สำนักงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติของฝรั่งเศส หรือ ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) เปิดเผยว่ากลุ่ม APT (Advanced Persistent Threat) ที่ชื่อว่า Nobelium ที่อาจมีรัฐบาลรัสเซียหนุนหลังนั้นได้มุ่งโจมตีองค์กรต่าง ๆ ของฝรั่งเศสมาตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา
Nobelium เป็นที่รู้จักกันในหลายชื่อ ตั้งแต่ APT29, Cozy Bear ไปจนถึง The Dukes นั้นเป็นกลุ่มที่เคยโจมตี SolarWinds บริษัทผู้ให้บริการเครือข่ายและโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ โดยมักมีเป้าหมายโจมตีหน่วยงานของรัฐ องค์กรที่ไม่ใช่รัฐ (NGOs) องค์กรคลังสมอง กองทัพ ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ สถาบันวิจัยด้านเทคโนโลยีสุขภาพ และผู้ให้บริการด้านโทรคมนาคม
ที่ผ่านมา Nobelium ได้ใช้บัญชีอีเมลจำนวนมากที่ขโมยมาจากองค์กรในฝรั่งเศสในการปฏิบัติการสเปียร์ฟิชชิ่ง (spear-phishing คือการโจมตีฟิชชิ่งแบบเน้นเป้าหมายชัดเจน) ต่อองค์กรต่างประเทศ
ANSSI ยังรายงานด้วยว่าองค์กรมหาชนได้ถูกโจมตีด้วยวิธีการปลอมอีเมลว่ามาจากองค์กรต่างปรเทศ ซึ่งคาดว่าน่าจะมาจากกลุ่มเดียวกัน
วิธีการปฏิบัติการสเปียร์ฟิชชิ่งส่วนใหญ่นั้นจะใช้ในการปล่อย Cobalt Strike ที่ใช้ในการควบคุมอุปกรณ์หรือเครือข่ายของเหยื่อจากระยะไกล ในขณะที่ฐานปฏิบัติการ (command and control) ที่ใช้ในการโจมตีนั้นส่วนใหญ่ถูกสร้างขึ้นมาจากการใช้ VPS (virtual private servers) จากหลายผู้ให้บริการ ซึ่งผู้เชี่ยวชาญพบว่าหลายที่อยู่ IP (Internet Protocol address) ของฐานปฏิบัติการนั้นเป็นของผู้ให้บริการที่ชื่อว่า OVH ของฝรั่งเศส
นอกจากนี้ APT29 ยังใช้ชื่อโดเมนที่คล้ายกับชื่อโดเมนที่มีอยู่จริง โดยเฉพาะเว็บประชาสัมพันธ์และสำนักข่าว โดยจดทะเบียนโดเมนส่วนใหญ่ด้วยบริการ NameSilo และ Namecheap
ที่มา Security Affairs
พิสูจน์อักษร : สุชยา เกษจำรัส
