အထူးသတိပြုရမယ့် Mustang Panda ရဲ့ Malware တိုက်ခိုက်မှုများ (၁)
🇲🇲 DIGITAL COUP QUARTERLY ( August 2022 to October 2022)
February 6, 2023
အကြမ်းဖက်မှုတိုက်ဖျက်ရေးနည်းဥပဒေ ထဲက ဆက်သွယ်ရေးဆိုင်ရာ ကြားဖြတ်နားထောင်ခွင့်မူဘောင်
April 3, 2023
အထူးသတိပြုရမယ့် Mustang Panda ရဲ့ Malware တိုက်ခိုက်မှုများ (၁)
“Mustang Panda” ဆိုတဲ့ တရုတ်အခြေစိုက်ဟက်ကာအဖွဲ့က မြန် မာပြည်ကို ဘယ်လိုပစ်မှတ်ထား တိုက်ခိုက်နေသလဲဆိုတာကို အထူးသတိထားစရာအဖြစ် အခုဆောင်းပါးမှာ ဖော်ပြသွားပါမယ်။ ၂၀၂၂ ခုနှစ် ဒီဇင်ဘာလ က ထွက်ရှိခဲ့တဲ့ “Avast.io” ရဲ့ အစီရင်ခံစာနဲ့ ဒစ်ဂျစ် တယ်နည်းပညာရှင်တွေရဲ့ စစ်ဆေးတွေ့ရှိချက်တွေကို ကိုးကားပြီး လက်လှမ်းမှီသလောက် တင်ပြသွားမှာ ဖြစ်ပါ တယ်။
ဒီဆောင်းပါးဖတ်အပြီးမှာ “Mustang Panda” ဆိုတာဘာလဲ။ သူတို့ရဲ့ Malware တွေ အတိုက်အ ခိုက်ခံရရင် ဘာဖြစ်သွားနိုင်သလဲ။ ကိုယ့်နဲ့ ဘယ်လောက်နီးနေပြီလဲ။ ဘယ်လိုကာကွယ်လို့ရနိုင်မလဲ ဆိုတာတွေ သိရှိ မှန်းဆ ကာကွယ်လို့ ရနိုင်ဖို့ ရည်ရွယ်ပါတယ်။
“Mustang Panda” နဲ့ပတ်သက်လို့ “Google” ခေါက်လိုက်လို့ရှိရင် ရီပို့တွေ အများကြီး တွေ့ရပါလိမ့် မယ်။ ဒီအဖွဲ့ကို တရုတ်နိုင်ငံက “APT (Advance Persistant Threat)”လို့ ခေါ်ကြပါတယ်။ ၂၀၁၂ ခုနှစ် လောက်ကတည်းက စတင်လှုပ်ရှားနေတာဖြစ်ပြီးတော့ အစောပိုင်းမှာ မွန်ဂိုလီးယားကို ပစ်မှတ်ထားတိုက်ခိုက် တယ်။ ဒါပေမယ့် လတ်တလော ၂၀၂၂ ခုနှစ်အတွင်းမှာ ၄င်းတို့ရဲ့ ပစ်မှတ်တွေက အာရှဘက်လှည့်လာတယ်။ မြန်မာနိုင်ငံကလည်း သူတို့ရဲ့ ပစ်မှတ်ထဲမှာ ပါလာလို့ ဒါကို ရေးကြီးခွင်ကျယ်လုပ် ပြောနေရခြင်း ဖြစ်ပါတယ်။ တက်ကြွလှုပ်ရှားသူတွေကို “Mustang Panda” က “malware” တွေ ပို့နေတာကို MIP အ နေနဲ့လည်း လက်တွေ့ စုံစမ်းချက်များအရ သိရှိထားပါတယ်။
လတ်တလော ၂၀၂၃ ခုနှစ် မတ်လအတွင်းမှာ KNU အယောင်ဆောင် knu_2023@protonmail.com ဆိုတဲ့ အီးမေးလ်နဲ့ “Invitation Letter to NUG-CRPH-NLD.zip” အမည်ရှိ ပူးတွဲဖိုင်ကို မြန်မာနိုင်ငံက ဒီမို ကရေစီရေလှုပ်ရှားသူတွေဆီ ဖြန့်နေတာ တွေ့ရပါတယ်။ အခြားအီးမေးလ်အတုတွေနဲ့ ဖြန့် နေတာတွေလည်း ရှိတယ်လို့ သိရပါတယ်။ ဆိုတော့ အဲ့ဒီ Zip ဖိုင်ကို ဖြည်လိုက်လို့ရှိရင် အထဲမှာ .dll ဖိုင်တစ်ဖိုင် နဲ့ .exe ဖိုင်တစ်ခု ပါရှိပါတယ်။ .exe ဖိုင်ကို Virus Total ဝက်ဆိုက်မှာ စစ်ကြည့်လိုက်တဲ့အခါမှာ ဒီဖိုင်တွေက 123.253.35[.]231 ဆိုတဲ့ IP Address ကနေလာတာဖြစ်ပါတယ်။ ပြီးတော့ အဲဒီဆာဗာထဲမှာ – စာရေးသူတို့ ရရှိထားတဲ့ Malware တွေအပြင် မြန်မာပြည်က CSO တွေကို ပစ်မှတ်ထားတိုက်ခိုက်ဖို့ ရည်ရွယ်ထားတဲ့ အ ခြား Malware တွေပါ ရှိနေပြီး “Burma Files” ဆိုတဲ့ Folder တစ်ခုကနေလာတယ်ဆိုတာကို တွေ့ရပါ တယ်။
(ပုံ – ၁) Burma Files အမည်ရှိ Folder
နောက်ပြီး ဒါဟာ “Mustang Panda” အဖွဲ့နဲ့ပတ်သက်နေတဲ့ လုပ်ဆောင်ချက်ဖြစ်ကြောင်းကိုလည်း အတည်ပြု လို့ ရခဲ့ပါတယ်။
(ပုံ – ၂) YARA tools ဖြင့် စစ်ဆေးချက်အရ Mustang Panda ၏ လုပ်ဆောင်ချက်ဖြစ်ကြောင်းတွေ့ရပုံ
၄င်းတို့ရဲ့ Malware တွေကို နှိပ်မိရင်၊ အထူးသဖြင့် .exe ဖိုင်ကို install လုပ်မိရင် ဘာဖြစ်မလဲဆိုတော့၊ “Mustang Panda” ရဲ့ “malware တွေက များသောအားဖြင့် သူတည်ရှိနေတဲ့ Device ကို အန္တရာယ်မပေးပဲ Remote Access Trojan (RAT) လို့ခေါ်တဲ့ Device ထဲက ဒေတာတွေကို ၄င်းတို့ရဲ့ ဆာဗာကို အချိန်နဲ့ တပြေး ညီပေးပို့တဲ့ Backdoor (ဒေတာမလွယ်ပေါက်)တွေ တည်ဆောက်ပါတယ်။ ပြီးတော့ ရသမျှဒေတာကို ဆာဗာ ဆီပို့ပေးတာ ဖြစ်ပါတယ်။ ဒါကြောင့် ကိုယ့်စက်ထဲမှာ အဲ့ဒီ Malware ရောက်နေပြီဆိုရင် ကိုယ်လုပ်သမျှ ပြော သမျှ အကုန်လုံးဟာ သူတို့ဆာဗာဆီကို ရောက်နေမှာပဲ ဖြစ်ပါတယ်။
မြန်မာပြည်က ဘယ်သူတွေကို ပစ်မှတ်ထားတိုက်ခိုက်တာလဲဆိုတော့ – စစ်ကောင်စီအပါအဝင် အ တိုက်အခံအဖွဲ့အစည်းတွေ၊ မြန်မာနိုင်ငံရေးနဲ့ပတ်သက်တဲ့ အဖွဲ့အစည်းတော်တော်များများကို ပစ်မှတ်ထား တာ တွေ့ရပါတယ်။ စစ်ကောင်စီရဲ့ ဝန်ကြီးဌာနတွေနဲ့ နိုင်ငံတော်စီမံအုပ်ချုပ်ရေးကောင်စီရုံးကိုတောင်မှ ပစ်မှတ် ထား တိုက်ခိုက်တာ တွေ့ရပါတယ်။ အံ့သြစရာကောင်းတာက မြန်မာနိုင်ငံရဲတပ်ဖွဲ့တို့ အထူးစုံစမ်းစစ်ဆေးရေး အဖွဲ့တို့ပါ တိုက်ခိုက်ခံရတဲ့အထဲမှာ ပါနေတာပါပဲ။ စစ်တပ်ကိုလည်း မချန်ပါဘူး။ လေတပ်ဌာနချုပ် တပ်မ တော်ထောက်ပို့အစရှိတဲ့ စစ်တပ်အဖွဲ့အစည်းတွေကိုလည်း တိုက်ခိုက်ခဲ့တာကို တွေ့ရတယ်လို့ Avast ရဲ့ အစီရင်ခံစာက ဆိုပါတယ်။
နောက်ပြီး အဲဒီ အစီရင်ခံစာထဲမှာပဲ နိုင်ငံရေးဆိုင်ရာအဖွဲ့အစည်းတွေနဲ့ အတိုက်အခံအင်အားစုတွေကိုပါ သူတို့ရဲ့ ပစ်မှတ်ထဲမှာ ပါနေတယ်လို့ တင်ပြထားပါတယ်။ ဝပြည်သွေး စည်းညီညွတ်ရေးတပ်မတော်(United Wa State Army, UWSA)၊ ကရင်အမျိုးသားအစည်းအရုံး(Karen National Union, KNU)၊ ကွဲပြားခြားနားမှုနှင့် အမျိုးသားရေး သယံဇာတဖြစ်မှုဆိုင်ရာ လေ့လာရေးအဖွဲ့(Center for Diversity and National Harmony, CDNH)၊ အမျိုးသားပြန်လည်သင့်မြတ်ရေးနှင့် ငြိမ်းချမ်းရေးဗဟိုဌာန(National Reconciliation and Peace Centre, NRPC)နဲ့ တိုင်းရင်းသားလူမျိုးများရေးရာစင်တာ(Ethnic National Affairs Center)တို့လည်း တိုက်ခိုက်ခံခဲ့ရပါတယ်။
ဘယ်လိုမျိုး ဒေတာတွေ တွေ့ရသလဲဆိုတော့ – များသောအားဖြင့် Microsoft Office documents တွေ (Doc ၊ Excel ၊ Presentation ဖိုင် အစရှိတဲ့ စာရွက်စာတမ်းတွေ)နဲ့ PDF FIle တွေ Plain Text ဖိုင်တွေများ ပါတယ်။ အသံသွင်းထားတဲ့ MP3 ဖိုင်တွေ၊ ပုံတွေ (.jpg ၊.png )နဲ့ အီးမေးလ်အသွားအလာ ဖိုင်တွေပါ အဟက် ခံခဲ့ရတာကို တွေ့ရပါတယ်။ ဒါ့အပြင် Chrome, Firefox, Opera အစရှိတဲ့ Web Browser တွေကနေလည်း အသုံးပြုထားတဲ့ browsing history၊ Browser မှာ သိမ်းထားတဲ့ Password၊ အလိုအလျောက်ဖြည့်တဲ့ ဒေတာ တွေ(Autofill Data)စတဲ့ ဒေတာတွေ၊ Credit Card နံပါတ်တွေ၊ တိုကင်တွေနဲ့ ကွတ်ကီးတွေပါ ရယူထား တာကို တွေ့ရပါတယ်။ အဲ့ဒီဒေတာတွေကို အသုံးချပြီးတော့ တိုက်ခိုက်သူတွေက အတိုက်ခံရသူတွေရဲ့ အီး မေးလ်၊ ဖေ့ဘွတ်ခ်(Facebook)နဲ့ တယ်လီဂရမ်(Telegram)အပြင် အခြားဝန်ဆောင်မှုတွေကိုပါ အသုံးချလို့ ရ ပါတယ်။
အင်မတန်အရေးကြီးတဲ့ ဒေတာတွေကို စစ်ကောင်စီ၊ ရဲ၊ စစ်တပ်၊ အရပ်ဘက်အဖွဲ့အစည်းတွေနဲ့ ကုမ္ပဏီတွေရဲ့ ကွန်ပျူတာတွေဆီကနေ တိုက်ရိုက်ရရှိထားတာကို တွေ့ရပါတယ်။ ၄င်းတို့ တိုက်ရိုက်ရရှိထား တဲ့ ဒေတာဖိုင်က Gigabyte(Gb) ပေါင်းများစွာ ရှိပါတယ်။ အဲ့ဒီထဲက မှတ်သားလောက်စရာ အရေးကြီးဒေတာ တွေကတော့ –
တရုတ်နိုင်ငံ၊ ဩစတေးလျ၊ ချက်သမ္မတနိုင်ငံ(Czech Republic)၊ ပြင်သစ်၊ အစ္စရေး၊ နယ်သာ လန်၊ ယူကေနဲ့ ယူအက်စ် နိုင်ငံသားတွေရဲ့ ဗီဇာလျှောက်လွှာတွေနဲ့ ပတ်စပို့စာရွက်စာတမ်း (Passport Scan)တွေအပါအဝင် အခြားများပြားလှစွာသော အီးမေးလ်(Email)များ၊
စစ်တပ်ခေါင်းဆောင် မင်းအောင်လှိုင်နဲ့ ကုလသမဂ္ဂဆိုင်ရာ အမေရိကန်သံအမတ် Bill Richardson တို့ တွေ့ဆုံပွဲအတွက် ဆွဲထားတဲ့ ထိုင်ခုံအစီအစဉ် (Seating Plan)၊
မြန်မာနိုင်ငံဖွဲ့စည်းပုံအခြေခံဥပဒေရဲ့ အဆိုပြု အပြောင်းအလဲများ၊
သံတမန် အစည်းအဝေးဖိတ်စာများ၊ အစည်းအဝေးအစီအစဥ်များနဲ့ အစည်းအဝေးဆွေးနွေးချက်များ၊
ဝပြည်သွေးစည်းညီညွတ်ရေးတပ်မတော်(United Wa State Army, UWSA) နှင့် အချိတ်အဆက်ရှိသော ဆစ်ကနဲအကောင့်(Signal Account)များမှ အစီရင်ခံစာ များ၊ မြေပုံများနှင့် “screenshot”များ၊
မြန်မာ့လေတပ်ဌာနချုပ်မှ အစည်းအဝေးမှတ်တမ်းများ၊ ဝန်ထမ်းစာရင်း အပြည့်အစုံ၊ ဓါတ်ပုံများ(တချို့ Fingerprint များပါ)၊ လစာစာရင်းများနဲ့ ဝန်ထမ်းမိသားစုဝင်များ၏ ကိုယ်ရေးအချက်အလက်များ၊
ငြိမ်းချမ်းရေးဆွေးနွေးမှု စာရွက်စာတမ်းများ၊
စစ်ကြောရေး မှတ်တမ်းများ (Interrogation Reports)၊
စာချုပ်များ၊
တရားရုံး ကြားနာချက်များ၊
မြို့တိုးချဲ့မှု အစီအစဥ်များ၊
အမည်၊ လိပ်စာ၊ ဖုန်းနံပါတ်၊ လစာ အပါအဝင် ရဲအရာရှိများ၏ ဆက်သွယ်ရန် အချက်အလက်များ၊
ရွေးကောက်ပွဲနှင့် နိုင်ငံရေးဆိုင်ရာ အစည်းအဝေးများ၏ ဘာသာပြန်မှတ်တမ်းများ၊
ကျည်သိုလှောင်ရုံ၊ စက်သုံးဆီသိုလှောင်ရုံများ အပါအဝင် စစ်တပ်အဆောက်အဦးများ၏ ပုံကြမ်းများ နှင့် အဆိုပြုတည်နေရာများနဲ့
စစ်ဘေးရှောင်စခန်းတစ်ခုသို့ ထောက်ပံ့သူများမှ ပေးပို့ထားသော နိုင်ငံတကာ ငွေကြေးလွှဲပြောင်းမှုမှတ် တမ်းများ
အစရှိတဲ့ ဒေတာတွေကို ဆာဗာ(Server)တစ်ခုမှာ အချိန်နဲ့အမျှ စုဆောင်းထားတာဖြစ်ပါတယ်။
ဒီဒေတာတွေကို ကြည့်ခြင်းအားဖြင့် စစ်ကောင်စီကဲ့သို့ လုံခြုံရေးကောင်းတဲ့ အဖွဲ့အစည်းမျိုးတွေကို ဘယ်လောက်အတိုင်းအတာအထိ ဟက်(Hack)နိုင်ခဲ့သလဲဆိုတာကို တွေ့ရမှာဖြစ်ပါတယ်။ MIP ရဲ့ လက်ရှိ တွေ့ရှိချက်အရ “Mustang Panda”ဟာ “NUG”နဲ့ ဒီမိုကရေစီရေးလှုပ်ရှားမှုအဖွဲ့အစည်းတွေကို တစ် ဖန် ပစ်မှတ်ထားတိုက်ခိုက်လာတဲ့ အနေအထားကို တွေ့ရပါတယ်။ စိုးရိမ်းရတာက “Mustang Panda” ရဲ့ malware တွေက device ထဲကို ဝင်နေတာမသိသာတဲ့အတွက် အဖွဲ့အစည်းတွေထဲမှာ ဘယ်ကွန်ပျူတာ၊ ဘယ် အကောင့်နဲ့ ဘယ်လူတွေက အဟက်ခံရပြီးသားဖြစ်နေ(Compromised)မလဲဆိုတာကို မသိနိုင်သေးတာပဲ ဖြစ်နေပါတယ်။ ဒါ့အပြင် အဟက်ခံထားရတဲ့ ကွန်ပျူတာတွေနဲ့ သက်ဆိုင်ရာဝက်ဘ်ဆိုဒ်တွေကို စီမံခန့်ခွဲဖို့ (Website Managementေအတွက် သုံးတယ်ဆိုရင် ၄င်းဝက်ဘ်ဆိုဒ် တွေထဲမှာလည်း “Mustang Panda” ရဲ့ “Malware” က Backdoor တည်ဆောက်ဖို့ ကြိုးစားမှာဖြစ်လို့ ထိုဝက်ဘ်ဆိုဒ်ကို စီမံကိုင်တွယ်(Manage)သူများအပါအဝင် ဝင်ရောက်ကြည့်ရှုသူတွေရဲ့ အချက်အလက်တွေပါ တစ်ပါတည်းပေါက်ကြားသွားမှာ ဖြစ်ပါ တယ်။
အခုအချိန်မှာတော့ မိမိကိုယ်ကို အလားတူ Malware တွေရဲ့ အတိုက်ခိုက်ခံရနိုင်ခြေရှိတယ်လို့ ယူဆရင် –
၁။ ရှိသမျှအကောင့်တွေအကုန်လုံးကို Password ပြောင်းပြီး Device တွေထဲက Log Out လုပ်ပါ။
၂။ Operating System ကို အသစ်ပြန်တင်ပါ။
၃။ Update ဖြစ်သော antivirus သွင်းပါ။
၄။ ကိုယ့်ကွန်ပျူတာက အလားတူ Malware ရှိတာ သေချာတယ်။ ဘာမှလည်း မလုပ်တတ်ဘူးဆိုရင် Power ပိတ်၊ အင်တာနက်ပိတ်ပြီး မသုံးပဲထားပါ။ တတ်သိကျွမ်းသူများကို ဆက်သွယ်မေးမြန်းပါ ။
အလားတူ Malware တွေ တိုက်ခိုက်မခံရအောင် ကာကွယ်ဖို့အတွက်ဆိုရင် –
၁။ မိမိကွန်ပျူတာမှာ antivirus အသုံးပြုပါ ။ အမြဲတမ်း update ပြုလုပ်ပါ ။
၂။ မိမိ ကွန်ပျူတာမှ ဒေတာများ အမြဲတမ်း backup ပြုလုပ်ပါ ။
၃။ လင့်ခ်များကို စိစစ်ပြီးမှ နှိပ်ပါ။ မသင်္ကာတဲ့ လင့်များဆို virustotal ဝက်ဘ်ဆိုဒ်မှာ အရင်စစ်ဆေးပါ ။
၄။ မိမိဆီ ပို့လာတဲ့ အီးမေးလ်များကို သေချာစိစစ်ပါ။ မသင်္ကာသည့် ဖိုင်များပါရှိလာပါက virustotal မှာ အ ရင် စစ်ဆေးပါ ။
၅။ မိမိနှင့် အီးမေးလ် အမြဲအဆက်အသွယ်ရှိသူများဖြစ်ပါက ဖိုင်များ ပါလာပါက မဖွင့်ခင် ပေးပို့လာသူကိုအ ရင်မေးမြန်းပါ ။
လောလောဆယ် ကာကွယ်နိုင်ဖို့၊ ပြန် recover လုပ်ဖို့ ပိုကောင်းတဲ့နည်းလမ်းတွေကို MIP အနေနဲ့ ရှာဖွေနေဆဲမို့လို့ လက်ရှိမှာတော့ ဒီနည်းလမ်းတွေကိုပဲ အသုံးပြုနေရဦးမှာ ဖြစ်ပါတယ်။ ဆက်လက်ပြီး “Mustang Panda” နဲ့ပတ်သက်တဲ့ အကြောင်းအရာတွေကို ရသလောက် ဆက်လက်ဖော်ပြသွားမှာပါ။
