กองกำลังเฉพาะกิจระดับโลกรื้อเครือข่ายไซเบอร์ที่ซ่อนอยู่ซึ่งขโมยเราเตอร์มากกว่า 369,000 ตัว

การดำเนินการร่วมกันที่เกี่ยวข้องกับหน่วยงานด้านความปลอดภัยหลายแห่งทั่วโลกสิ้นสุดลงด้วยการทำลายโครงสร้างพื้นฐานดิจิทัลขนาดใหญ่ที่ใช้ในการปกปิดกิจกรรมที่ผิดกฎหมายบนอินเทอร์เน็ต การแทรกแซงของตำรวจได้ปิดการใช้งานระบบที่ซับซ้อนซึ่งเข้าควบคุมอุปกรณ์เชื่อมต่ออินเทอร์เน็ตนับแสนเครื่องของผู้ใช้ตามบ้านและสำนักงานขนาดเล็ก อาชญากรใช้เครือข่ายคู่ขนานนี้เพื่อดำเนินการบุกรุกธนาคาร การฉ้อโกงในระบบสกุลเงินดิจิทัล และการยักยอกเงินของรัฐบาล สร้างความสูญเสียครั้งใหญ่ให้กับเศรษฐกิจโลก

การสืบสวนพบว่าโครงการดังกล่าวดำเนินการภายใต้หน้ากากของบริการพร็อกซีแบบชำระเงิน โดยเสนอการไม่เปิดเผยตัวตนโดยสิ้นเชิงแก่ผู้ประสงค์ร้ายที่ต้องการปกปิดเส้นทางออนไลน์ของพวกเขา ระบบเปลี่ยนเส้นทางการรับส่งข้อมูลผ่านอุปกรณ์ที่ติดไวรัส ทำให้การกระทำทางอาญาดูเหมือนว่ามีต้นกำเนิดมาจากบ้านทั่วไปและหลบเลี่ยงระบบตรวจจับการฉ้อโกง

ขนาดของปฏิบัติการสะท้อนให้เห็นถึงความรุนแรงของภัยคุกคามที่เป็นกลาง ซึ่งส่งผลกระทบต่อประชาชนในระดับสากล และเคลื่อนย้ายเงินหลายล้านดอลลาร์ในโครงการกรรโชกทรัพย์ การขโมยข้อมูลประจำตัว และการสกัดกั้นข้อมูลที่เป็นความลับ

รายละเอียดของโครงสร้างพื้นฐานทางอาญาและบริการที่ผิดกฎหมาย

การทำแผนที่ทางเทคนิคของเครือข่ายที่ถูกรื้อออกเผยให้เห็นการบุกรุกของอุปกรณ์มากกว่า 369,000 เครื่องที่กระจายอยู่ใน 163 ประเทศ กลายเป็นเว็บที่ใหญ่ที่สุดแห่งหนึ่งในการปกปิดตัวตนอย่างผิดกฎหมายเท่าที่เคยมีการบันทึกโดยทางการ แพลตฟอร์มดังกล่าวทำหน้าที่เป็นตลาดใต้ดินอย่างแท้จริง ซึ่งผู้ประสงค์ร้ายเช่าการเข้าถึงที่อยู่ IP ของเหยื่อเป็นการชั่วคราว รูปแบบธุรกิจทางอาญานี้เปลี่ยนอุปกรณ์ที่ถูกกฎหมายให้เป็นเครื่องมือโจมตีโดยที่เจ้าของไม่ทราบ ซึ่งยังคงชำระค่าบริการอินเทอร์เน็ตต่อไปตามปกติในขณะที่การรับส่งข้อมูลที่ผิดกฎหมายไหลอยู่เบื้องหลัง

อาชญากรรมที่หลากหลายที่เกิดจากโครงสร้างนี้สร้างความประทับใจแก่ผู้ตรวจสอบและผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องกับคณะทำงานเฉพาะกิจ ในบรรดากิจกรรมหลักที่ตรวจพบ มีดังต่อไปนี้:

– แรนซัมแวร์โจมตีโดยกำหนดเป้าหมายไปที่บริษัทและโรงพยาบาล โดยเรียกร้องให้จ่ายเงินเป็นเศรษฐีสำหรับการเปิดตัวระบบที่ถูกแย่งชิง

– โอเวอร์โหลดเซิร์ฟเวอร์ภาครัฐและเอกชนผ่านการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย โดยให้บริการที่จำเป็นสำหรับประชากรแบบออฟไลน์

– การกระจายเนื้อหาจำนวนมากที่มีการละเมิดและการแสวงหาผลประโยชน์ โดยใช้ประโยชน์จากการไม่เปิดเผยตัวตนที่รับประกันโดยเครือข่ายพร็อกซี

– การส่งแบบฟอร์มการฉ้อโกงจำนวนมากเพื่อรับผลประโยชน์ทางสังคมและการประกันการว่างงานอย่างไม่เหมาะสม

ความซับซ้อนของบริการนี้รวมถึงแผงควบคุมที่ใช้งานง่ายสำหรับลูกค้าเครือข่ายอาชญากร ช่วยให้พวกเขาสามารถเลือกตำแหน่งทางภูมิศาสตร์เฉพาะสำหรับกำหนดเส้นทางการรับส่งข้อมูลที่เป็นอันตราย ฟังก์ชันการทำงานนี้มีความสำคัญอย่างยิ่งในการหลีกเลี่ยงการบล็อกระดับภูมิภาคและระบบป้องกันการฉ้อโกงที่สถาบันการเงินนำไปใช้ ด้วยการจำลองการเข้าถึงจากที่อยู่อาศัยที่เชื่อถือได้ ผู้โจมตีสามารถเลี่ยงการป้องกันแบบดั้งเดิมของธนาคารและนายหน้าซื้อขายสินทรัพย์ดิจิทัล ส่งผลให้เกิดความสูญเสียทางการเงินอย่างรุนแรงสำหรับผู้เสียหายจากการโจรกรรมโดยตรง และสำหรับสถาบันที่ต้องการชดใช้จำนวนเงินที่ถูกยักยอกไป

กลไกการติดเชื้อในอุปกรณ์ในครัวเรือน

การแพร่กระจายของโค้ดที่เป็นอันตรายขึ้นอยู่กับการใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในเราเตอร์ในสำนักงานขนาดเล็กและบ้านเรือนอย่างเป็นระบบ อุปกรณ์เหล่านี้จำนวนมากได้รับการติดตั้งโดยผู้ให้บริการอินเทอร์เน็ตหรือโดยผู้ใช้เองด้วยรหัสผ่านเริ่มต้นจากโรงงาน ซึ่งแทบจะไม่มีการเปลี่ยนแปลงตลอดอายุของอุปกรณ์

ผู้ให้บริการเครือข่ายจะสแกนอินเทอร์เน็ตโดยอัตโนมัติเพื่อค้นหาอุปกรณ์ที่ไม่มีการป้องกันเหล่านี้ โดยปล่อยมัลแวร์ขั้นสูงที่สามารถควบคุมระบบปฏิบัติการของเราเตอร์ได้ เมื่อติดตั้งแล้ว ซอฟต์แวร์ที่เป็นอันตรายจะสร้างการเชื่อมต่อแบบเงียบกับเซิร์ฟเวอร์คำสั่งของอาชญากร โดยรอคำแนะนำในการเปลี่ยนเส้นทางแพ็กเก็ตข้อมูล

ผลกระทบทางการเงินและเป้าหมายลำดับความสำคัญของเครือข่าย

เอกสารที่เผยแพร่โดยหน่วยงานยุติธรรมระบุว่าการเคลื่อนไหวทางการเงินที่เชื่อมโยงกับอาชญากรรมที่กระทำผ่านโครงสร้างพื้นฐานนี้มีมูลค่าเกินกว่าล้านดอลลาร์ ความเสียหายไม่ได้จำกัดอยู่เพียงการขโมยบัญชีธนาคารโดยตรง แต่ยังรวมถึงต้นทุนในการกู้คืนระบบขององค์กรที่หยุดชะงักจากการขู่กรรโชกทางดิจิทัล

การวิเคราะห์การจราจรเผยให้เห็นการกระจุกตัวของเหยื่ออย่างมีนัยสำคัญในประเทศที่พูดภาษาอังกฤษ โดยมากกว่าครึ่งหนึ่งของอุปกรณ์ที่ติดเชื้อตั้งอยู่ในสหรัฐอเมริกาและสหราชอาณาจักร การกระจายทางภูมิศาสตร์นี้ไม่ได้ตั้งใจ เนื่องจากที่อยู่ IP ในภูมิภาคเหล่านี้มีชื่อเสียงสูงในด้านระบบรักษาความปลอดภัย ซึ่งอำนวยความสะดวกในการอนุมัติธุรกรรมที่ฉ้อโกง

บันทึกทางประวัติศาสตร์ระบุว่าเชื้อสายขององค์กรอาชญากรรมนี้เกิดขึ้นในฟอรัมลับภาษารัสเซียเมื่อกว่าทศวรรษที่แล้ว โดยพัฒนาจากบริการให้เช่าคอมพิวเตอร์ขนาดเล็กที่ติดไวรัส กลายเป็นอาณาจักรเราเตอร์ที่ถูกแย่งชิงไปทั่วโลก

การเปลี่ยนไปใช้การมุ่งเน้นไปที่อุปกรณ์เครือข่ายเกิดขึ้นเนื่องจากอุปกรณ์นี้มีลักษณะที่ไม่หยุดชะงัก ซึ่งรับประกันความพร้อมใช้งานที่มากขึ้นสำหรับลูกค้าบริการที่ผิดกฎหมายเมื่อเปรียบเทียบกับคอมพิวเตอร์ส่วนบุคคลซึ่งโดยปกติจะปิดทุกวัน

การประสานงานระหว่างหน่วยงานและภาคเทคโนโลยี

ความสำเร็จของการแทรกแซงจำเป็นต้องมีการแบ่งปันข่าวกรองในระดับที่ไม่เคยมีมาก่อนระหว่างกองกำลังตำรวจในหลายทวีปและบริษัทเอกชนที่เชี่ยวชาญด้านการติดตามภัยคุกคามทางไซเบอร์ การระบุเซิร์ฟเวอร์กลางที่จัดการเครือข่ายของเราเตอร์ซอมบี้นั้นต้องใช้เวลาหลายเดือนในการวิศวกรรมย้อนกลับโค้ดที่เป็นอันตรายและการวิเคราะห์กระแสข้อมูลที่ผู้ให้บริการโทรคมนาคมรายใหญ่

ผู้เชี่ยวชาญภาคเอกชนได้จัดเตรียมการตรวจวัดทางไกลที่จำเป็นสำหรับหน่วยงานเพื่อทำความเข้าใจโทโพโลยีของเครือข่ายอาชญากร การทำแผนที่โหนดการสื่อสาร และแผงการดูแลระบบที่ซ่อนอยู่บนเว็บมืด ความร่วมมือระหว่างภาครัฐและเอกชนนี้ได้รับการพิสูจน์แล้วว่าเป็นวิธีเดียวที่เป็นไปได้ในการเผชิญหน้ากับองค์กรที่ดำเนินงานในลักษณะกระจายอำนาจ โดยใช้โครงสร้างพื้นฐานที่กระจายไปทั่วเขตอำนาจศาลที่มีกฎหมายอินเทอร์เน็ตที่แตกต่างกันและซับซ้อน

ขั้นตอนการทำให้เป็นกลางของระบบทางเทคนิค

ขั้นตอนสุดท้ายของปฏิบัติการประกอบด้วยการประสานงานทางเทคนิคเพื่อตัดการสื่อสารระหว่างเราเตอร์ที่ติดไวรัสและเซิร์ฟเวอร์คำสั่งของอาชญากร เจ้าหน้าที่ดำเนินการค้นหาและยึดหมายจับพร้อมกันในศูนย์ข้อมูลที่ตั้งอยู่ในประเทศยุทธศาสตร์ โดยยึดอุปกรณ์ทางกายภาพที่โฮสต์ฐานข้อมูลของแพลตฟอร์มที่ผิดกฎหมาย ทันทีหลังจากการยึด โดเมนหลักที่ใช้ในการขายบริการพร็อกซีถูกหน่วยงานรักษาความปลอดภัยแย่งชิง โดยเนื้อหาถูกแทนที่ด้วยประกาศการยึดอย่างเป็นทางการ กลยุทธ์การแทรกแซงโดยตรงนี้ไม่เพียงแต่ขัดขวางกระแสการเงินขององค์กรเท่านั้น แต่ยังทำลายความไว้วางใจระหว่างผู้ปฏิบัติงานของโครงการและลูกค้าใต้ดินทางดิจิทัลอีกด้วย พร้อมกันนั้น คำสั่งปิดการใช้งานก็ถูกส่งไปเพื่อต่อต้านมัลแวร์บนอุปกรณ์ของเหยื่อ ทำให้การเชื่อมต่อที่อยู่อาศัยหลายแสนรายการหลุดจากการควบคุมทางอาญา โดยไม่ทำให้เกิดการหยุดชะงักในการจัดหาอินเทอร์เน็ตที่ถูกต้องตามกฎหมายแก่ผู้ใช้ที่ได้รับผลกระทบ

มาตรการคุ้มครองสำหรับผู้ใช้และบริษัท

การลดความเสี่ยงที่เกี่ยวข้องกับการขโมยอุปกรณ์เครือข่ายจำเป็นต้องมีจุดยืนเชิงรุกจากผู้บริโภคและผู้ดูแลระบบโครงสร้างพื้นฐาน การแทนที่ข้อมูลรับรองการเข้าถึงมาตรฐานทันทีด้วยรหัสผ่านที่ซับซ้อน รวมกับการอัปเดตเฟิร์มแวร์ที่ผู้ผลิตจัดหาเป็นระยะๆ ถือเป็นการป้องกันที่มีประสิทธิภาพสูงสุดต่อการสแกนการติดไวรัสอัตโนมัติ

ภาพรวมภัยคุกคามทางดิจิทัลที่กำลังดำเนินอยู่

การกำจัดโครงสร้างพื้นฐานเฉพาะนี้แสดงให้เห็นถึงการโจมตีอย่างรุนแรงต่ออาชญากรรมไซเบอร์ทั่วโลก ส่งผลให้การจัดหาที่อยู่ IP ที่อยู่อาศัยลดลงอย่างมากสำหรับการลวงตาโจมตี อย่างไรก็ตาม ระบบนิเวศการฉ้อโกงทางดิจิทัลมีความสามารถที่รวดเร็วในการปรับตัวและการฟื้นฟูโครงสร้าง

กลุ่มคู่แข่งมักจะพยายามดูดซับส่วนแบ่งการตลาดที่เหลือจากการดำเนินงานที่ถูกรื้อถอนโดยการพัฒนามัลแวร์ใหม่ที่เน้นไปที่อุปกรณ์ Internet of Things เช่น กล้องรักษาความปลอดภัยและเทอร์โมสตัทอัจฉริยะ ซึ่งได้รับการอัปเดตด้านความปลอดภัยที่หละหลวมเช่นกัน

การติดตามการรับส่งข้อมูลทั่วโลกอย่างต่อเนื่องและการรักษาช่องทางเปิดของความร่วมมือระหว่างประเทศยังคงเป็นกลยุทธ์พื้นฐานในการระบุและกำจัดเครือข่ายอาชญากรรุ่นต่อไปก่อนที่จะเข้าถึงสัดส่วนที่สำคัญบนเวิลด์ไวด์เว็บ