Operation Aurora - The New Internet Explorer Zero-Day

Operation Aurora ปฏิบัติการ Cyberattack ต้อนรับปี 2010
บทความโดย: Thai Windows Administrator Blog

ถ้าใครติดตามข่าวทางด้านไอที ในช่วงสัปดาห์ที่ผ่านมาคงจะพอข่าวการโจมตีระบบเซิร์ฟเวอร์ของ Google และบริษัทต่างๆ อีกกว่า 30 บริษัท จากแฮคเกอร์ในประเทศจีน ซึ่งในเวลาต่อมาได้มีการยืนยันจาก McAfee ว่าการโจมตีที่เกิดขึ้น ผู้โจมตีได้ใช้เครื่องคอมพิวเตอร์ที่ถูกควบคุมผ่านทางช่องโหว่ความปลอดภัยของโปรแกรม Internet Explorer ซึ่งไมโครซอฟท์ได้แจ้งรายละเอียดใน Advisory 979352 ในการโจมตี  โดย McAfee เรียกการโจมตีที่เกิดขึ้นในครั้งนี้ว่า Operation Aurora

โดย Operation Aurora นั้นมาจากการวิเคราะห์ของ McAfee ที่พบว่าส่วนหนึ่งของพาธที่ใช้เก็บไฟล์มัลแวร์บนเครื่องคอมพิวเตอร์ผู้โจมตีนั้นมีคำว่า Aurora อยู่ ทำให้มีความเป็นไปได้สูงว่าผู้โจมตีน่าจะเรียกชื่อปฏิบัติการโจมตีในครั้งนี้ว่า Operation Aurora

หมายเหตุ: โดยทั่วไปนั้นพาธของไฟล์จะถูกใส่เข้าในโปรแกรมโดยคอมไพเลอร์ เพื่อใช้เก็บตำแหน่งของ debug symbols และ source code บนเครื่องของผู้พัฒนา

สำหรับการโจมตีในด้านเครื่องคอมพิวเตอร์ลูกข่าย เมื่อผู้ใช้เข้าเยี่ยมชมเว็บไซต์ซึ่งมีมัลแวร์แฝงตัวอยู่โดยใช้โปรแกรม Internet Explorer เวอร์ชันที่ได้รับผลกระทบ การโจมตีจะเกิดขึ้นอย่างเงียบๆ โดยที่ผู้ใช้ไม่รู้สึกถึงความผิดปกติใดๆ และถ้าการโจมตีประสบความสำเร็จผู้โจมตีก็จะเริ่มทำการดาวน์โหลดและรันมัลแวร์บนเครื่องคอมพิวเตอร์ที่ถูกโจมตี จากนั้นก็จะสามารถเข้าควบคุมระบบเพื่อใช้ในด้านต่างๆ เช่น การขโมยข้อมูลทรัพย์สินทางปัญญา (Intellectual Property) ต่างๆ การขโมยข้อมูลส่วนตัวของผู้ใช้ (User name และ Password) ที่อยู่บนเครื่องคอมพิวเตอร์ รวมถึงใช้ทำการโจมตีระบบต่างๆ บนอินเทอร์เน็ต

ปัจจุบัน McAfee ได้ติดตามช่องโหว่ความปลอดภัย Advisory 979352 ซึ่งมีผลกระทบกับ Internet Explorer 6, Internet Explorer 7 และ Internet Explorer 8 นี้อย่างใกล้ชิด เนื่องจากเป็นช่องโหว่ความปลอดภัยแบบ Zero-day vulnerability เนื่องจากยังไม่มีแพตซ์ (Patch) สำหรับใช้แก้ไข สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เว็บไซต์ ไมโครซอฟท์ยืนยันพบช่องโหว่ความปลอดภัยร้ายแรงใน IE6, IE7 และ IE8 ในส่วนของวิธีการป้องกันนั้นสามารถอ่านได้ที่เว็บไซต์ Improve Internet Explorer's security against "Aurora Attacks"

ในตอนท้าย McAfee ได้บอกว่าการโจมตีของมัลแวร์ในปัจจุบันนั้นแตกต่างไปจากมัลแวร์ก่อนหน้านี้อย่างไวรัส Blaster หรือ Code Red โดยจะมีความซับซ้อนมากกว่า เป้าหมายของการโจมตีสูงกว่า และได้ถูกออกแบบมาให้ แพร่เชื้อ (Infect), แอบเข้าถึงข้อมูล (Conceal Access) ขโมยข้อมูล (Siphon Data) หรือกรณีร้ายแรงอย่างเช่นการแก้ไขข้อมูล (Modify Data) โดยไม่ให้ถูกตรวจจับ

บทสรุป
ภัยคุกคามคอมพิวเตอร์มัลแวร์ในปีนี้มีแนวโน้มที่จะมีความรุนแรงมากขึ้นและมีความซับซ้อนมากขึ้น โดยช่องทางหลักของการโจมตีน่าจะเป็นช่องโหว่ของระบบปฏิบัติการและโปรแกรมพื้นฐานต่างๆ โดยเฉพาะอย่างยิ่งของโปรแกรมเว็บเบราเซอร์ต่างๆ

ดังนั้น ผู้ที่รับผิดชอบดูแลระบบคอมพิวเตอร์โดยเฉพาะอย่างยิ่งด้านการรักษาความปลอดภัย คงต้องเตรียมตัวให้พร้อมสำหรับการเผชิญกับปัญหาความปลอดภัยต่างๆ ที่กำลังจะเกิดขึ้นในอนาคต

แหล่งข้อมูลอ้างอิง
• McAfee Blog

© 2010 TWA Blog. All Rights Reserved.