FBI က Emotet တိုက်ခိုက်ခံရမှုများတွင် ပါဝင်ခဲ့သော email လိပ်စာ လေးသန်းအား HIBP ထံ မျှဝေ

FBI က Emotet တိုက်ခိုက်ခံရမှုများတွင် ပါဝင်ခဲ့သော email လိပ်စာ လေးသန်းအား HIBP ထံ မျှဝေ

Emotet botnet က စုစည်းကာ အဖျက်အမှောင့်လုပ်ငန်းလှုပ်ရှားမှုတွင် အသုံးချခဲ့သည့် အီးမေးလ်လိပ်စာ လေးသန်းကို FBI က Have I Been Pwned ဝန်ဆောင်မှုထံ မျှဝေလိုက်သည်။

ဥရောပတရားဥပဒေစိုးမိုးရေးသည် နာမည်ဆိုးဖြင့် ကျော်ကြားသော Emotet အမည်ရသော Windows အဖျက်အမှောင့် ဆော့ဝဲလ် တိုက်ခိုက်ခံရသည့် ကွန်ပျူတာများအား အစုလိုက်အပြုံလိုက် သန့်စင်ဖယ်ရှားခြင်း ပြုလုပ်ရန် ရည်ရွယ်ချက်ဖြင့် စစ်ဆင်ရေးတစ်ရပ်ကို လွန်ခဲ့သော သီတင်းပတ်က ဆောင်ရွက်ခဲ့သည်။ တာဝန်ရှိသူများသည် အလုံးအရင်း သန့်စင်ဖယ်ရှားခြင်း စစ်ဆင်ရေးတစ်ရပ်၏ တစ်စိတ်တစ်ဒေသ အနေဖြင့် နာမည်ဆိုးဖြင့် ကျော်ကြားသော Emotet အဖျက်အမှောင့် ဆော့ဝဲလ်ကို ကမ္ဘာတစ်ဝှမ်းရှိ တိုက်ခိုက်ခံရသည့်စနစ်များမှ အလိုအလျောက်ဖယ်ရှားနိုင်ခဲ့သည်။

ကမ္ဘာတစ်ဝှမ်းရှိ တရားဥပဒေစိုးမိုးရေးနှင့် တရားစီရင်ရေးဆိုင်ရာ တာဝန်ရှိသူများက Emotet botnet ကို နှောင့်ယှက်ရှင်းလင်းနိုင်မည့် “Operation Ladybird”ဟု အမည်ရသော ပူးပေါင်းစစ်ဆင်ရေးတစ်ရပ်ကို ယခုနှစ်အစောပိုင်းက ဆောင်ရွက်ခဲ့ကြသည်။ ထိုအချိန်တွင် စုံစမ်းစစ်ဆေးရေးမှူးများက ၎င်း၏ အခြေခံအဆောက်အအုံကို အပြည်ပြည်ဆိုင်ရာ ညှိနှိုင်းလှုပ်ရှားမှုဖြင့် ထိန်းချုပ်နိုင်ခဲ့ကြသည်။

အဆိုပါစစ်ဆင်ရေးသည် Europol နှင့် Eurojust တို့က ညှိနှိုင်းဆောင်ရွက်ခဲ့ကြသည့် အပြည်ပြည်ဆိုင်ရာ လှုပ်ရှားမှုနှင့်အတူ နယ်သာလန်၊ ဂျာမနီ၊ အမေရိကန်၊ ဗြိတိန်၊ ပြင်သစ်၊ လစ်သူယေးနီးယား၊ ကနေဒါနှင့် ယူကရိန်းနိုင်ငံများရှိ အာဏာပိုင်များအကြား ပူးပေါင်းဆောင်ရွက်မှုရလဒ်ပင် ဖြစ်သည်။

တရားဥပဒေစိုးမိုးရေးအေဂျင်စီသည် Emotet botnet ၏ အခြေခံအဆောက်အဦ၏ အစိတ်အပိုင်းအဖြစ် အသုံးချခဲ့သော အနည်းဆုံးဆာဗာပေါင်း (၇၀၀)ကို ပြန်လည်ရယူနိုင်ခဲ့သည်။ Emotet လုပ်ဆောင်သူများ က ၎င်းတို့၏ အဖျက်အမှောင့်လှုပ်ရှားမှုတွင် အသုံးချခဲ့သော အီးမေးလ်လိပ်စာများကို သန့်ရှင်းဖယ်ရှားမှု စစ်ဆင်ရေး တစ်စိတ်တစ်ဒေသအနေဖြင့် FBI က စုစည်းခဲ့သည်။ ယခုအခါတွင် FBI သည် ဒတ်ချ် အမျိုးသား အဆင့်မြင့်နည်းပညာမူခင်းဌာန (NHTCU) နှင့် ပူးပေါင်းကာ HIBP ထံသို့ Emotet botnet က စုစည်းထားပြီး၊ အဖျက်အမှောင့်လုပ်ရပ်များတွင် အသုံးချခံနေရသည့် ၄,၃၂၄,၇၇၀ ရှိ အီးမေးလ်လိပ်စာများကို မျှဝေခဲ့သည်။ Emotet လုပ်ဆောင်သူများ၏ ထိန်းချုပ်အသုံးချခံရမှု ရှိ၊မရှိကို အသုံးပြုသူများက ၎င်းတို့လိပ်စာများကို စစ်ဆေးနိုင်ရန် ရည်ရွယ်ခြင်းဖြစ်သည်။

“ထိန်းချုပ်ရယူပြီးနောက်မှာ Emotet တိုက်ခိုက်ခံရတဲ့ ထိခိုက်သူ တစ်ဦးချင်းနဲ့ကုမ္ပဏီတွေရဲ့ account တွေဆီကို သတိပေးနိုင်မယ့်နည်းလမ်းတစ်ခုဖြစ်စေမလားလို့ FBI က Have I Been Pwned (HIBP) ကို ဆက်သွယ်မေးမြန်းလာခဲ့ပါတယ်။ ဒါဟာ ရာဇဝတ်ဆိုင်ရာ အမှုပေါ်ထွက်လာရေး လှုပ်ရှားမှုများမှာ တရားဥပဒေစိုးမိုးရေးအဖွဲ့က HIBP ကို ပထမဆုံး အသုံးပြုခြင်းတော့မဟုတ်ပါဘူး။ အက်စတိုးနီးယား ဗဟိုရဲဌာနက ဒီလိုမျိုးတူညီတဲ့ရည်ရွယ်ချက်မျိုးနဲ့ပဲ ရှေ့နှစ်အနည်းငယ်တုန်းက အသုံးပြုခဲ့ပါသေးတယ်” ဟု HIBP က ထုတ်ဝေတင်ပြထားခဲ့တဲ့ post ကို ဖတ်ပြပါတယ်။

“နိုင်ငံပေါင်းများစွာနဲ့ Domain များစွာထိ ကျယ်ကျယ်ပြန့်ပြန့်ပါဝင်မှုရှိတဲ့ စုစုပေါင်း ၄,၃၂၄,၇၇၀ ရှိတဲ့ အီးမေးလ်လိပ်စာတွေကို ပေးအပ်ခဲ့ပါတယ်။ ဒီလိပ်စာတွေဟာ တကယ်တော့ အေဂျင်စီက ထိန်းချုပ် ရယူချိန်မှာ ရရှိခဲ့တဲ့ သီးခြားအချက်အလက်နှစ်မျိုးကို အခြေခံထားတာပဲဖြစ်ပါတယ် -

၁။ အတိုက်ခိုက်ခံရသူရဲ့ အီးမေးလ်ဝန်ဆောင်မှုပေးသူ(Mail Provider) ကတစ်ဆင့် Spam မေးလ် ပေးပို့ဖို့ Emotet က သိမ်းဆည်းထားတဲ့ အီးမေးလ်အထောက်အထားများ၊

၂။ Login တွေ မကြာခဏဝင်ရတာသက်သာစေဖို့ Browser တွေမှာ သိမ်းထားလေ့ရှိတဲ့ web credentials တွေကို စုစည်းသိမ်းယူခြင်းများ။

တရားဥပဒေစိုးမိုးရေးမှ ပေးပို့သော အီးမေးလ်လိပ်စာများ၏ ၃၉ ရာခိုင်နှုန်းမှာ HIBP ဝန်ဆောင်မှုက ညွှန်းဆိုပြထားပြီးဖြစ်သည်။ အကြောင်းမှာ အခြားအချက်အလက်ပေါက်ကြားမှုများ၏ အစိတ်အပိုင်း ဖြစ်နေခြင်းကြောင့်ပင် ဖြစ်သည်။

Emotet လှုပ်ရှားမှုများတွင် ၎င်းတို့၏ အီးမေးလ်လိပ်စာများ ပါဝင်လာပါက HIBP ဝန်ဆောင်မှုတွင် စာရင်းပေးသွင်းထားသူများထံ အကြောင်းကြားပေးပြီးဖြစ်သည်။

“HIBP မှာ ဒီတိုက်ခိုက်ခံရမှုကို “sensitive” လို့ ကျွန်တော် အချက်ပြလိုက်တယ်။ ဆိုလိုတာက လူတိုင်း ရှာတွေနိုင်မှာမျိုး မဟုတ်ပေမယ့် တစ်ယောက်ချင်းစီကတော့ သူတို့ထိခိုက်ဆုံးရှုံးမှုရှိ-မရှိကို သတိပေး ကြေညာချက်ဝန်ဆောင်မှု ကဖြစ်ဖြစ်၊ Domain ရှာဖွေမှု ပြုလုပ်ပြီးဖြစ်ဖြစ် ဒီလိပ်စာရဲ့ ထိန်းချုပ်နိုင်မှုကို အတည်ပြုဖို့လိုပါတယ်။ ဒီဆောင်ရွက်ချက်ကို ပြုလုပ်ရခြင်းကတော့ Emotet မှာ ပါဝင် အသုံးချခံရနိုင်မယ့် ပစ်မှတ်အဖြစ်ကနေ လူတိုင်းကို ရှောင်ရှားစေနိုင်အောင်ပါ။ ထိခိုက်ခံခဲ့ရတဲ့ HIBP စာရင်းပေးသွင်းထားသူအားလုံးကို သတိပေး ကြေညာချက်တွေ ပေးပို့ထားပြီးဖြစ်ပါတယ်” ဟု Hunt က နိဂုံးချုပ်ပြောကြားလိုက်သည်။

အောက်တိုဘာ ၂၀၂၀ တွင် အီတာလီ ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီ TG Soft က Have I Been Emotet ဟုခေါ်သည့် ဝန်ဆောင်မှုအသစ်တစ်ခုကို စတင်လိုက်သည်။ အဆိုပါဝန်ဆောင်မှုက အသုံးပြုသူများနှင့် အဖွဲ့အစည်းများကို ဒိုမိန်း သို့မဟုတ် အီးမေးလ်လိပ်စာများမှာ Emotet Spam လှုပ်ရှားမှုတွင် ပါဝင်မှု၊ ပစ်မှတ်ထားခံရမှုရှိ-မရှိ စစ်ဆေးရန် ခွင့်ပြုပေးသည်။

TG Soft က ဩဂုတ်လနှင့် စက်တင်ဘာလ ၂၃ရက် ၂၀၂၀ ပြည့်နှစ်အတွင်းရှိ Emotet Spam အီးမေးလ် ပို့လွှတ်မှုများကို စောင့်ကြည့်ခဲ့ပြီးဖြစ်သည်။ ကျွမ်းကျင်သူများက ၂.၁ သန်းရှိ အီးမေးလ်လိပ်စာများကို စုစည်းပြီး ခုနှစ်သိန်းမကသော အထွက်အီးမေးလ်များကို စိစစ်လေ့လာခဲ့သည်။

ဝန်ဆောင်မှုကို အသုံးပြုရာမှာ အလွန်လွယ်ကူသည်။ အသုံးပြုသူမှ ဒိုမိန်း သို့မဟုတ် အီးမေးလ်လိပ်စာတစ်ခုကို ပေးရရုံသာဖြစ်ပြီး၊ ရလဒ်အနေဖြင့် ပေးပို့ခဲ့သော အီးမေးလ် သို့မဟုတ် ဒိုမိန်းကို အီးမေးလ် ပေးပို့သူအဖြစ် သို့မဟုတ် လက်ခံသူအဖြစ် အကြိမ်မည်မျှ အသုံးချခံရကြောင်း ဝန်ဆောင်မှုမှ အစီရင်ခံပေးပို့လိမ့်မည် ဖြစ်သည်။

Have I Been Emotet ဝန်ဆောင်မှုတွင် မေးမြန်းခြင်းဖြင့် အီးမေးလ်လိပ်စာ သို့မဟုတ် ဒိုမိန်းကို ပေးပို့သူအဖြစ်ဖြစ်စေ(အတု သို့ အစစ်)၊ လက်ခံသူအဖြစ် ဖြစ်စေ၊ သုံးမျိုးပေါင်းစပ်မှုဖြင့်ဖြစ်စေ သတ်မှတ်နိုင်သည်။ “ပေးပို့သူအစစ်”က ၎င်းအီးမေးလ်အကောင့် အသုံးပြုနေသော ကွန်ပျူတာသည် အသုံးချထိန်းချုပ်ခံနေရပြီး၊ Spam messages များ ပေးပို့နေသည်ဟု အကြံပြုသည်။ “ပေးပို့သူ အတု”သည် အသုံးပြုသူပေးပို့လိုက်သော အီးမေးလ်လိပ်စာသည် အသုံးချထိန်းချုပ်ခံနေရပြီး၊ Spam လှုပ်ရှားမှုတွင် အသုံးပြုခံရနေသည်ဟု ဖော်ပြသည်။ “လက်ခံသူ”က အသုံးပြုသူပေးပို့လိုက်သော အီးမေးလ်လိပ်စာသည် Emotet Spam အီးမေးလ်၏ လက်ခံသူဖြစ်သည်ဟု ဖော်ပြသည်။ အီးမေးလ် လိပ်စာ သို့မဟုတ် ဒိုမိန်းသည် လက်ခံသူအဖြစ် အသုံးပြုခြင်းခံရသည့်အနေအထားတွင် ရှိနေခြင်းသည် အသုံးပြုသူ၏ အဖွဲ့အစည်းအား တိုက်ခိုက်ခံထားရသည်ဟု ဆိုလိုခြင်းမဟုတ်သည်ကို သတိပြုသင့်သည်။

လက်ခံသူအနေဖြင့် Spam အီးမေးလ်တွင် အသုံးပြုထားသော ပူးတွဲဖိုင်ကို ဖွင့်ကာ Macros ကို အလုပ်လုပ်စေခဲ့ပါက တိုက်ခိုက်ခံရမှုရှိနိုင်သည်။

ဒိုမိန်းတစ်ခုသည် “ပေးပို့သူအစစ်”ဟု သတ်မှတ်ခံရပါက အသုံးပြုထိန်းချုပ်ခံရမှုရှိမရှိ စစ်ဆေးရန် အကြံပြုပါသည်။

...

"FBI shares with HIBP 4 million email addresses involved in Emotet attacks" ကို "အေးမြတ်သန္တာ" ဘာသာပြန်ဆိုသည်။