FireEye พบว่าโครงการ Gh0stRAT cyberespionage ดำเนินต่อไป

เครื่องมือที่เรียกว่า Gh0st RAT ซึ่งเป็นที่รู้จักกันอย่างแพร่หลายเรียกว่า Gh0st RAT ยังคงถูกใช้ในการโจมตีของมัลแวร์ที่ซ่อนอยู่ตามรายงานฉบับใหม่จาก บริษัท รักษาความปลอดภัย FireEye FireEye ซึ่งเชี่ยวชาญในการตรวจจับมัลแวร์ ข้อมูลที่เก็บรวบรวมจากลูกค้าหลายร้อยรายในระหว่างปี 2555 มองไปที่รายงานที่น่าสงสัยถึง 12 ล้านรายงานซึ่งมีประมาณ 2,000 รายการซึ่งถูกจัดว่าเป็น "ภัยคุกคามแบบถาวรขั้นสูง" (APT) ซึ่งเป็นคำที่ใช้ในอุตสาหกรรมด้านความปลอดภัยสำหรับการตรวจจับที่ซับซ้อนและยากต่อการตรวจจับ การโจมตีมุ่งเป้าไปที่การแทรกซึมในระยะยาวขององค์กร

ส่วนใหญ่ 2,000 เหตุการณ์ดังกล่าวใช้งาน Gh0st RAT ซึ่งเป็นเครื่องมือการเข้าถึงระยะไกลที่เชื่อกันว่าได้รับการพัฒนาขึ้นในประเทศจีนซึ่งทำให้ผู้โจมตีสามารถขโมย nformation จากคอมพิวเตอร์ของเหยื่อ ในปี 2552 นักวิจัยที่มีโครงการ Information Warfare Monitor โครงการวิจัยด้านความปลอดภัยคอมพิวเตอร์และมหาวิทยาลัยโตรอนโตได้รายงานว่ามีการใช้หน่วยสืบราชการลับของไซเบอร์ในเครือข่ายจำนวนมากที่ใช้ระบบ Ghinst RAT ซึ่งมีเป้าหมายมากกว่า 1,000 เครื่องใน 103 ประเทศ

[อ่านเพิ่มเติม: มัลแวร์จาก Windows PC ของคุณ]

Gh0st RAT เป็น "ส่วนสำคัญที่แท้จริงของแคมเปญ APT หลายประเภทเนื่องจากเป็นเครื่องมือที่มีประสิทธิภาพ" Rob Rachwald ผู้อำนวยการอาวุโสฝ่ายวิจัยตลาด FireEye กล่าวรายงานของ FireEye กว้าง ๆ วิธีการโจมตีดึงข้อมูลจากผู้ที่ตกเป็นเหยื่อและควบคุมมัลแวร์ในคอมพิวเตอร์ที่ติดเชื้อหรือกิจกรรม "โทรกลับ" ข้อมูลของพวกเขาจากปี 2012 แสดงให้เห็นว่าผู้โจมตีใช้เซิร์ฟเวอร์คำสั่งและควบคุมเพื่อส่งคำแนะนำไปยังมัลแวร์ใน 184 ประเทศในขณะนี้เพิ่มขึ้นร้อยละ 42 เมื่อปี 2553

เกาหลีใต้มีกิจกรรมการเรียกกลับจำนวนมาก เซิร์ฟเวอร์ของ บริษัท เทคโนโลยีมักจะถูกแฮ็กเกอร์กำหนดเป้าหมายเพื่อสื่อสารกับเครื่องที่ติดไวรัส "ผมคิดว่าข้อเท็จจริงที่ว่าพวกเขาเคยเป็นประเทศที่เชื่อมต่อกันมากที่สุดแห่งหนึ่งของโลกอาจเป็นอีกหนึ่งปัจจัยที่น่าจะเป็นผลดีต่อไป" Rachwald กล่าวรายงานของ FireEye กล่าวว่า "ในความรู้สึกเกาหลีใต้เป็นโรคที่เกิดจากหนู เครื่องมือการเข้าถึง] เห็นได้จากข้อมูลปี 2012 ว่าเกาหลีใต้เป็นหนึ่งในจุดหมายปลายทางการโทรกลับที่ดีที่สุดในโลกและกิจกรรมด้านการเรียกกลับบางส่วนของประเทศมีความเกี่ยวข้องกับการโจมตีที่ตรงเป้าหมายมากขึ้น "

แฮกเกอร์ยังใส่ข้อมูลที่ขโมยเข้าไปในไฟล์ภาพ JPEG ด้วย เพื่อให้ข้อมูลมีลักษณะเหมือนการเข้าชมปกติ มัลแวร์ยังใช้เว็บไซต์เครือข่ายสังคมเช่น Twitter และ Facebook เพื่อวางคำแนะนำสำหรับเครื่องที่ติดไวรัส FireEye กล่าวว่า

บริษัท สังเกตเห็นการเปลี่ยนแปลงอื่น ๆ ในพฤติกรรมของแฮ็กเกอร์ โดยปกติแล้วเซิร์ฟเวอร์คำสั่งและควบคุมอยู่ในประเทศอื่นนอกเหนือจากเหยื่อ ตอนนี้พวกเขากำลังค้นหาโครงสร้างพื้นฐานคำสั่งในประเทศเดียวกันเพื่อให้การจราจรดูเป็นปกติ

แต่สำหรับบางประเทศแฮกเกอร์ไม่ได้สนใจเซิร์ฟเวอร์ควบคุมในประเทศเป้าหมาย แคนาดาและสหราชอาณาจักรมีอัตราการโทรกลับติดต่อกันสูงในต่างประเทศ ผู้โจมตีอาจไม่ได้ทำในประเทศเหล่านี้เพราะ "พวกเขารู้ว่าพวกเขาจะไม่ได้รับการตรวจพบ" Rachwald กล่าวว่า