ศูนย์เผชิญเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (UA-CERT) อ้างว่ากลุ่มแฮกเกอร์จากรัสเซียที่ชื่อ From Russia with Love (อีกชื่อหนึ่งคือ Z-Team) ฝังมัลแวร์ขโมยข้อมูล สอดแนม และขัดขวางการทำงานขององค์กรต่าง ๆ ในยูเครน ไว้ในเว็บไซต์ปลอม

CERT-UA เชื่อว่าแฮกเกอร์กลุ่มนี้ต้องการฝังตัวไว้ในระบบเป้าหมายด้วยเครื่องมือขโมยข้อมูลที่ชื่อ Vidar ไว้ในเว็บไซต์ที่ปลอมตัวเป็นเว็บไซต์แจกซอฟต์แวร์สแกน IP เครือข่าย

Vidar จะขโมยข้อมูล session ของ Telegram ที่จะช่วยให้แฮกเกอร์สามารถล็อกอินเข้าไปในระบบโดยใช้บัญชีของเหยื่อที่ไม่ได้ใช้การยืนยันตัวตนแบบ 2 ปัจจัย (two-factor authentication) และสร้างการเชื่อมต่อกับ VPN เพื่อเป็นเครื่องมือการเจาะระบบ

เมื่อ From Russia with Love เจาะเข้าระบบได้แล้ว จะปล่อยมัลแวร์เรียกค่าไถ่ที่ชื่อ Somnia ซึ่งมีความพิเศษก็คือเป็นมัลแวร์เรียกค่าไถ่ที่ไม่มีเครื่องมือสำหรับถอดรหัสไฟล์ แปลว่าไฟล์จะถูกล็อกตลอดไป นอกจากนี้ แฮกเกอร์จะทำการคอยสอดแนมและรักษาตัวตนในระบบด้วยการใช้ Cobalt Strike Beacon และคอยดึงข้อมูล

ด้าน From Russia with Love อ้างเหตุของการโจมตีครั้งนี้ว่าต้องการโจมตี โวโลดีมีร์ เซเลนสกีย์ (Volodymyr Zelenskyy) ประธานาธิบดียูเครน

ที่มา govinfosecurity

พิสูจน์อักษร : สุชยา เกษจำรัส