Operation Triangulation APT แคสเปอร์สกี้เผยข้อมูลเชิงลึกและช่องโหว่เพิ่มเติม

ในงานประชุม Security Analyst Summit ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ Kaspersky (Global Research and Analysis Team – GReAT) เปิดเผยกระบวนการสืบสวนเกี่ยวกับ Operation Triangulation ที่ฉาวโฉ่ ทีมงานได้เปิดเผยรายละเอียดใหม่เกี่ยวกับการหาประโยชน์และใช้ช่องโหว่ของ iOS ที่เป็นรากฐานของการโจมตีนี้ ซึ่งเป็นแคมเปญที่กำหนดเป้าหมายโจมตีบุคคลทั่วไปและพนักงานของแคสเปอร์สกี้

ก่อนหน้านี้ แคสเปอร์สกี้ได้เปิดโปงแคมเปญชื่อว่า ‘Operation Triangulation’ เป็น Advanced Persistent Threat (APT) ที่กำหนดเป้าหมายโจมตีอุปกรณ์ iOS ใช้วิธีการที่ซับซ้อนในการกระจายช่องโหว่แบบซีโร่คลิก (zero-click exploits) ผ่าน iMessage และเข้าควบคุมอุปกรณ์และข้อมูลผู้ใช้โดยสมบูรณ์ในที่สุด ผู้เชี่ยวชาญประเมินว่าเป้าหมายหลักอาจเกี่ยวข้องกับการสอดส่องผู้ใช้อย่างลับๆ ซึ่งส่งผลกระทบต่อพนักงานของแคสเปอร์สกี้ด้วย เนื่องจากความซับซ้อนของการโจมตีและระบบนิเวศ iOS เป็นลักษณะปิด ทีมงานเฉพาะกิจจึงใช้เวลาและทรัพยากรจำนวนมากในการดำเนินการวิเคราะห์ทางเทคนิคโดยละเอียด

ที่งานประชุม Security Analyst Summit ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้เปิดเผยรายละเอียดใหม่ที่ยังไม่เคยเปิดเผยก่อนหน้านี้ คือห่วงโซ่การโจมตีที่ใช้ประโยชน์จากช่องโหว่ 5 รายการ โดย 4 รายการเป็นช่องโหว่แบบ Zero-day ที่ไม่รู้จักก่อนหน้านี้ ซึ่งได้รับการแก้ไขหลังจากที่นักวิจัยของแคสเปอร์สกี้แจ้งช่องโหว่ที่พบไปยัง Apple

ผู้เชี่ยวชาญของแคสเปอร์สกี้ระบุจุดเข้าถึงแรกผ่านช่องโหว่ของไลบรารีการประมวลผลแบบอักษรหรือฟอนต์ จุดที่สองคือช่องโหว่ในโค้ดแมปหน่วยความจำจะอนุญาตให้เข้าถึงหน่วยความจำกายภาพของอุปกรณ์ได้ นอกจากนี้ ผู้โจมตียังใช้ประโยชน์จากช่องโหว่อีกสองช่องโหว่ เพื่อหลีกเลี่ยงฟีเจอร์ป้องกันความปลอดภัยฮาร์ดแวร์ของโปรเซสเซอร์ Apple รุ่นล่าสุด การวิจัยยังค้นพบว่า นอกเหนือจากความสามารถในการแพร่ระบาดไปยังอุปกรณ์ Apple จากระยะไกลผ่าน iMessage โดยที่ผู้ใช้ไม่ต้องโต้ตอบแล้ว ผู้โจมตียังมีแพลตฟอร์มสำหรับโจมตีผ่านเว็บเบราว์เซอร์ Safari อีกด้วย ซึ่งเป็นการค้นพบและแก้ไขช่องโหว่ที่ห้า

ทีมงาน Apple ได้เปิดตัวการอัปเดตความปลอดภัยอย่างเป็นทางการ โดยจัดการกับช่องโหว่ Zero-day สี่ช่องโหว่ที่ค้นพบโดยนักวิจัยของแคสเปอร์สกี้ (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990) ช่องโหว่นี้ส่งผลกระทบต่อผลิตภัณฑ์ Apple ในวงกว้าง รวมถึง iPhone, iPod, iPad, อุปกรณ์ macOS, Apple TV และ Apple Watch

บอริส ลาริน นักวิจัยหลัก ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ กล่าวว่า “ฟีเจอร์ด้านความปลอดภัยบนฮาร์ดแวร์ของอุปกรณ์ที่มีชิป Apple รุ่นใหม่ ช่วยเพิ่มความยืดหยุ่นเพื่อรับมือการโจมตีทางไซเบอร์ได้อย่างมาก แต่ก็ไม่อาจต้านได้นาน ปฏิบัติการ Operation Triangulation ได้เตือนให้ใช้ความระมัดระวังในการจัดการไฟล์แนบ iMessage จากแหล่งผู้ส่งที่ไม่คุ้นเคย การดึงข้อมูลเชิงลึกจากกลยุทธ์ที่ใช้ใน Operation Triangulation ทำให้เกิดแนวทางที่มีประโยชน์ได้ นอกจากนี้ การค้นหาสมดุลระหว่างการปิดระบบและการเข้าถึงอาจส่งผลให้มีมาตรการรักษาความปลอดภัยที่ดีขึ้น”

แม้ว่าเหยื่อในครั้งนี้คือพนักงานของแคสเปอร์สกี้ รวมถึงผู้บริหารระดับสูงและระดับกลางของบริษัท ตลอดจนนักวิจัยในรัสเซีย ยุโรป ตะวันอออกกลาง รวมตุรกีและแอฟริกา แต่แคสเปอร์สกี้ก็ไม่ใช่เป้าหมายเดียวของปฏิบัติการโจมตีนี้

นอกเหนือจากการเผยแพร่รายงานและการพัฒนายูทิลิตี้ Triangle_check พิเศษแล้ว ผู้เชี่ยวชาญของ GReAT ยังได้สร้างอีเมลแอดเดรสเพื่อให้ผู้สนใจสามารถมีส่วนร่วมในการสืบสวนได้ ผลลัพธ์ที่ได้ก็คือ นักวิจัยของแคสเปอร์สกี้ได้รับการยืนยันว่า เกิดกรณีที่บุคคลอื่นตกเป็นเหยื่อของ Operation Triangulation เช่นกัน และได้ให้คำแนะนำแก่เหยื่อทั้งหมดในการเพิ่มความปลอดภัย

อิกอร์ คุซเน็ตซอฟ ผู้อำนวยการทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ กล่าวว่า “การรักษาความปลอดภัยระบบให้พ้นจากการโจมตีทางไซเบอร์ขั้นสูงไม่ใช่เรื่องง่ายและยังซับซ้อนยิ่งกว่าเมื่อเป็นระบบปิดอย่างเช่น iOS จำเป็นเหตุผลว่าทำไมการใช้มาตรการรักษาความปลอดภัยแบบหลายชั้น เพื่อตรวจจับและป้องกันการโจมตีดังกล่าวจึงเป็นเรื่องสำคัญมาก”

ผู้สนใจที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Operation Triangulation โดยแคสเปอร์สกี้จะเปิดเผยรายละเอียดด้านเทคนิคเพิ่มเติมในเร็วๆ นี้ โดยให้คำอธิบายโดยละเอียดเกี่ยวกับการวิเคราะห์ โปรดไปที่เว็บไซต์ Securelist.com

Operation Triangulation

นักวิจัยของแคสเปอร์สกี้ขอแนะนำให้ใช้มาตรการ เพื่อหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบกำหนดเป้าหมายโดยผู้ก่อคุกคาม ดังต่อไปนี้

  • อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันไวรัสเป็นประจำเพื่อแก้ไขช่องโหว่
  • ระมัดระวังอีเมล ข้อความ หรือการโทรเพื่อขอข้อมูลที่ละเอียดอ่อน ตรวจสอบตัวตนของผู้ส่ง ก่อนแชร์รายละเอียดส่วนบุคคลหรือคลิกลิงก์ที่น่าสงสัย
  • ให้ทีม SOC เข้าถึงข้อมูลภัยคุกคามเชิงลึกล่าสุด The Kaspersky Threat Intelligence Portal เป็นบริการการเข้าถึงจุดเดียวของบริษัท โดยให้ข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่แคสเปอร์สกี้รวบรวมมาเป็นเวลากว่า 20 ปี
  • ยกระดับทักษะทีมรักษาความปลอดภัยทางไซเบอร์ของคุณเพื่อรับมือกับภัยคุกคามแบบกำหนดเป้าหมายล่าสุดด้วยการฝึกอบรม Kaspersky online training ที่พัฒนาโดยผู้เชี่ยวชาญ GReAT
  • สำหรับการตรวจจับระดับเอ็นด์พ้อยต์ การตรวจสอบ และการแก้ไขเหตุการณ์อย่างทันท่วงที แนะนำให้ใช้โซลูชัน EDR เช่น Kaspersky Endpoint Detection and Response

ที่มา: พิตอน คอมมิวนิเคชั่น