Kaspersky เผยไต๋กลวิธีที่ผู้ร้ายไซเบอร์ใช้ AI โจมตีองค์กรด้วย APT

มีรายงานหลายฉบับระบุว่ามีวิธีการต่างๆ ที่มนุษย์สามารถลวงให้ ChatGPT ช่วยเขียนมัลแวร์ให้ได้ แต่ร้ายไปกว่านั้น อาจจะมีการนำ AI (Artificial Intelligence) มาใช้ในการโจมตีทางไซเบอร์ ด้วยการเขียนสคริปต์ซอฟท์แวร์ที่ประสงค์ร้ายเลยทีเดียว

แคสเปอร์สกี้ (Kaspersky) บริษัทด้านความปลอดภัยทางไซเบอร์ระดับโลก เปิดเผยว่า มีความเป็นไปได้ว่าเครือข่ายเน็ตเวิร์กของแมชชีนอัจฉริยะอาจถูกโจรไซเบอร์ใช้ในแต่ละขั้นตอนของการโจมตีไซเบอร์ที่มีความซับซ้อนได้

–ฟอร์ติเน็ต ลงนามร่วม ม.นอร์ทกรุงเทพ ส่งมอบ Labs ด้านไซเบอร์ซีเคียวริตี้ สนับสนุนการเรียนการสอนสร้างกำลังพลรักษาความปลอดภัยบนไซเบอร์แบบเข้มข้น

นูชิน ชาบับ นักวิจัยด้านความปลอดภัยอาวุโส ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) ของแคสเปอร์สกี้ เปิดเผยว่า AI นั้นอาจจะถึงขั้นถูกดึงเข้ามาใช้ในการโจมตีของ Advanced Persistent Threat (APT) ซึ่งเป็นการโจมตีทางออนไลน์อีกแบบหนึ่งที่มีเป้าหมายชัดเจนและมีความซับซ้อนมากอย่างยิ่ง

“นอกจากการพัฒนาใช้ AI เพื่อเขียนมัลแวร์แล้ว พบว่า AI มีส่วนอย่างมากในขั้นตอนการเข้าโจมตีต่างๆ ที่มีความซับซ้อน ปัจจุบันผู้ก่อภัยคุกคาม APT ได้รวมเอาเทคนิคชั้นเลิศเอาไว้ได้หลายรูปแบบ เพื่อใช้ในการหลบเลี่ยงการถูกตรวจจับ และการพรางตัวเพื่อให้ให้แฝงเร้นอยู่ในที่เป้าหมายได้นานเท่าที่ต้องการ AI ที่พัฒนาขึ้นมาใหม่ๆ ก็ถูกนำมาใช้เป็นเครื่องมือของอาชญากรไซเบอร์ในการก่ออาชญากรรม ตั้งแต่เริ่มต้นจนถึงขั้นตอนลักลอบดึงเอาข้อมูลออกไป” นูชิน กล่าว

และก็เป็นไปตามชื่อ APT ที่ว่า “แอดว้านซ์” หรือขั้นสูง ได้มีการใช้ APT อย่างต่อเนื่อง มีการขยายตัว และเพิ่มเติมเทคนิคการเจาะระบบที่ก้าวหน้าขึ้นมาก เพื่อให้เข้าระบบให้ได้และซ่อนอยู่ในระบบนั้นเป็นเวลานานเท่าที่จำเป็น และแน่นอนว่าผลที่ตามย่อมหมายถึงหายนะต่อเหยื่อเป้าหมายอย่างแน่นอน

ลักษณะสำคัญประการหนึ่งของ APT ก็คือ จะต้องหาทางแอคเซสเข้าระบบให้ได้ เพื่อคงความต่อเนื่องในการส่งการโจมตีเป็นช่วงจังหวะขั้นตอน ตั้งแต่เริ่มต้นก่อการ (เก็บข้อมูลเกี่ยวกับเป้าหมาย ระบบ และช่องโหว่ที่อาจจะใช้ประโยชน์ได้) พัฒนาสภาพแวดล้อมเพื่อการโจมตี ลงมือโจมตี และดูดเอาข้อมูลออกไป

Reconnaissance ซุ่มสำรวจส่องข้อมูลเป้าหมาย

นูชิน กล่าวว่า ปัจจุบัน มี APT ที่ยังแอคทีฟอยู่อย่างน้อยๆ ถึง 14 กลุ่มด้วยกันที่ทำการโจมตีในภูมิภาคเอเชียแปซิฟิก

หนึ่งในกลุ่ม APT ที่อาละวาดอยู่คือ Origami Elephant เป็นที่รู้กันอยู่ว่าวิธีการคือจะต้องมีโดเมนและเซิร์ฟเวอร์เวอร์ชวลส่วนตัวช่วงขั้นตอนพัฒนาสภาพแวดล้อมเตรียมพร้อมโจมตี ซึ่งผู้ก่อภัยคุกคามรายนี้ (หรือรู้จักในนาม DoNot team, APT-C-35, SECTOR02) มีเป้าหมายเป็นองค์กรภาครัฐ หน่วยงานทางทหาร ในเอเชียใต้ โดยเฉพาะอย่างยิ่งในปากีสถาน บังกลาเทศ เนปาล และศรีลังกา มาตั้งแต่ช่วงต้นปี 2020 แล้ว 

การสอดแนมและการทำลายล้างทางไซเบอร์ที่โด่งดังของ APT กลุ่ม Lazarus นั้นใช้โซเชียลมีเดียแพลตฟอร์ม และแอปส่งข้อความ เช่น LinkedIn, WhatsApp และ Telegram เพื่อเข้าถึงกลุ่มเป้าหมาย และยังมีอีกวิธีที่เปิดช่องโหว่ของเว็บเซอร์วิส เช่น พวกจุดอ่อนในเว็บไซต์ WordPress เอามาใช้เป็นช่องทางอัปโหลดสคริปต์ประสงค์ร้าย  

นูชิน ให้ข้อมูลเพิ่มเติมว่า “ช่วงระหว่างการสอดแนมข้อมูลนั้น AI จะถูกใช้เป็นตัวช่วยค้นหาและทำความเข้าใจเป้าหมายที่มีความเป็นไปได้ ด้วยการตั้งการวิเคราะห์ข้อมูลที่มาจากหลายแหล่งแบบอัตโนมัติไว้ เช่น ฐานข้อมูลออนไลน์ และโซเชียลมีเดียแพลตฟอร์ม และเก็บรวบรวมข้อมูลรายละเอียด รวมถึงระบบและแอปพลิเคชันที่ใช้งานกันอยู่ในสภาพแวดล้อมขององค์กรที่ตกเป็นเป้าโจมตี เครื่องที่ฉลาดจะเห็นจุดอ่อนที่ใช้เป็นจุดแทรกตัว ด้วยการประเมินข้อมูลของพนักงาน การติดต่อสื่อสารกับเธิร์ดปาร์ตี้ และโครงสร้างสถาปัตยกรรมของเน็ตเวิร์ก”

และดังที่รู้จักทั่วไปว่า AI มีบทบาทไม่น้อยในการพัฒนามัลแวร์ แต่ผู้เชี่ยวชาญของแคสเปอร์สกี้ก็ยังได้ระบุเพิ่มเติมว่า AI นั้นยังสามารถเป็นตัวช่วยในการทำงานแบบอัตโนมัติให้ ในส่วนที่เกี่ยวข้องกับการสร้างโครงสร้างพื้นฐานรองรับการเข้าโจมตี รวมทั้ง การซื้อโครงสร้างเน็ตเวิร์ก การสร้างบัญชีผู้ใช้ และการสร้างจุดอ่อนช่องโหว่บนโครงสร้างและบัญชีเหล่านั้น

Initial access การเข้าแทรกแซงในขั้นเริ่มต้น

นูชิน ยังได้เปิดเผยด้วยว่า สเปียร์ฟิชชิง (spear phishing) ก็ยังคงเป็นเทคนิคที่ผู้ก่อภัยคุกคาม APT เอามาใช้งานเพื่อหาทางแทรกตัวเข้าไปในขั้นแรกๆ ในเอเชียแปซิฟิก ในจำนวน 14 กลุ่มอาชญากรไซเบอร์ที่อาละวาดอยู่ในภูมิภาค มีอยู่ 10 กลุ่มที่ใช้กลเม็ดนี้ในการเจาะเข้าเน็ตเวิร์กของเป้าหมาย

สเปียร์ฟิชชิง รวมถึงอีเมลและการสื่อสารทางอิเล็กทรอนิกส์อื่นๆ ที่ตั้งเป้าหมายหลอกลวงแบบเจาะจง ไม่ว่าจะเป็นบุคคลหรือ หน่วยงาน หรือบริษัทธุรกิจ แม้จะตั้งไว้เพื่อโจรกรรมข้อมูลเพื่อการทุจริต แต่อาชญากรไซเบอร์ก็อาจติดตั้งมัลแวร์เอาไว้บนเครื่องคอมพิวเตอร์ด้วยก็ได้

ในช่วงแรกของการเข้าแทรกซึมมานี้ AI จะเป็นตัวช่วยอาชญากรไซเบอร์แต่งข้อความสำหรับใช้ส่งเป็นข้อความฟิชชิงที่มีเนื้อหาน่าเชื่อถือ สื่อสารเฉพาะตัวบุคคล ซึ่งสมาร์ทแมชชีนเหล่านี้สามารถถูกฝึกให้หาจุดผ่านเข้าระบบเป้าหมาย และรู้ว่าเวลาใดเหมาะสมที่สุดที่จะปล่อยการโจมตี  

นูชิน อธิบายว่า “AI สามารถทำการวิเคราะห์รูปแบบบนเน็ตเวิร์กและกิจกรรมบนระบบ และปล่อยการโจมตีระหว่างช่วงเวลาที่การเฝ้าระวังภัยต่ำ หรือ high noise ดังนั้น เครื่องก็จะช่วยอาชญากรไซเบอร์ในการหาจังหวะเวลาที่เหมาะที่สุดสำหรับการปล่อยฟิชชิ่งเคมเปญเพื่อจับช่องทางแอคเซสแทรกเข้าระบบให้ได้เน็ตเวิร์กของเป้าหมายให้ได้”

เทคโนโลยีนี้ยังจะไปช่วยเสริมแรงให้กับการโจมตีแบบดั้งเดิมที่ใช้กำลังเข้าหักด่าน เช่น สุ่มเลือกพาสเวิร์ดที่น่าจะใช้ได้ อิงจากรูปแบบ พจนานุกรม หรือข้อมูลที่เคยรั่วไหลออกมาก่อนหน้านี้ เป็นต้น จากการวิเคราะห์รูปแบบพฤติกรรมของผู้ใช้งาน กิจกรรมโซเชียลมีเดีย และข้อมูลส่วนตัว อัลกอริธึ่มของ AI ก็จะสามารถคาดเดาพาสเวิร์ดที่น่าจะเป็นได้ เพิ่มโอกาสในการเจาะเข้าระบบได้มากขึ้น  

Execution การลงมือปฏิบัติการโจมตี

ในขั้นตอนการลงมือโจมตี AI จะสามารถปรับแปลงพฤติกรรมของมัลแวร์ให้สอดคล้องไปกับมาตรการทางด้านความปลอดภัย เพื่อเป็นการเพิ่มโอกาสความสำเร็จในการโจมตี มีการใช้ AI เป็นตัวช่วยในการทำการปกปิดโฉมหน้า สร้างมัลแวร์ที่เปลี่ยนตัวเองได้ โดยเปลี่ยนโครงสร้างของโค้ดเพื่อหลบเลี่ยงการตรวจจับ

คำสั่งและตัวแปลคำสคริปต์ที่ใช้ AI สามารถวิเคราะห์สภาพแวดล้อมเป้าหมายได้เช่นกัน เข้าใจลักษณะของระบบ และเลือกตัวเลือกที่เหมาะสมที่สุดสำหรับการเรียกใช้สคริปต์หรือคำสั่งที่เป็นอันตราย วิศวกรรมทางโซเชียลที่ผลักดันด้วย AI นั้นยังสามารถเพิ่มโอกาสให้ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตราย ซึ่งเพิ่มความสำเร็จในขั้นตอนการดำเนินการได้อีกทางหนึ่ง  

Persistence การซุ่มอยู่ได้ต่อเนื่องและนิ่งนานโดยไม่เป็นที่สังเกต

รู้กันดีว่ากลุ่ม APT นั้นมีเทคนิคที่ซับซ้อนในการซ่อนตัวเข้าไปซุ่มเงียบในระบบเน็ตเวิร์ก โดยไม่ถูกจับได้ เทคนิคที่พบบ่อยที่สุดในผู้ก่อภัยคุกคาม APT ในภูมิภาคเอเชียแปซิฟิกในการบรรลุเป้าหมายการซุ่มซ่อนคือ

• งานที่ตั้งเวลาล่วหน้า หรืองานที่กำหนดเวลา
• กระบวนการที่ทำให้โปรแกรมหรือการเริ่มต้นทำงานอัตโนมัติ เมื่อระบบคอมพิวเตอร์ถูกเปิดหรือผู้ใช้เข้าสู่ระบบ

ในขั้นตอนนี้ AI สามารถสร้างสคริปต์ที่เหมาะสมที่สุดในการเรียกใช้มัลแวร์ให้เข้ากับผลการวิเคราะห์พฤติกรรมของผู้ใช้และสามารถพัฒนามัลแวร์โดยใช้ AI ให้ปรับกลไกการทำงานได้อัตโนมัติไปตามการเปลี่ยนแปลงใดๆ ในสภาพแวดล้อมเป้าหมาย

กลไกการเฝ้าดูด้วย AI สามารถแกะรอยการเปลี่ยนแปลงในระบบและปรับวิธีในการซุ่มซ่อนได้ตามนั้น และยังมีเทคนิคที่สามารถปรับแก้เอ็นทรีส์ Windows Registry เพื่ออัปเดตคีย์ในทะเบียน เพื่อหลบเลี่ยงการูกตรวจจับได้  

Data exfiltration and Impact การนำข้อมูลออกนอกระบบและผลกระทบ

นูชิน กล่าวว่า “AI ยังสามารถช่วยในขั้นตอนการส่งข้อมูลที่ถูกขโมยออกนอกระบบได้อย่างแนบเนียนและมีประสิทธิภาพ AI สามารถวิเคราะห์รูปแบบการจราจรในเน็ตเวิร์กเพื่อให้กลมกลืนไปกับพฤติกรรมทั่วไปได้ดี และหาช่องทางการสื่อสารที่เหมาะสมที่สุดในการส่งข้อมูลออกนอกระบบสำหรับแต่ละเหยื่อ และยังสามารถปรับการปกปิดตัวตน การบีบอัด และการเข้ารหัสข้อมูลที่ถูกขโมย เพื่อหลีกเลี่ยงการตรวจจับการจราจรที่ผิดปกติ”

AI สามารถช่วยเพิ่มผลกระทบจากการโจมตีได้อย่างมาก จากการเพิ่มประสิทธิภาพให้การขั้นตอนของปฏิบัติการ  

แคสเปอร์สกี้เสนอแนวทางดังต่อไปนี้ เพื่อเสริมสร้างการป้องกันขององค์กรและองค์กรต่อการโจมตี APT ที่ใช้ AI เป็นตัวช่วย

• การใช้งานโซลูชันด้านความปลอดภัยขั้นสูง: ติดตั้งระบบโซลูชันความปลอดภัยที่ใช้วิธีการขั้นสูงในการตรวจสอบ สอดส่องพฤติกรรมของผู้ใช้และระบบ จะช่วยระบุการเปลี่ยนแปลงจากแบบแผนปกติที่อาจเป็นสัญญาณของกิจกรรมที่เป็นอันตรายได้
• อัปเดตซอฟต์แวร์เป็นประจำ: ใช้งานรุ่นล่าสุดของซอฟต์แวร์ แอปพลิเคชัน และระบบปฏิบัติการเสมอเพื่อลดความเสี่ยงจากช่องโหว่ที่ผู้โจมตีอาจใช้เป็นโอกาสได้
• การฝึกอบรมและเพิ่มความตระหนักรู้ในการใช้งาน: ให้การฝึกอบรมแก่พนักงานเกี่ยวกับหลักการที่ดีที่สุดในด้านความปลอดภัยทางไซเบอร์ รวมถึงการรู้จักและป้องกันการโจมตีด้วยที่ใช้เทคนิควิศวกรรมโซเชียล และความพยายามขโมยข้อมูลผ่านฟิชชิ่งอีเมล
• การรับรองตัวตนแบบหลายชั้น (Multi-Factor Authentication – MFA): บังคับใช้ระบบรับรองตัวตนแบบหลายชั้นสำหรับการเข้าถึงระบบและแอปพลิเคชันที่มีความสำคัญสูง ลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาต แม้จะมีการรั่วไหลข้อมูลรับรองตัวตนก็ตาม

• Facebook
• X
• Line