แคสเปอร์สกี้ (Kaspersky) เปิดโปง "สไตรป์ฟลาย" (StripedFly) นักขุดเวิร์มคริปโตฯ ที่ซ่อนโค้ดซับซ้อน แถมซุกระบบขโมยข้อมูล เข้าถึงเหยื่อมากกว่าหนึ่งล้านรายทั่วโลก
เซอร์เกย์ ล็อซกิน หัวหน้านักวิจัยความปลอดภัยหลักของทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Global Research and Analysis Team - GReAT) กล่าวถึงกรณีที่ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบมัลแวร์ตัวใหม่ StripedFly หรือสไตรป์ฟลาย ที่มีความช่ำชองสูงและแพร่กระจายไปทั่วโลก ซึ่งส่งผลกระทบต่อเหยื่อมากกว่าล้านรายนับตั้งแต่ปี 2017 เป็นอย่างน้อย ว่าความสามารถของผู้ก่อภัยคุกคามในการปรับตัวและพัฒนา ถือเป็นความท้าทายด้านความปลอดภัยอย่างต่อเนื่อง
"ความพยายามจำนวนมากที่ลงทุนลงแรงไปกับการสร้างเฟรมเวิร์กนี้น่าทึ่งมาก และการเปิดตัวค่อนข้างน่าประหลาดใจ ความสามารถของผู้ก่อภัยคุกคามในการปรับตัวและพัฒนา ถือเป็นความท้าทายด้านความปลอดภัยอย่างต่อเนื่อง ซึ่งเป็นเรื่องที่สำคัญมากสำหรับแคสเปอร์สกี้ในฐานะนักวิจัยในการอุทิศความพยายามของเราอย่างต่อเนื่องในการเปิดเผยและเผยแพร่ภัยคุกคามทางไซเบอร์ที่ซับซ้อน และเตือนภัยลูกค้าอย่าเพิกเฉยต่อการป้องกันที่ครอบคลุม”
แคสเปอร์สกี้พบว่าในตอนแรก StripedFly ทำหน้าที่เป็นนักขุดเหมืองสกุลเงินดิจิทัล (cryptocurrency miner) ต่อมาได้กลายเป็นมัลแวร์ที่ซับซ้อนซึ่งมีเฟรมเวิร์กการทำงานของเวิร์มได้หลากหลาย
จนในปี 2022 ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Global Research and Analysis Team - GReAT) ค้นพบการตรวจจับที่ไม่คาดคิด 2 ครั้งภายในกระบวนการ WININIT.EXE ซึ่งเกิดขึ้นจากลำดับโค้ดที่เคยพบเห็นในมัลแวร์ Equation ก่อนหน้านี้ StripedFly ดำเนินมาอย่างต่อเนื่องตั้งแต่ปี 2017 เป็นอย่างน้อย และได้หลบเลี่ยงการวิเคราะห์ต่างๆ ก่อนหน้านี้อย่างมีประสิทธิภาพ ก่อนที่จะถูกจัดประเภทผิดว่าเป็นนักขุดเงินดิจิทัล
หลังจากดำเนินการตรวจสอบปัญหาอย่างครอบคลุมแล้ว พบว่าเครื่องขุดสกุลเงินดิจิทัลเป็นเพียงส่วนประกอบของเอนทิตีที่ใหญ่กว่ามาก ซึ่งเป็นเฟรมเวิร์กที่เป็นอันตรายที่ซับซ้อน หลายแพลตฟอร์ม และหลายปลั๊กอิน
"มัลแวร์เพย์โหลดครอบคลุมหลายโมดูล ทำให้ผู้ก่อภัยคุกคามสามารถทำหน้าที่เป็น APT ในฐานะนักขุดเงินคริปโตฯ และฐานะกลุ่มแรนซัมแวร์ ซึ่งอาจขยายแรงจูงใจจากผลประโยชน์ทางการเงินเป็นการจารกรรม" แคสเปอร์สกี้อธิบาย
แคสเปอร์สกี้ยกตัวอย่างสกุลเงินดิจิทัล Monero ที่ขุดโดยโมดูลนี้มีมูลค่าสูงสุดที่ 542.33 ดอลลาร์ในวันที่ 9 มกราคม 2018 เทียบกับมูลค่าในปี 2017 ที่ประมาณ 10 ดอลลาร์ ในปี 2023 ยังคงมูลค่าไว้ประมาณ 150 ดอลลาร์ ผู้เชี่ยวชาญของแคสเปอร์สกี้เน้นย้ำว่าโมดูลการขุดเป็นปัจจัยหลักที่ทำให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับได้เป็นระยะเวลานาน
แคสเปอร์สกี้เชื่อว่าผู้โจมตีที่อยู่เบื้องหลังปฏิบัติการนี้มีความสามารถเชี่ยวชาญการสอดแนมเหยื่ออย่างลับๆ มัลแวร์จะรวบรวมข้อมูลประจำตัวทุกๆ 2 ชั่วโมง โดยขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่เว็บไซต์และ WiFi รวมถึงข้อมูลส่วนบุคคล อย่างเช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ ชื่อบริษัท และตำแหน่งงาน นอกจากนี้ มัลแวร์ยังสามารถจับภาพหน้าจอบนอุปกรณ์ของเหยื่อได้โดยไม่ถูกตรวจพบ ควบคุมเครื่องได้อย่างมีนัยสำคัญ และแม้แต่บันทึกเสียงจากไมโครโฟน
แคสเปอร์สกี้ยอมรับว่าการติดมัลแวร์ในระยะเริ่มแรกนั้นยังไม่ทราบว่าเกิดที่เว็กเตอร์ใด จนกระทั่งการสอบสวนเพิ่มเติมของแคสเปอร์สกี้เผยให้เห็นการใช้ช่องโหว่ EternalBlue 'SMBv1' ที่สร้างขึ้นเองเพื่อแทรกซึมระบบของเหยื่อ แม้จะมีการเปิดเผยช่องโหว่ EternalBlue นี้ต่อสาธารณะในปี 2017 และต่อมามีการเปิดตัวแพตช์ของ Microsoft (MS17-010) แต่ตัวภัยคุกคามยังมีอยู่ เนื่องจากผู้ใช้จำนวนมากไม่ได้อัปเดตระบบของตน
ในระหว่างการวิเคราะห์ทางเทคนิคของแคมเปญนี้ ผู้เชี่ยวชาญของแคสเปอร์สกี้สังเกตเห็นความคล้ายคลึงกับมัลแวร์ Equation ซึ่งรวมถึงตัวบ่งชี้ทางเทคนิค เช่น ลายเซ็นที่เกี่ยวข้องกับมัลแวร์ Equation ตลอดจนรูปแบบการเขียนโค้ดและหลักปฏิบัติที่คล้ายกับที่พบในมัลแวร์ StraitBizzare (SBZ) จากตัวนับการดาวน์โหลดที่แสดงโดยพื้นที่เก็บข้อมูลที่โฮสต์มัลแวร์ จำนวนเป้าหมาย StripedFly โดยประมาณเข้าถึงเหยื่อมากกว่าหนึ่งล้านรายทั่วโลก
