แรนซัมแวร์จำนวนมากหยุดทำงานหากติดตั้งคีย์บอร์ดภาษารัสเซียไว้ (2021)
(krebsonsecurity.com)- แรนซัมแวร์หลายสายพันธุ์มีมาตรการนิรภัยที่หยุดการติดตั้ง หากพบว่า Windows ติดตั้ง คีย์บอร์ดภาษารัสเซียหรือยูเครน ไว้ ซึ่งเป็นเงื่อนไขการหลบเลี่ยงที่พบได้กว้างขวางในมัลแวร์จากยุโรปตะวันออก
- Ransomware-as-a-service อย่าง DarkSide กำหนดพื้นที่ห้ามติดเชื้อเพื่อไม่ให้เกิดเหยื่อในยุโรปตะวันออก เช่น รัสเซียและยูเครน และพยายามหลีกเลี่ยงความสนใจจากหน่วยงานสืบสวนในพื้นที่
- หลังการโจมตี Colonial Pipeline นั้น DarkSide อ้างว่า “ไม่เกี่ยวกับการเมือง” แต่เงื่อนไขการทำงานของมัลแวร์ตามภูมิภาคเองก็สะท้อน ข้อจำกัดเชิงภูมิรัฐศาสตร์
- การเพิ่มคีย์บอร์ดภาษารัสเซียหรือค่ารีจิสทรีที่เกี่ยวข้องอาจเป็น มาตรการป้องกันฟรี ต่อมัลแวร์สายรัสเซียบางส่วนได้ แต่ไม่สามารถทดแทนการป้องกันหลายชั้นและพฤติกรรมการใช้งานที่ปลอดภัยได้
- แม้ผู้โจมตีจะลบการตรวจสอบภาษาออกได้ แต่ Allison Nixon จาก Unit221B มองว่าในกรณีนั้นแฮกเกอร์รัสเซียจะต้องเลือกระหว่าง การสูญเสียความคุ้มครองทางกฎหมาย กับการสูญเสียรายได้
ภาษาและภูมิภาคที่แรนซัมแวร์หลีกเลี่ยง
- แรนซัมแวร์หลายสายพันธุ์ตรวจสอบว่าระบบ Microsoft Windows มี คีย์บอร์ดเสมือน บางภาษา ติดตั้งอยู่หรือไม่ และจะหยุดการติดตั้งหากตรวจพบภาษาอย่างรัสเซียหรือยูเครน
- ผู้ปฏิบัติการมัลแวร์ใส่ กลไก fail-safe แบบนี้เพื่อไม่ให้มีเหยื่อเกิดขึ้นในภูมิภาคของตนเอง
- พื้นที่เครือรัฐเอกราช (CIS) โดยทั่วไปทับซ้อนกับ รายชื่อยกเว้นการติดเชื้อ ของมัลแวร์จำนวนมากที่มาจากยุโรปตะวันออก
- DarkSide ก็มีรายชื่อประเทศที่ห้ามติดตั้งแบบ hard-coded ซึ่งเป็นประเทศสมาชิกหลักของ CIS และ Cybereason ได้เผยแพร่รายชื่อนั้นแล้ว
กรณี Colonial Pipeline และ DarkSide
- ประเด็นนี้เชื่อมโยงกับ การโจมตีด้วยแรนซัมแวร์ต่อ Colonial Pipeline
- การโจมตีดังกล่าวทำให้ท่อส่งเชื้อเพลิงยาว 5,500 ไมล์หยุดทำงานเกือบ 1 สัปดาห์เมื่อต้นเดือนนี้
- นำไปสู่ภาวะขาดแคลนการจัดส่งให้สถานีบริการน้ำมันทั่วสหรัฐฯ และราคาที่สูงขึ้น
- FBI ระบุว่าผู้ก่อเหตุคือ DarkSide
- DarkSide เป็นผู้ปฏิบัติการรูปแบบ ransomware-as-a-service ที่ค่อนข้างใหม่ ซึ่งกล่าวว่ามุ่งโจมตีเฉพาะองค์กรขนาดใหญ่เท่านั้น
- DarkSide และโปรแกรมแบ่งรายได้ของกลุ่มที่ใช้ภาษารัสเซียอื่น ๆ ได้ห้ามไม่ให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ในหลายประเทศยุโรปตะวันออก รวมถึงรัสเซียและยูเครน มานานแล้ว
เหตุผลที่ใช้การหลบเลี่ยงตามภูมิภาค
- เป็นที่ทราบกันโดยทั่วไปว่าในรัสเซีย หากบริษัทหรือบุคคลภายในประเทศไม่ยื่นแจ้งความเสียหายอย่างเป็นทางการ ทางการมักจะไม่เริ่มสืบสวนอาชญากรรมไซเบอร์ต่อพลเมืองของตนเอง
- สำหรับอาชญากร การทำให้ไม่มีเหยื่อในประเทศของตนเองเป็นวิธีที่ง่ายที่สุดในการหลุดพ้นจากเรดาร์ของ หน่วยงานสืบสวนภายในประเทศ
- DarkSide พยายามตีตัวออกห่างจากการโจมตี Colonial Pipeline หลังถูกกล่าวถึงในคำสั่งฝ่ายบริหารด้านความมั่นคงไซเบอร์ของประธานาธิบดี Biden
- ระบุในบล็อกเผยแพร่เหยื่อของตนว่า พวกเขา “ไม่เกี่ยวกับการเมือง”
- อ้างว่าเป้าหมายคือการหาเงิน ไม่ใช่การสร้างปัญหาให้สังคม
- ระบุว่าต่อไปจะตรวจสอบบริษัทที่พาร์ตเนอร์ตั้งใจจะเข้ารหัส เพื่อหลีกเลี่ยงผลกระทบทางสังคม
- อย่างไรก็ตาม องค์กรรีดไถดิจิทัลอย่าง DarkSide ถูกออกแบบให้มัลแวร์ทำงานเฉพาะในบางภูมิภาค แพลตฟอร์มเองจึงสะท้อน เงื่อนไขทางการเมืองตามภูมิภาค
REvil, GandCrab และรายชื่อยกเว้นการติดเชื้อ
- ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นความเชื่อมโยงระหว่าง DarkSide กับ REvil หรือ Sodinokibi
- REvil เคยเป็นที่รู้จักในชื่อ GandCrab และทั้ง GandCrab กับ REvil ต่างก็ห้ามพันธมิตรทำให้ เหยื่อชาวซีเรีย ติดเชื้อ
- รายชื่อยกเว้นของ DarkSide ก็มีซีเรียรวมอยู่ด้วย
- ต่อมา DarkSide ประกาศยุติการดำเนินงาน โดยระบุว่าเซิร์ฟเวอร์และเงินบิตคอยน์ถูกยึด และในกระบวนการนี้ก็เผยให้เห็นความเชื่อมโยงกับ REvil
ข้อจำกัดของการติดตั้งคีย์บอร์ดภาษารัสเซีย
- การติดตั้งภาษาอย่างรัสเซียไม่ได้ทำให้คอมพิวเตอร์ Windows ปลอดภัยจากมัลแวร์ทั้งหมด
- ยังมี มัลแวร์ จำนวนมากที่ไม่สนใจตำแหน่งหรือภาษา
- วิธีนี้ไม่สามารถทดแทนการป้องกันหลายชั้นและนิสัยการหลีกเลี่ยงพฤติกรรมเสี่ยงบนออนไลน์ได้
- ข้อเสียไม่ได้มากนัก แต่ผู้ใช้อาจเผลอสลับการตั้งค่าภาษา จนเห็นเมนูเป็นภาษารัสเซียได้
- ในกรณีนี้ การกดปุ่ม Windows และ Spacebar พร้อมกันจะช่วยสลับระหว่างภาษาที่ติดตั้งไว้ได้อย่างรวดเร็ว
ผู้โจมตีสามารถเปลี่ยนการตรวจสอบภาษาได้หรือไม่
- ผู้โจมตีตอบสนองไวต่อมาตรการป้องกันที่ลดความสามารถในการทำกำไร และสามารถแก้มัลแวร์ให้ไม่สนใจการตรวจสอบภาษาได้
- ในความเป็นจริง DarkSide เวอร์ชันล่าสุดที่ Mandiant วิเคราะห์ไม่ได้ทำ การตรวจสอบภาษาของระบบ
- Allison Nixon จาก Unit221B มองว่าหากลบการตรวจสอบภาษาออก ความเสี่ยงต่อความปลอดภัยส่วนบุคคลและทรัพย์สินของผู้โจมตีจะเพิ่มขึ้นจนไม่อาจมองข้ามได้
- ตามคำกล่าวของ Nixon แฮกเกอร์รัสเซียใช้ขั้นตอนตรวจสอบเหล่านี้เพื่อโจมตีเฉพาะเหยื่อนอกประเทศของตนเอง เพราะวัฒนธรรมทางกฎหมายอันเป็นเอกลักษณ์ของรัสเซีย
- เพียงติดตั้งคีย์บอร์ดอักษรซีริลลิก หรือเปลี่ยนรายการรีจิสทรีบางรายการเป็น
RUก็อาจทำให้มัลแวร์บางตัวมองผู้ใช้ว่าเป็นชาวรัสเซียและตัดออกจากเป้าหมายการโจมตีได้
แรงกดดันที่อาจเกิดจากการนำไปใช้ในวงกว้าง
- Nixon มองว่าหากมีคนจำนวนมากใช้วิธีนี้ อาจช่วยปกป้องผู้ใช้บางส่วนได้ในระยะสั้น
- ในระยะยาว แฮกเกอร์รัสเซียจะต้องยอมรับความเสี่ยงอย่างใดอย่างหนึ่ง ระหว่าง ความเสี่ยงที่จะสูญเสียความคุ้มครองทางกฎหมาย กับความเสี่ยงที่จะสูญเสียรายได้
- แฮกเกอร์รัสเซียก็จะแยกแยะคอมพิวเตอร์ในประเทศจริง ๆ กับคอมพิวเตอร์ต่างประเทศที่ปลอมตัวให้เหมือนคอมพิวเตอร์ในประเทศได้ยากขึ้น คล้ายกับปัญหาที่ฝ่ายป้องกันในตะวันตกเผชิญ
การหลบเลี่ยงการตรวจจับ VM และวิธีใช้รีจิสทรี
- ผู้อ่านบางคนเสนอวิธีเพิ่มรายการใน Windows Registry ให้ดูเหมือนเครื่องเสมือน (VM) ด้วย
- Lance James จาก Unit221B มองว่าสถานะการเป็น VM ไม่ได้ช่วยหยุดมัลแวร์ได้ดีเท่าในอดีต
- เพราะหลายองค์กรเริ่มใช้ สภาพแวดล้อมเสมือน ในงานประจำวัน
- แรนซัมแวร์จำนวนมากที่พบในปัจจุบันทำงานบน VM ได้เช่นกัน
- James สนับสนุนแนวคิดการเพิ่มภาษาจากรายชื่อประเทศ CIS และได้สร้าง สคริปต์แบตช์สองบรรทัด ที่ทำให้ Windows PC ดูเหมือนติดตั้งคีย์บอร์ดภาษารัสเซียไว้
- สคริปต์นี้เพิ่ม การอ้างอิงภาษารัสเซีย ลงในคีย์ Windows Registry เฉพาะที่มัลแวร์ตรวจสอบ โดยไม่ต้องดาวน์โหลดไลบรารีสคริปต์เพิ่มเติมจาก Microsoft
วิธีเพิ่มภาษาใน Windows 10
- หากต้องการติดตั้งภาษาคีย์บอร์ดอื่นโดยตรงใน Windows 10 ให้กดปุ่ม Windows กับ X แล้วเลือก Settings
- จากนั้นเลือก “Time and Language” และในเมนู Language ให้เลือกตัวเลือกสำหรับติดตั้งชุดอักขระอื่น
- ภาษาจะถูกติดตั้งในการรีบูตครั้งถัดไป
- เมื่อต้องการสลับภาษา ให้ใช้คีย์ลัด Windows+Spacebar
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ถ้าทำให้เครื่องดูเหมือนเป็น แซนด์บ็อกซ์สำหรับรันมัลแวร์ มัลแวร์จำนวนมากจะปิดตัวเองเพื่อเลี่ยงการถูกวิเคราะห์
สุดท้ายเรื่องแบบนี้ก็เป็นส่วนหนึ่งของเกมแมวจับหนู
มัลแวร์บน Windows พัฒนาจนค่อนข้างซับซ้อนมาตลอด 30 ปีที่ผ่านมา
แต่ก็อาจดูตัวชี้วัดอื่นได้
มีหลักฐานว่าวิธีนี้ใช้ได้กับแรนซัมแวร์อย่าง Petya หรือกลุ่มอย่าง Fancy Bear, Cozy Bear, Conti
โดยทั่วไปเป็นเพราะรัฐบาลรัสเซียรับประกันความคุ้มกันอย่างไม่เป็นทางการ หากเป้าหมายไม่ใช่รัสเซีย
นอกจากนี้ ถ้าบอกว่าตัวเองเป็นคนรัสเซีย หรือเขียนในแชต/อีเมลเป็นภาษารัสเซีย พวกเขาก็อาจถอดรหัสระบบให้ฟรี
ไม่ใช่เรื่องเดียวกันเสียทีเดียว แต่จำได้ว่าเคยมีนักพัฒนาแชร์แวร์ชาวรัสเซียที่ให้ไลเซนส์ฟรีแก่คนรัสเซีย
คนรัสเซียมีอยู่ทุกที่ และอาจทำงานอยู่ในบริษัทที่ตกเป็นเหยื่อด้วย ดังนั้นถ้าค่าไถ่เป็นเงินหลายล้านดอลลาร์ แค่เป็นคนรัสเซียคงไม่พอ
คงต้องทำให้เชื่อได้ในทำนองว่าบริษัทมีเจ้าของเป็นรัสเซีย หรือพ่อทำงานให้ FSB อะไรแบบนั้น
นโยบาย อย่าฉี่ในเต็นท์ตัวเอง เป็นสิ่งที่กลุ่มรัสเซียแทบทุกกลุ่มเข้าใจดี
ชาวต่างชาติไม่สร้างปัญหาในแง่นั้น
ผมไม่คิดว่ามีความคุ้มกันพิเศษอะไร
แต่ชาวต่างชาติก็อาจสร้างปัญหาได้เป็นครั้งคราว
เมื่อไม่นานมานี้ มีผู้เชี่ยวชาญไซเบอร์หลายคนถูกตัดสินว่ามีความผิด หลังการสืบสวนที่เริ่มจากการแจ้งความของ Joe Biden
ในฐานะคนรัสเซียที่เคยลบ winlocker ออกจากคอมพิวเตอร์ของเพื่อนร่วมโรงเรียนที่ไม่ค่อยถนัดเทคโนโลยีอยู่บ่อย ๆ ช่วงปลายยุค 2000 ผมเห็นด้วยยาก :D
แต่ของพวกนั้นน่าจะซับซ้อนน้อยกว่า
มันไม่ได้เข้ารหัสไฟล์ แค่เด้งหน้าต่างที่ปิดไม่ได้ขึ้นมาแล้วเรียกให้จ่ายเงิน
บางทีก็มีข้อความตลก ๆ อย่าง “ขอบคุณที่ติดตั้งวิดเจ็ตเข้าถึงเว็บผู้ใหญ่อย่างรวดเร็ว” ด้วย
ถ้าไม่มีมัลแวร์ที่มุ่งโจมตีเฉพาะระบบที่เปิด คีย์บอร์ดอักษรซีริลลิก อยู่ ผมคงแปลกใจมากกว่า
ได้โปรดอย่าโจมตีชาวบัลแกเรีย :)
ไม่ว่า Windows เวอร์ชันไหน การป้องกันมัลแวร์ที่ดีที่สุดคือทำให้บัญชีหลักที่ใช้ทุกวันเป็น บัญชีที่ไม่ใช่ผู้ดูแลระบบ
ต้องสร้างบัญชีผู้ดูแลระบบเต็มรูปแบบแยกไว้อีกบัญชีด้วย และจะเป็นบัญชี local ก็ได้
รหัสผ่านต้องใช้คนละรหัสกันอย่างเด็ดขาด
ทุกครั้งที่ต้องติดตั้งอะไรบางอย่าง หรือรัน PowerShell/CMD ด้วยสิทธิ์ผู้ดูแลระบบ จะมีป๊อปอัปขึ้นมาให้ล็อกอินด้วยบัญชีผู้ดูแลระบบแยกต่างหาก
โดยพื้นฐานแล้วนี่เหมือนวิธี sudo ของ Linux และยังเป็นวิธีที่แผนก IT มืออาชีพที่ดีใช้ดูแล Windows ด้วย
ถ้ามีป๊อปอัปขอเพิ่มสิทธิ์เป็นผู้ดูแลระบบโผล่มาโดยที่คุณไม่ได้เป็นคนก่อให้เกิด ก็จะรู้ได้ว่ามีบางอย่างผิดปกติ และมัลแวร์ส่วนใหญ่จะติดตั้งไม่ได้
อีกทั้งบัญชีทั่วไปจะใช้รหัสผ่านที่ค่อนข้างธรรมดาแต่ไม่สั้นเกินไปได้ ส่วนล็อกอินผู้ดูแลระบบก็ใช้รหัสผ่านที่ซับซ้อนกว่ามาก
เหมาะเป็นพิเศษกับคนที่มีความเสี่ยงจะคลิกผิดสูง เช่น “พีซีของคุณยาย”
ต่อให้รันในฐานะผู้ใช้ที่ไม่มีสิทธิ์พิเศษ มันก็ทำอะไรกับไฟล์ซิสเต็มที่ผู้ใช้นั้นเข้าถึงได้ทั้งหมด และในการตั้งค่าทั่วไปส่วนใหญ่ ก็ยังเชื่อมต่ออินเทอร์เน็ตภายนอกได้โดยไม่ถูกจำกัด
กล่าวคือ การแบ่งแยกสิทธิ์แบบนี้ไม่สามารถป้องกัน การรั่วไหลของข้อมูล, แรนซัมแวร์ที่เล็งไฟล์สำคัญของผู้ใช้ หรือการทำลายข้อมูลแบบง่าย ๆ ได้
หลัง Vista มัลแวร์ปรับตัวเข้ากับ UAC แล้ว และตอนนี้มัลแวร์ทุกตัวก็ทำงานได้ดีแม้มีแค่สิทธิ์ผู้ใช้ทั่วไป
ข้อมูลที่ผู้ใช้ทั่วไปเข้าถึงได้ ไม่ว่าจะอยู่ในเครื่องหรือบนเซิร์ฟเวอร์ CIFS ระยะไกล ล้วนเป็นเป้าหมายของแรนซัมแวร์
การจำกัดสิทธิ์ผู้ดูแลระบบไม่ได้ขวางไม่ให้มัลแวร์เข้าถึงข้อมูล
การคงอยู่ในระบบก็ย้ายไปใช้วิธีแบบต่อผู้ใช้และไม่ต้องเป็นผู้ดูแลระบบแล้ว
Chromium แบบปรับแต่งเองกึ่งมัลแวร์สารพัดชนิดที่ผู้ใช้ไปหาและติดตั้งเพื่อเลี่ยงแผนก IT ก็ทำงานแบบเดียวกัน
ถึงอย่างนั้น ผมก็ยังคิดว่าไม่ควรให้ผู้ใช้ Windows ทั่วไปมีสิทธิ์ผู้ดูแลระบบ
เพียงแต่มันแทบไม่ช่วยอะไรกับมัลแวร์
สำหรับกิจกรรมที่อ่อนไหวที่สุด โดยหลักคือธุรกรรมธนาคาร ผมใช้เครื่องที่แยกทางกายภาพ แต่การมีล็อกอิน Windows แยกต่างหากแบบไม่ใช่ผู้ดูแลระบบ แล้วแบ่งเขตการเข้าถึงข้อมูลที่ไม่ควรโดนแรนซัมแวร์ ก็ให้ผลใกล้เคียงกันได้
การแยกกั้นระหว่างบัญชีผู้ใช้ต่าง ๆ ใน Windows จริง ๆ แล้วค่อนข้างดี ดังนั้นแค่จำกัดข้อมูลที่บัญชีเหล่านั้นเข้าถึงร่วมกันได้ก็พอ
ส่วนตัวเคยอยากใช้ Qubes เพื่อเลิกใช้เครื่องที่แยกทางกายภาพ แต่ไม่มีเวลาศึกษากลไกเฉพาะตัวของมัน
แก้ไข: ควรพูดว่า “Chromium แบบปรับแต่งเองกึ่งมัลแวร์” ไม่ใช่ Chrome
บริษัทมักยอมจ่ายเงินมากกว่ามากเพื่อเอาข้อมูลกลับคืนมา และ แรนซัมแวร์ Petya ก็เป็นตัวอย่างที่ดี
ถึงอย่างนั้น ถ้าผู้บุกรุกมีสิทธิ์ผู้ใช้ทั่วไปบนเครื่องใดเครื่องหนึ่ง ก็สามารถค้นหาบัญชีผู้ดูแลระบบในเครื่องนั้นและในเครือข่ายอย่างแข็งขัน และขโมยเซสชันได้
เป้าหมายสุดท้ายคือการได้สิทธิ์ Domain Admin
นอกจากนี้ การลบหรือเข้ารหัสข้อมูล หรือการรัน/ซ่อนซอฟต์แวร์ ก็ไม่จำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบเสมอไป
นอกเหนือจากการขโมยเซสชันแล้ว ยังมีวิธีได้สิทธิ์ผู้ดูแลระบบอีกมาก เช่น ซอฟต์แวร์ที่ไม่ได้แพตช์ สิทธิ์ผู้ใช้ที่ไม่เหมาะสม zero-day และ social engineering
การพ่วงมัลแวร์หรือแรนซัมแวร์มากับซอฟต์แวร์มีประโยชน์ที่ผู้ใช้อยากติดตั้ง ก็เป็นวิธีที่พบได้ทั่วไป
เกี่ยวกับประโยค “มีข้อเสียอะไรไหมกับการใช้มาตรการป้องกันที่ง่ายและฟรีแบบนี้? ผมว่าไม่มีนะ” ข้อเสียที่นึกออกทันทีคือ ค่าใช้จ่ายด้านซัพพอร์ต จะเพิ่มขึ้น เพราะผู้ใช้อาจเผลอสลับคีย์บอร์ดโดยไม่ตั้งใจ
ปุ่มลัดสำหรับสลับคีย์บอร์ดมักไม่ได้เผลอกดได้ยากนัก และโดยเฉพาะผู้ใช้ในสหรัฐฯ ส่วนใหญ่คงไม่รู้ว่าตัวเองทำอะไรไป หรือจะย้อนกลับอย่างไร
สงสัยว่าหลังจาก Brian Krebs เปิดเผยเรื่องนี้ต่อคนทั่วโลกในปี 2021 แล้ว มันยังใช้ได้จริงอยู่ไหม
รัสเซียและเกาหลีเหนือมองแรนซัมแวร์ว่าเป็น กิจกรรมทางเศรษฐกิจ ที่ชอบธรรม
เป็นส่วนหนึ่งของยุทธศาสตร์สงครามไฮบริด
เรื่องนี้หลัก ๆ เป็นการตัดสินใจด้านกฎหมายและการบังคับใช้
ถ้าคุณหลีกเลี่ยงทางการรัสเซีย พวกเขาก็จะหลีกเลี่ยงคุณเช่นกัน
อีกอย่าง รัสเซียไม่ใช่พื้นที่เป้าหมายที่อุดมสมบูรณ์เท่าสหรัฐฯ
ในสหรัฐฯ มีพนักงานออฟฟิศระดับเริ่มต้นค่าแรงต่ำจำนวนมากที่ยินดีอัปเดตข้อมูลการชำระเงิน AP เมื่อถูกหลอกด้วย Business Email Compromise (BEC)
ในปี 2024 ความเสียหายจาก BEC อยู่ที่ 2.77 พันล้านดอลลาร์ เป็นหมวดที่ทำเงินได้มากที่สุด และความเสียหายรวมทั้งสหรัฐฯ อยู่ที่ 16 พันล้านดอลลาร์ จากรายงาน 859,532 รายการ
ในการสืบสวนหนึ่งที่ผมเคยร่วม ผู้ก่อภัยคุกคามจากจีนใช้วิศวกรรมสังคมให้บริษัทสหรัฐฯ สร้างบัญชีพนักงานให้
โน้มน้าวได้แนบเนียนมากจนถึงจุดหนึ่ง พวกเขายังสามารถสอดบัญชีของตัวเองเข้าไปในกระบวนการอนุมัติเวิร์กโฟลว์ยืนยันตัวตนสำหรับการสร้างบัญชีพนักงานใหม่ของสาขาหนึ่ง ๆ ได้เหมือนเป็นผู้ดูแลระบบ
เป้าหมายมีแค่การยักย้ายสิทธิส่วนลดที่พนักงานได้รับไปเท่านั้น แล้วนำไปขายต่อ ทำให้เกิดความเสียหายราว 1 ล้านดอลลาร์ตลอดหลายปี
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
สงสัยว่ามีวิธีใดที่จะประเมินแหล่งที่มาของการโจมตีไซเบอร์ได้อย่างมั่นใจในระดับหนึ่ง
บางครั้งมีการพูดทำนองว่า “เทคนิคที่ใช้เป็นเทคนิคที่รู้กันของกลุ่มรัสเซีย เลยรู้ว่าเป็นคนรัสเซีย” แต่ถ้าเทคนิคนั้นชี้ไปยังกลุ่มหรือประเทศใดประเทศหนึ่งได้ชัดเจนขนาดนั้น กลับไม่น่าจะเลียนแบบเทคนิคนั้นเพื่อให้ดูเหมือนเป็นฝีมือของพวกเขาได้ง่ายหรือ?
ถ้าเรือรบที่ติดธงรัสเซียยิงเรือสหรัฐฯ แล้วหนีไปโดยไม่ถูกจับได้ การดูแค่ธงแล้วบอกว่า “รัสเซียแน่นอน 100%” ก็ดูโง่เขลา
มันอาจเป็น ปฏิบัติการธงปลอม ตามตัวอักษรก็ได้ และทุกวันนี้ก็มีแรงจูงใจทางการเมืองสูงมากที่จะทำเรื่องแบบนั้น
ถ้ามีคีย์บอร์ดภาษารัสเซีย ก็จะกลายเป็นเป้าหมายที่น่าสนใจสำหรับ มัลแวร์ของ NSA
พวกเขาใช้ดิสโทร Linux ของตัวเอง
ในฐานะคนที่ใช้คีย์บอร์ดภาษารัสเซีย ก่อนจะรู้พื้นฐานด้านไซเบอร์ซีเคียวริตี้ ผมก็ติดไวรัสค่อนข้างเยอะเหมือนกัน
โดยรวมแล้วสงสัยว่าวิธีนี้ใช้ได้จริงแพร่หลายแค่ไหน หรือบทความพูดเกินจริงไปหรือเปล่า
การแพร่กระจายไวรัสทั่วไปที่ปนมากับไฟล์ rar นั้นเป็นแบบเอนกประสงค์ได้พอสมควร
ในทางกลับกัน ถ้าเป็นองค์กรที่ปฏิบัติการในประเทศ CIS ก็สมเหตุสมผลที่จะตรวจสอบอย่างระมัดระวังเพื่อไม่ให้ตกเป็นเป้าของหน่วยงานความมั่นคงภายใน
เช่น ถ้าสร้างบอตเน็ตแล้วปล่อยให้เช่า กลุ่มอื่นอาจเอาไปสร้างความเสียหายใหญ่จริง ๆ ได้ ดังนั้นการโฮสต์ไว้ต่างประเทศเฉย ๆ จึงปลอดภัยกว่า