สามารถยืนยันได้แล้วว่า Krasue ได้เคยถูกใช้โจมตีบริษัทด้านโทรคมนาคมในประเทศไทย โดยมีแนวโน้มว่าจะเป็นส่วนหนึ่งของการโจมตีต่อภาคองค์กรในอุตสาหกรรมอื่นๆ ด้วยเช่นกัน
ทันทีที่มีการตรวจพบ Krasue ในลูกค้าที่ใช้บริการ Threat Intelligence ของ Group-IB องค์กรนั้นก็จะได้รับการแจ้งเตือนถึงภัยคุกคามดังกล่าวทันที และ Group-IB ก็ได้ทำการเผยแพร่บล็อกเกี่ยวกับ Linux RAT นี้ซึ่งระบุถึง YARA Rules อย่างครบถ้วนเพื่อให้องค์กรต่าง ๆ สามารถค้นหาไล่ล่าภัยคุกคามนี้ในเชิงรุกได้
หน่วยงาน Computer Emergency Rensponse Team (GIB-CERT) ของ Group-IB ได้ทำการแบ่งปันรายงานที่เกี่ยวข้องไปยังหน่วยงาน Thailand Computer Emergency Response Team (ThaiCERT) และหน่วยงาน Thailand Telecommunications Sector Computer Emergency Response Team (TTC-CERT) ตามนโยบายต่อต้านอาชญากรรมไซเบอร์
โดยปัจจุบันยังมีการวิจัยและดำเนินการเพิ่มเติมอย่างต่อเนื่อง ความสามารถหลักของ Krasue ที่ตรวจพบในช่วงฤดูร้อนปี 2023 คือการรักษาช่องทางในการเชื่อมต่อเข้าถึงระบบเครือข่ายของเป้าหมายได้ ในขณะที่วิธีการเจาะโจมตีแรกเริ่มและเป้าหมายการใช้งานในภาพรวมนั้นยังคงไม่สามารถทราบได้
แต่ Linux RAT ดังกล่าวนี้มีแนวโน้มที่จะถูกโจมตีแรกเริ่มเพื่อติดตั้งจากการเจาะโจมตีช่องโหว่ของระบบ, การโจมตีด้วยการสุ่มเดารหัสผ่าน หรืออีกกรณีที่อาจเกิดขึ้นไม่บ่อยนักก็คือการดาวน์โหลด Package หรือ Binary ที่ถูกปลอมแปลง (เช่น การทำ File Masquerading ภายใต้การอัปเดตผลิตภัณฑ์) จากหน่วยงานที่ไม่น่าเชื่อถือ
มัลแวร์ชนิดนี้สามารถปกปิดตัวตนของตนเองได้ในช่วงแรกเริ่มของการโจมตี ทำให้สามารถหลบเลี่ยงการตรวจจับได้ โดยผู้เชี่ยวชาญจาก Group-IB เชื่อว่า Krasue นั้นอาจมีวัตถุประสงค์ในทางใดทางหนึ่งระหว่างการที่ผู้โจมตีทำการติดตั้งด้วยตนเองเพื่อเป็นส่วนหนึ่งของ Botnet หรือการขายช่องทางการเชื่อมต่อผ่าน Krasue ให้แก่อาชญากรไซเบอร์รายอื่นๆ อย่างเช่นกลุ่มผู้โจมตีด้วย Ransomware ในฐานะของ Initial Access Brokers (IAB)
หัวใจหลักของ Krasue นั้นอยู่ในส่วนของ Rootkit ซึ่งเป็นชิ้นส่วนของซอฟต์แวร์ที่ถูกใช้โดยอาชญากรไซเบอร์เพื่อรักษาการเข้าถึงเครื่องคอมพิวเตอร์ด้วยสิทธิ์ระดับสูงโดยสามารถปกปิดตัวตนของตนเองได้ Rootkit ของ Krasue นั้นมารากฐานจาก Open Source Linux Kernel Module ที่เผยแพร่อย่างสาธารณะสามรายการ
และนักวิจัยจาก Group-IB ก็ยังค้นพบอีกด้วยว่า Krasue นั้นประกอบไปด้วย Rootkit แบบฝังตัวถึงเจ็ดรายการ ซึ่งสามารถทำงานได้บน Linux รุ่นที่แตกต่างกัน อีกทั้ง Rootkit ของ Krasue นี้ก็ยังมีความคล้ายคลึงกับ XorDdos ซึ่งเป็นมัลแวร์บน Linux อีกชนิดหนึ่ง
จากข้อมูลทั้งหมดนี้ ทำให้ผู้เชี่ยวชาญจาก Group-IB เชื่อว่า Krasue นั้นอาจจะถูกสร้างขึ้นโดยผู้สร้างของ XorDdos หรือโดยผู้อื่นที่สามารถเข้าถึง Source Code ของ XorDdos ได้สิ่งที่น่าสนใจคือการที่ Krasue นั้นใช้ Real Time Streaming Protocol (RTSP) ซึ่งเป็น Network Protocol ที่ถูกออกแบบมาสำหรับควบคุมการรับส่ง Real-Time Media Stream
ผ่านระบบเครือข่าย IP เพื่อสื่อสารกับระบบ Master Command and Control (C2 Server) นักวิจัยจาก Group-IB ได้ตั้งข้อสงสัยว่าวิธีการดังกล่าวทำให้ Krasue สามารถรอดพ้นจากการถูกตรวจจับได้ อีกทั้งยังมีข้อสังเกตว่าการใช้ RTSP เพื่อวัตถุประสงค์ดังกล่าวนี้หาได้ยากมาก
Group-IB ยึดมั่นที่จะต่อสู้กับอาชญากรรมไซเบอร์ในทุกรูปแบบ และการค้นพบ Krasue ซึ่งเป็น Linux Remote Access Trojan ที่ซับซ้อนและมุ่งเป้าไปยังองค์กรในประเทศไทยนี้ ได้เน้นให้เห็นถึงความจำเป็นของการเฝ้าระวังอย่างต่อเนื่อง
Benyatip Hongto ผู้ดำรงตำแหน่ง Business Development Manager ประจำประเทศไทยแห่ง Group-IB กล่าวว่า การตอบสนองอย่างรวดเร็วของ Group-IB ที่มีต่อการตรวจพบครั้งนี้และการแบ่งปันข้อมูลไปยัง ThaiCERT และ TTC-CERT ถือเป็นขั้นตอนที่สำคัญในการตอบสนองต่อภัยคุกคามดังกล่าว
โดย Group-IB จะยังคงตรวจสอบการแพร่ระบาดของ Krasue อย่างต่อเนื่องทั้งในประเทศไทยและในภูมิภาคอื่น ๆ รวมถึงจะทำทุกวิถีทางเพื่อรายงานไปยังหน่วยงานต่าง ๆ ที่ได้รับผลกระทบแบบเชิงรุก ในเดือนมีนาคม 2023 Group-IB ได้ประกาศถึงเจตนาที่จะเปิดศูนย์ต่อต้านอาชญากรรมดิจิทัลในประเทศไทยเพื่อรับมือกับการเติบโตของความเสี่ยงด้านไซเบอร์ภายในประเทศ และสนับสนุนองค์กรไทยในภูมิภาค
ในขณะเดียวกัน Group-IB ก็ได้เซ็นสัญญาเป็นพันธมิตรกับตัวแทนจำหน่ายชั้นนำด้านความมั่นคงปลอดภัยไซเบอร์สัญชาติไทยอย่าง nForce เพื่อเป็นการต่อยอดจากกระแสดังกล่าว Group-IB ก็ได้ลงนามบันทึกความเข้าใจร่วมกับสถาบันเทคโนโลยีป้องกันประเทศ ซึ่งเป็นหน่วยงานภาครัฐภายใต้การดูแลของกระทรวงกลาโหมของประเทศไทยในเดือนพฤษภาคม 2023
เพื่อเพิ่มความสามารถในการแบ่งปันองค์ความรู้และความร่วมมือเพื่อพัฒนาโครงการ Cyber Academy Program ของสถาบันเทคโนโลยีป้องกันประเทศ
