การตามรอยและจัดการกับแฮ็กเกอร์ถือเป็นเรื่องยาก เพราะกลุ่มคนเหล่านี้ล้วนมีความเชี่ยวชาญด้านโปรแกรมคอมพิวเตอร์เป็นพิเศษ จนสามารถก่อการโจรกรรมทางไซเบอร์ได้อยู่หลายครั้ง แต่ไม่ใช่กับ Microsoft

Microsoft บริษัทซอฟต์แวร์ระดับโลก เป็นหนึ่งในบริษัทที่ได้รับผลกระทบ แต่ก็มีวิธีในการต่อกรกับกลุ่มอาชญากรไซเบอร์เหล่านี้เช่นกัน โดยล่าสุดบริษัทประกาศว่า สามารถทลายเครือข่ายอาชญากรรมไซเบอร์ที่มีชื่อว่า “Storm-1152” ได้สำเร็จ 

เครือข่าย Storm-1152 มีการขายบัญชีอีเมลของ Microsoft ปลอมให้กับแฮ็กเกอร์รายอื่น ๆ สำหรับการ ฉ้อโกงประมาณ 750 ล้านบัญชี และขายให้กับกลุ่มแฮ็กเกอร์สร้างรายได้ถึงหลักล้านดอลลาร์ ส่งผลกระทบต่อบริษัทอื่นๆด้วย เช่น Google และ X ที่เดิมคือ Twitter

เครือข่าย Storm-1152 มีบทบาทสำคัญในการทำระบบ CaaS (Cybercrime-as-a-Service) ซึ่งเป็นระบบให้บริการด้านการแฮ็กและอาชญากรรมไซเบอร์ โดยอาชญากรสามารถซื้อบัญชีปลอมกับทาง Storm-1152 ได้โดยไม่ต้องมานั่งสร้างบัญชีปลอมใหม่ เนื่องจากอาชญากรทางไซเบอร์ส่วนใหญ่ ล้วนต้องการบัญชีปลอม และต้องการเป็นจำนวนมาก ๆ เพื่อหลีกเลี่ยงการสั่งปิดบัญชีปลอมจากบริษัทใหญ่ๆ 

Microsoft Threat Intelligence ได้ระบุว่า กลุ่มอาชญากรหลายกลุ่มที่ใช้บัญชี Storm-1152 มีทั้งการโจมตีแบบแรนซัมแวร์ การขโมยข้อมูล และเรียกค่าไถ่ ตัวอย่างเช่น กลุ่ม Octo Tempest ซึ่งเป็นที่รู้จักกันในชื่อ Scattered Spider ได้ซื้อบัญชีปลอมจากกลุ่ม Storm-1152

กลุ่ม Octo Tempest เป็นกลุ่มอาชญากรไซเบอร์ที่มุ่งเน้นผลกำไรทางการเงิน โดยใช้แคมเปญทางวิศวกรรมสังคมขนาดใหญ่โจมตีองค์กรต่างๆทั่วโลก เพื่อทำการเรียกค่าไถ่

ด้วยเหตุนี้ Microsoft จึงเริ่มการปราบปรามเหล่าอาชญากรไซเบอร์เหล่านี้ โดยได้รับคำสั่งจาก ศาลแขวงสหรัฐฯ เขตนิวยอร์กใต้ ให้เข้ายึดฐานของเว็บไซต์ที่กลุ่ม Storm-1152 ใช้ จากนั้นจึงให้หน่วย Microsoft Digital Crimes Unit ร่วมมือกับ Arkose Labs บริษัทด้านความปลอดภัย เข้าปิดเว็บไซต์ ดังต่อไปนี้ 

• Hotmailbox.me เว็บไซต์ที่ขายบัญชี Outlook ปลอม
• 1stCAPTCHA, AnyCAPTCHA, และ NoneCAPTCHA เว็บไซต์ที่อำนวยความสะดวกที่มีเครื่องมือ โครงสร้างพื้นฐาน และมีบริการแก้ CAPTCHA สำหรับการหลบหลีกระบบรักษาความปลอดภัยที่จะแยกระหว่าง บอต และ มนุษย์ ด้วยการตอบคำถามเพื่อป้องกันการเจาะระบบข้อมูล 
• ปิด Social Media ของเหล่าแฮ็กเกอร์ 

ในส่วนของการระบุแหล่งที่อยู่ของกลุ่ม Storm-1152 ซึ่งยากต่อการค้นหาจึงได้มีการใช้กลยุทธ์หลายวิธีด้วยกัน เช่น

• ตรวจจับวิเคราะห์ข้อมูลทางไกล : การติดตามกิจกรรมที่น่าสงสัย และรวบรวมข้อมูลเพื่อทำความเข้าใจการทำงานของเครือข่าย
• ล่อซื้อและแอบทดลองลับๆ : ทีมของ Microsoft ทำการซื้อผลิตภัณฑ์ของ Storm-1152 เพื่อศึกษาการทำงานและรวบรวมหลักฐานเพิ่มเติม
• การถอดโค้ดโปรแกรมแบบย้อนกลับ : วิเคราะห์โค้ดของเว็บไซต์เพื่อเปิดเผยวิธีการทำงานและ หาช่องโหว่ของเว็บไซต์

กระทั่งสามารถระบุตัวเจ้าของเว็บไซต์และผู้นำของกลุ่ม Storm-1152 ได้แก่ Duong Dinh Tu, Linh Van Nguyễn และ Tai Van Nguyen อาศัยอยู่ในเวียดนาม ทำให้สามารถส่งข้อมูลการสอบสวนทั้งหมดไปยังหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เพื่อพิจารณาการดำเนินคดีกับผู้ต้องสงสัย 

กลยุทธ์ในการเอาชนะกลุ่มแฮ็กเกอร์ Storm-1152 นี้จึงอาจเป็นแนวทางให้กับองค์กรอื่นๆ สำหรับการต่อสู้กับกลุ่มอาชญากรไซเบอร์กลุ่มอื่นๆในอนาคต

Security Pitch เราเป็นสตาร์ตอัปที่พัฒนาเทคโนโลยีความปลอดภัยในทุกมิติ โดยเรามองเห็นความสำคัญของความเป็นส่วนตัว และความปลอดภัยของข้อมูลส่วนบุคคล จึงได้พัฒนาแพลตฟอร์มด้านความปลอดภัยแบบครบวงจร ครอบคลุมทั้งความเป็นส่วนตัว ความปลอดภัยทางไซเบอร์ และความปลอดภัยทางกายภาพ ภายใต้ชื่อแพลตฟอร์ม OneFence เพื่อให้องค์กรต่าง ๆ จัดการกับภัยความมั่นคงทุกด้านได้อย่างครบถ้วนครอบคลุม อันจะนำมาสู่การสร้างระบบนิเวศด้านความปลอดภัยที่ไร้รอยต่อ และความยั่งยืนขององค์กรที่แท้จริง

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• เหตุใดธุรกิจการเงิน-ประกันภัย เสี่ยง “ข้อมูลรั่วไหล” จำนวนมาก
• กลุ่มธุรกิจการเงิน ธนาคาร เสี่ยงข้อมูลรั่วไหล
• สร้างวัฒนธรรมองค์กร ก่อนก้าวสู่มาตรฐาน “ความปลอดภัยทางไซเบอร์