ហេគឃ័រផ្នែកហិរញ្ញវត្ថុបានដាក់ពង្រាយមេរោគ rootkit នៅលើប្រព័ន្ធ Oracle Solaris system ក្នុងបំណងផ្លាស់ប្តូរបណ្តាញ Automatic Teller Machine (ATM) ដែលកំពុងតែសម្របសម្រួល និងលួចដកប្រាក់នៅធនាគារផ្សេងដោយប្រើកាតក្លែងក្លាយ។
ក្រុមយកការណ៍ និងក្រុមហ៊ុនរងគ្រោះ Mandiant កំពុងតែតាមដាន cluster ដែលមានឈ្មោះថា UNC2891 ជាមួយនឹងក្រុមបច្ចេកទេស និងកំពុងតែចែករំលែក overlap ជាមួយនឹង cluster ដែលមានឈ្មោះថា UNC1945។
ការឈ្លានពានធ្វើឡើងដោយហេគឃ័រដែលមានការគំរាមកំហែងខ្លាំង និងលើកកម្ពស់ទាំងមេរោគ malware រដ្ឋ និងឯកជន, utilities, and scripts ដើម្បីលុបភស្តុតាង និងលាក់ការឆ្លើយតប បើយោងតាមសំដីអ្នកស្រាវជ្រាវនៅ Mandiant ផ្តល់របាយការណ៍នៅសប្តាហ៍នេះ។
រឿងដែលគួរឱ្យបារម្ភនោះគឺ ការវាយប្រហារដំណើរការច្រើនឆ្នាំមកហើយ ដោយសារតែគ្មាននរណារកឃើញ rootkit ដែលមានឈ្មោះថា CAKETAP នោះ វាត្រូវបានបង្កើតឡើងលាក់ការភ្ជាប់បណ្តាញ ការដំណើរការ និងឯកសារ។
Mandiant អាចរកឃើញទិន្នន័យរបស់ជនរងគ្រោះម្នាក់ដែលត្រូវបានគេប្តូរម៉ាស៊ីនមេ ATM គួរកត់សម្គាល់ផងដែរថា អញ្ញត្តិ kernel rootkit មានលក្ខណៈពិសេសអាចស្ទាក់ចាប់កាត និង រក្សាទុកសារបញ្ជាក់ (PIN verification messages) និងប្រើទិន្នន័យដែលបានលួច ដើម្បីដកប្រាក់ពីទូ ATM ។
ហេគឃ័រក៏បានប្រើទ្វារក្រោយពីរដែលគេស្គាល់ថាជា SLAPSTICK និង TINYSHELL ទ្វារទាំង២នេះស្គាល់ UNC1945 និងធ្វើការជាប់លាប់ទៅកាន់ប្រព័ន្ធរងការប្រហារ ក៏ដូចជា ប្រតិបត្តិការ shell និងបញ្ជូនឯកសារតាមរយៈ rlogin, telnet, ឬក៏ SSH ផងដែរ។
អ្នកស្រាវជ្រាវក៏បានចង្អុលបង្ហាញថា៖ “នៅក្នុងក្រុមគ្រួសារដែលមានប្រព័ន្ធមូលដ្ឋាន Unix and Linux នោះ គួរដឹងថា UNC2891 ឬមានឈ្មោះថា TINYSHELL backdoors មានសមត្ថភាពលាក់បាំង ដែលមើលរំលងដោយអ្នកស៊ើបអង្កេត ដូចជាប្រព័ន្ធ SYSTEMD, name service cache daemon (NCSD) និង Linux at daemon (ATD)”។
UNC2891 ប្រើជំនាញ និងបទពិសោធរបស់វា ដើម្បីគេចចេញពីការតាមដានរបស់ Unix និង Linux environment បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។ “នៅពេលដែល overlaps រវាង UNC2891 និង UNC1945 ត្រូវបានរកឃើញនោះ វាមិនអាចសន្និដ្ឋានថាមានការឈ្លានពានដែលប្រព្រឹត្តឡើងដោយក្រុមហេគឃ័រតែមួយនោះទេ”។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែមីនា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា
