Operation Endgame ทำลายเซิร์ฟเวอร์ SocGholish ทำความสะอาดเว็บไซต์ WordPress เกือบ 15,000 ไซท์

การบังคับใช้กฎหมายไซเบอร์ระหว่างประเทศที่เรียกว่า Operation Endgame ได้ทำลายโครงสร้างพื้นฐานของมัลแวร์ SocGholish และทำความสะอาดเว็บไซต์ WordPress ที่ติดเชื้อแล้วเกือบ 15,000 เว็บไซต์ รายการนี้เป็นความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายจากเนเธอร์แลนด์, แคนาดา, เยอรมนี และสหรัฐอเมริกา ซึ่งมีเป้าหมายเพื่อขัดขวางการเข้าถึงของอาชญากรไซเบอร์ต่อระบบที่ถูกเจาะ

Overview

การดำเนินการครั้งนี้เป็นส่วนหนึ่งของความพยายามต่อเนื่องในการต่อสู้กับอาชญากรรมไซเบอร์ที่มุ่งเน้นไปที่ระบบจัดการเนื้อหา (CMS) อย่าง WordPress ซึ่งเป็นเป้าหมายหลักของกลุ่ม SocGholish มัลแวร์ชนิดนี้มักแทรกโค้ดอันตรายลงในเว็บไซต์เพื่อให้ผู้โจมตีสามารถแทรกโฆษณาอันตรายหรือส่งผู้เยี่ยมชมไปยังลิงก์ฟิชชิงได้

ตามรายงานของหน่วยงานบังคับใช้กฎหมายของเนเธอร์แลนด์ Maikel Rollman แสดงความเห็นว่า “ด้วยการกระทำเหล่านี้ เรากำจัดการเข้าถึงของอาชญากรไซเบอร์ต่อระบบคอมพิวเตอร์ที่ติดเชื้อ” การทำความสะอาดเว็บไซต์จำนวนมากเช่นนี้ช่วยลดความเสี่ยงของการกระจายมัลแวร์ต่อไปในอนาคต

Operation Details

การทำลายโครงสร้างพื้นฐานของ SocGholish เริ่มต้นจากการระบุและยุติการทำงานของเซิร์ฟเวอร์ควบคุมและการสื่อสาร (C2) ที่ใช้ในการจัดการกับเว็บไซต์ที่ติดเชื้อ ทีมงานจากแต่ละประเทศได้ทำการสแกนและบล็อกโดเมนที่เกี่ยวข้องกับแคมเปญฟิชชิงและโฆษณาอันตราย

• หน่วยงานที่ร่วมมือ: Netherlands National High Tech Crime Unit, Royal Canadian Mounted Police, Federal Criminal Police Office (Germany), Federal Bureau of Investigation (U.S.)
• จำนวนเว็บไซต์ที่ทำความสะอาด: 14,971
• ระยะเวลาการดำเนินการ: ประมาณ 3 เดือนตั้งแต่การระบุเครือข่ายแรกจนถึงการปิดตัวทั้งหมด

การทำความสะอาดทำผ่านเครื่องมืออัตโนมัติที่ตรวจจับโค้ดอันตรายในไฟล์ธีมและปลั๊กอินของ WordPress จากนั้นทำการลบหรือกักเก็บไฟล์ที่เป็นอันตรายและคืนค่าการตั้งค่าเดิมของเว็บไซต์

Technical Background

SocGholish เป็นมัลแวร์ที่อาศัยช่องโหว่ในปลั๊กอินหรือธีมของ WordPress เพื่อแทรกสคริปต์อันตรายเข้าสู่หน้าเว็บของผู้เยี่ยมชม สคริปต์เหล่านี้มักทำหน้าที่แสดงโฆษณาแบบป๊อปอัพหรือเปลี่ยนเส้นทางไปยังหน้าเว็บฟิชชิงที่อาจขโมยข้อมูลส่วนบุคคลของผู้ใช้

มักใช้เทคนิค “อัปเดตปลั๊กอินปลอม” ซึ่งทำให้ผู้ดูแลระบบคิดว่าต้องอัปเดตส่วนขยายเพื่อรักษาความปลอดภัย แต่จริง ๆ แล้วเป็นการดาวน์โหลดไฟล์ที่มีโค้ดอันตรายเข้ามา การกระจายของ SocGholish จึงเป็นผลมาจากการที่ผู้ดูแลระบบไม่อัปเดตปลั๊กอินจากแหล่งที่เชื่อถือได้หรือไม่ตรวจสอบแหล่งที่มาของไฟล์อัปเดต

Impact on WordPress Ecosystem

การที่ Operation Endgame ทำความสะอาดเกือบ 15,000 เว็บไซต์ถือเป็นการลดภาระความเสี่ยงที่อาจส่งผลต่อผู้ใช้ WordPress จำนวนมหาศาล เนื่องจาก WordPress รองรับประมาณ 40 % ของเว็บไซต์ทั่วโลก การแพร่กระจายของมัลแวร์เช่น SocGholish มีศักยภาพทำให้ผู้ใช้ทั่วไปและธุรกิจขนาดเล็กต้องเผชิญกับการสูญเสียข้อมูลหรือค่าใช้จ่ายในการกู้คืน

การกระทำดังกล่าวยังส่งสัญญาณเตือนต่อผู้พัฒนาและผู้ดูแลระบบว่าการอัปเดตและตรวจสอบปลั๊กอินอย่างสม่ำเสมอเป็นสิ่งจำเป็น นอกจากนี้ยังเป็นการสนับสนุนให้ผู้ให้บริการโฮสติ้งเพิ่มมาตรการตรวจจับและบล็อกโค้ดอันตรายโดยอัตโนมัติ

International Cooperation

ความสำเร็จของ Operation Endgame แสดงให้เห็นว่าการทำงานร่วมกันระหว่างหน่วยงานบังคับใช้กฎหมายหลายประเทศสามารถเพิ่มประสิทธิภาพในการต่อสู้กับอาชญากรรมไซเบอร์ได้อย่างมีนัยสำคัญ การแลกเปลี่ยนข้อมูลเชิงลึกเกี่ยวกับโครงสร้างพื้นฐานของมิจฉาชีพและการใช้เครื่องมือวิเคราะห์ร่วมกันทำให้การระบุตัวตนของเซิร์ฟเวอร์ C2 ทำได้รวดเร็วและแม่นยำ

การร่วมมือดังกล่าวยังเป็นตัวอย่างให้กับความพยายามระดับภูมิภาคในอนาคต ทั้งในด้านการจัดทำกฎระเบียบด้านความปลอดภัยไซเบอร์และการพัฒนากระบวนการตอบโต้ที่สอดคล้องกัน ซึ่งอาจช่วยลดช่องโหว่ที่อาชญากรไซเบอร์ใช้ในการเจาะระบบได้

Summary

Operation Endgame ได้ทำลายโครงสร้างพื้นฐานของมัลแวร์ SocGholish และทำความสะอาดเว็บไซต์ WordPress ที่ติดเชื้อแล้วเกือบ 15,000 รายการ การดำเนินการนี้เป็นผลมาจากความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมายจากหลายประเทศและเป็นการลดความเสี่ยงต่อระบบ CMS ที่เป็นหัวใจของเว็บทั่วโลก.