top of page
  • Myanmar Internet Project

အထူးသတိပြုရမယ့် Mustang Panda ရဲ့ Malware တိုက်ခိုက်မှုများ (၁)

Updated: Aug 3, 2023


ORMY005
.pdf
Download PDF • 323KB





“Mustang Panda” ဆိုတဲ့ တရုတ်အခြေစိုက်ဟက်ကာအဖွဲ့က မြန်မာပြည်ကို ဘယ်လိုပစ်မှတ်ထား တိုက်ခိုက်နေသလဲဆိုတာကို အထူးသတိထားစရာအဖြစ် အခုဆောင်းပါးမှာဖော်ပြသွားပါမယ်။ ၂၀၂၂ ခုနှစ် ဒီဇင်ဘာလက ထွက်ရှိခဲ့တဲ့ “Avast.io” ရဲ့ အစီရင်ခံစာနဲ့ ဒစ်ဂျစ်တယ်နည်းပညာရှင်တွေရဲ့ စစ်ဆေးတွေ့ရှိချက်တွေကိုကိုးကားပြီး လက်လှမ်းမှီသလောက် တင်ပြသွားမှာ ဖြစ်ပါတယ်။

ဒီဆောင်းပါးဖတ်အပြီးမှာ “Mustang Panda” ဆိုတာဘာလဲ။ သူတို့ရဲ့ Malware တွေအတိုက်အခိုက်ခံရရင် ဘာဖြစ်သွားနိုင်သလဲ။ ကိုယ့်နဲ့ ဘယ်လောက်နီးနေပြီလဲ။ ဘယ်လိုကာကွယ်လို့ရနိုင်မလဲဆိုတာတွေသိရှိ မှန်းဆ ကာကွယ်လို့ ရနိုင်ဖို့ ရည်ရွယ်ပါတယ်။

“Mustang Panda” နဲ့ပတ်သက်လို့ “Google” ခေါက်လိုက်လို့ရှိရင် ရီပို့တွေအများကြီး တွေ့ရပါလိမ့်မယ်။ ဒီအဖွဲ့ကို တရုတ်နိုင်ငံက “APT (Advance Persistant Threat)”လို့ ခေါ်ကြပါတယ်။ ၂၀၁၂ ခုနှစ် လောက်ကတည်းက စတင်လှုပ်ရှားနေတာဖြစ်ပြီးတော့ အစောပိုင်းမှာ မွန်ဂိုလီးယားကို ပစ်မှတ်ထားတိုက်ခိုက်တယ်။ ဒါပေမယ့် လတ်တလော ၂၀၂၂ ခုနှစ်အတွင်းမှာ ၄င်းတို့ရဲ့ပစ်မှတ်တွေက အာရှဘက်လှည့်လာတယ်။ မြန်မာနိုင်ငံကလည်း သူတို့ရဲ့ပစ်မှတ်ထဲမှာ ပါလာလို့ ဒါကို ရေးကြီးခွင်ကျယ်လုပ် ပြောနေရခြင်း ဖြစ်ပါတယ်။ တက်ကြွလှုပ်ရှားသူတွေကို “Mustang Panda” က “malware” တွေ ပို့နေတာကို MIP အနေနဲ့လည်း လက်တွေ့စုံစမ်းချက်များအရ သိရှိထားပါတယ်။

လတ်တလော ၂၀၂၃ ခုနှစ် မတ်လအတွင်းမှာ KNU အယောင်ဆောင် knu_2023@protonmail.com ဆိုတဲ့ အီးမေးလ်နဲ့ “Invitation Letter to NUG-CRPH-NLD.zip” အမည်ရှိ ပူးတွဲဖိုင်ကို မြန်မာနိုင်ငံက ဒီမိုကရေစီရေလှုပ်ရှားသူတွေဆီ ဖြန့်နေတာ တွေ့ရပါတယ်။ အခြားအီးမေးလ်အတုတွေနဲ့ ဖြန့်နေတာတွေလည်း ရှိတယ်လို့ သိရပါတယ်။ ဆိုတော့ အဲ့ဒီ Zip ဖိုင်ကို ဖြည်လိုက်လို့ရှိရင် အထဲမှာ .dll ဖိုင်တစ်ဖိုင် နဲ့ .exe ဖိုင်တစ်ခု ပါရှိပါတယ်။ .exe ဖိုင်ကို Virus Total ဝက်ဆိုက်မှာ စစ်ကြည့်လိုက်တဲ့အခါမှာ ဒီဖိုင်တွေက 123.253.35[.]231 ဆိုတဲ့ IP Address ကနေလာတာဖြစ်ပါတယ်။ ပြီးတော့ အဲဒီဆာဗာထဲမှာ – စာရေးသူတို့ရရှိထားတဲ့ Malware တွေအပြင် မြန်မာပြည်က CSOတွေကို ပစ်မှတ်ထားတိုက်ခိုက်ဖို့ ရည် ရွယ်ထားတဲ့ အခြား Malware တွေပါ ရှိနေပြီး “Burma Files” ဆိုတဲ့ Folder တစ်ခုကနေလာတယ်ဆိုတာကို တွေ့ရပါ တယ်။

နောက်ပြီး ဒါဟာ “Mustang Panda” အဖွဲ့နဲ့ပတ်သက်နေတဲ့ လုပ်ဆောင်ချက်ဖြစ်ကြောင်းကိုလည်း အတည်ပြုလို့ရ ခဲ့ပါတယ်။


(ပုံ – ၂) YARA tools ဖြင့် စစ်ဆေးချက်အရ Mustang Panda ၏ လုပ်ဆောင်ချက်ဖြစ်ကြောင်းတွေ့ရပုံ


၄င်းတို့ရဲ့ Malware တွေကို နှိပ်မိရင်၊ အထူးသဖြင့် .exe ဖိုင်ကို install လုပ်မိရင် ဘာဖြစ်မလဲဆိုတော့၊ “Mustang Panda” ရဲ့ “malware တွေက များသောအားဖြင့် သူတည်ရှိနေတဲ့ Device ကို အန္တရာယ်မပေးပဲ Remote Access Trojan (RAT) လို့ခေါ်တဲ့ Device ထဲက ဒေတာတွေကို ၄င်းတို့ရဲ့ဆာဗာကို အချိန်နဲ့တပြေးညီပေးပို့တဲ့ Backdoor(ဒေတာမလွယ်ပေါက်)တွေ တည်ဆောက်ပါတယ်။ ပြီးတော့ ရသမျှဒေတာကို ဆာဗာဆီပို့ပေးတာ ဖြစ်ပါတယ်။ ဒါကြောင့် ကိုယ့်စက်ထဲမှာ အဲ့ဒီ Malware ရောက်နေပြီဆိုရင် ကိုယ်လုပ်သမျှ ပြောသမျှ အကုန်လုံးဟာ သူတို့ဆာဗာဆီကို ရောက်နေမှာပဲ ဖြစ်ပါတယ်။ မြန်မာပြည်က ဘယ်သူတွေကို ပစ်မှတ်ထားတိုက်ခိုက်တာလဲဆိုတော့ – စစ်ကောင်စီအပါအဝင် အတိုက်အခံအဖွဲ့အ စည်းတွေ၊ မြန်မာနိုင်ငံရေးနဲ့ပတ်သက်တဲ့ အဖွဲ့အစည်းတော်တော်များများကို ပစ်မှတ်ထားတာ တွေ့ရပါတယ်။ စစ်ကောင်စီရဲ့ ဝန်ကြီးဌာနတွေနဲ့ နိုင်ငံတော်စီမံအုပ်ချုပ်ရေးကောင်စီရုံးကိုတောင်မှ ပစ်မှတ်ထား တိုက်ခိုက်တာ တွေ့ရပါတယ်။ အံ့သြစရာကောင်းတာက မြန်မာနိုင်ငံရဲတပ်ဖွဲ့တို့ အထူးစုံစမ်းစစ်ဆေးရေး အဖွဲ့တို့ပါ တိုက်ခိုက်ခံရတဲ့အထဲမှာ ပါနေတာပါပဲ။ စစ်တပ်ကိုလည်း မချန်ပါဘူး။ လေတပ်ဌာနချုပ် တပ်မတော်ထောက်ပို့အစရှိတဲ့ စစ်တပ်အဖွဲ့အစည်းတွေကိုလည်း တိုက်ခိုက်ခဲ့တာကို တွေ့ရတယ်လို့ Avast ရဲ့ အစီရင်ခံစာက ဆိုပါတယ်။ နောက်ပြီး အဲဒီအစီရင်ခံစာထဲမှာပဲ နိုင်ငံရေးဆိုင်ရာအဖွဲ့အစည်းတွေနဲ့ အတိုက်အခံအင်အားစုတွေကိုပါ သူတို့ရဲ့ပစ် မှတ်ထဲမှာ ပါနေတယ်လို့ တင်ပြထားပါတယ်။ ဝပြည်သွေးစည်းညီညွတ်ရေးတပ်မတော်(United Wa State Army, UWSA)၊ ကရင်အမျိုးသားအစည်းအရုံး(Karen National Union, KNU)၊ ကွဲပြားခြားနားမှုနှင့် အမျိုးသားရေးသယံဇာတဖြစ်မှုဆိုင်ရာလေ့လာရေးအဖွဲ့(Center for Diversity and National Harmony, CDNH)၊ အမျိုးသားပြန်လည်သင့်မြတ်ရေးနှင့် ငြိမ်းချမ်းရေးဗဟိုဌာန(National Reconciliation and Peace Centre, NRPC)နဲ့ တိုင်းရင်းသားလူ မျိုးများရေးရာစင်တာ(Ethnic National Affairs Center)တို့လည်း တိုက်ခိုက်ခံခဲ့ရပါတယ်။ ဘယ်လိုမျိုးဒေတာတွေ တွေ့ရသလဲဆိုတော့ – များသောအားဖြင့် Microsoft Office documents တွေ (Doc ၊ Excel ၊ Presentation ဖိုင် အစရှိတဲ့ စာရွက်စာတမ်းတွေ)နဲ့ PDF FIle တွေ Plain Text ဖိုင်တွေများပါတယ်။ အသံသွင်းထားတဲ့ MP3 ဖိုင်တွေ၊ ပုံတွေ (.jpg ၊.png )နဲ့ အီးမေးလ်အသွားအလာဖိုင်တွေပါ အဟက်ခံခဲ့ရတာကို တွေ့ရပါတယ်။ ဒါ့အ ပြင် Chrome, Firefox, Opera အစရှိတဲ့ Web Browser တွေကနေလည်း အသုံးပြုထားတဲ့ browsing history၊ Browser မှာ သိမ်းထားတဲ့ Password၊ အလိုအလျောက်ဖြည့်တဲ့ဒေတာတွေ(Autofill Data)စတဲ့ ဒေတာတွေ၊ Credit Card နံပါတ်တွေ၊ တိုကင်တွေနဲ့ ကွတ်ကီးတွေပါ ရယူထားတာကို တွေ့ရပါတယ်။ အဲ့ဒီဒေတာတွေကို အသုံးချပြီးတော့ တိုက် ခိုက်သူတွေက အတိုက်ခံရသူတွေရဲ့အီးမေးလ်၊ ဖေ့ဘွတ်ခ်(Facebook)နဲ့ တယ်လီဂရမ်(Telegram)အပြင် အခြားဝန် ဆောင်မှုတွေကိုပါ အသုံးချလို့ ရပါတယ်။ အင်မတန်အရေးကြီးတဲ့ဒေတာတွေကို စစ်ကောင်စီ၊ ရဲ၊ စစ်တပ်၊ အရပ်ဘက်အဖွဲ့အစည်းတွေနဲ့ ကုမ္ပဏီတွေရဲ့ကွန်ပျူ တာတွေဆီကနေ တိုက်ရိုက်ရရှိထားတာကို တွေ့ရပါတယ်။ ၄င်းတို့ တိုက်ရိုက်ရရှိထားတဲ့ ဒေတာဖိုင်က Gigabyte(Gb) ပေါင်းများစွာ ရှိပါတယ်။ အဲ့ဒီထဲက မှတ်သားလောက်စရာ အရေးကြီးဒေတာတွေကတော့ –

  • တရုတ်နိုင်ငံ၊ ဩစတေးလျ၊ ချက်သမ္မတနိုင်ငံ(Czech Republic)၊ ပြင်သစ်၊ အစ္စရေး၊ နယ်သာလန်၊ ယူကေနဲ့ ယူအက်စ်နိုင်ငံသားတွေရဲ့ ဗီဇာလျှောက်လွှာတွေနဲ့ ပတ်စပို့စာရွက်စာတမ်း(Passport Scan)တွေအပါအဝင် အခြားများ ပြားလှစွာသော အီးမေးလ်(Email)များ၊

  • စစ်တပ်ခေါင်းဆောင် မင်းအောင်လှိုင်နဲ့ ကုလသမဂ္ဂဆိုင်ရာ အမေရိကန်သံအမတ် Bill Richardson တို့ တွေ့ဆုံပွဲအတွက် ဆွဲထားတဲ့ ထိုင်ခုံအစီအစဉ် (Seating Plan)၊

  • မြန်မာနိုင်ငံဖွဲ့စည်းပုံအခြေခံဥပဒေရဲ့ အဆိုပြုအပြောင်းအလဲများ၊

  • သံတမန် အစည်းအဝေးဖိတ်စာများ၊ အစည်းအဝေးအစီအစဥ်များနဲ့ အစည်းအဝေးဆွေးနွေးချက်များ၊

  • ဝပြည်သွေးစည်းညီညွတ်ရေးတပ်မတော်(United Wa State Army, UWSA)နှင့် အချိတ်အဆက်ရှိသော ဆစ်ကနဲအကောင့်(Signal Account)များမှ အစီရင်ခံစာများ၊ မြေပုံများနှင့် “screenshot”များ၊

  • မြန်မာ့လေတပ်ဌာနချုပ်မှအစည်းအဝေးမှတ်တမ်းများ၊ ဝန်ထမ်းစာရင်းအပြည့်အစုံ၊ ဓါတ်ပုံများ(တချို့ Fingerprint များပါ)၊ လစာစာရင်းများနဲ့ ဝန်ထမ်းမိသားစုဝင်များ၏ ကိုယ်ရေးအချက်အလက်များ၊

  • ငြိမ်းချမ်းရေးဆွေးနွေးမှု စာရွက်စာတမ်းများ၊

  • စစ်ကြောရေး မှတ်တမ်းများ (Interrogation Reports)၊

  • စာချုပ်များ၊

  • တရားရုံး ကြားနာချက်များ၊

  • မြို့တိုးချဲ့မှု အစီအစဥ်များ၊

  • အမည်၊ လိပ်စာ၊ ဖုန်းနံပါတ်၊ လစာ အပါအဝင် ရဲအရာရှိများ၏ ဆက်သွယ်ရန် အချက်အလက်များ၊

  • ရွေးကောက်ပွဲနှင့် နိုင်ငံရေးဆိုင်ရာအစည်းအဝေးများ၏ ဘာသာပြန်မှတ်တမ်းများ၊

  • ကျည်သိုလှောင်ရုံ၊ စက်သုံးဆီသိုလှောင်ရုံများအပါအဝင် စစ်တပ်အဆောက်အဦးများ၏ ပုံကြမ်းများနှင့် အဆိုပြုတည် နေရာများနဲ့

  • စစ်ဘေးရှောင်စခန်းတစ်ခုသို့ ထောက်ပံ့သူများမှ ပေးပို့ထားသော နိုင်ငံတကာ ငွေကြေးလွှဲပြောင်းမှုမှတ်တမ်းများ

အစရှိတဲ့ ဒေတာတွေကို ဆာဗာ(Server)တစ်ခုမှာ အချိန်နဲ့အမျှ စုဆောင်းထားတာဖြစ်ပါတယ်။ ဒီဒေတာတွေကို ကြည့်ခြင်းအားဖြင့် စစ်ကောင်စီကဲ့သို့ လုံခြုံရေးကောင်းတဲ့အဖွဲ့အစည်းမျိုးတွေကို ဘယ်လောက်အ တိုင်းအတာအထိ ဟက်(Hack)နိုင်ခဲ့သလဲဆိုတာကို တွေ့ရမှာဖြစ်ပါတယ်။ MIP ရဲ့ လက်ရှိတွေ့ရှိချက်အရ “Mustang Panda”ဟာ “NUG”နဲ့ ဒီမိုကရေစီရေးလှုပ်ရှားမှုအဖွဲ့အစည်းတွေကို တစ်ဖန်ပစ်မှတ်ထားတိုက်ခိုက်လာတဲ့ အနေအထားကို တွေ့ရပါတယ်။ စိုးရိမ်းရတာက “Mustang Panda” ရဲ့ malware တွေက device ထဲကို ဝင်နေတာမသိသာတဲ့အတွက် အဖွဲ့အစည်းတွေထဲမှာ ဘယ်ကွန်ပျူတာ၊ ဘယ်အကောင့်နဲ့ ဘယ်လူတွေက အဟက်ခံရပြီးသားဖြစ်နေ(Compromised)မလဲဆိုတာကို မသိနိုင်သေးတာပဲ ဖြစ်နေပါတယ်။ ဒါ့အပြင် အဟက်ခံထားရတဲ့ ကွန်ပျူတာတွေနဲ့ သက်ဆိုင်ရာဝက်ဘ်ဆိုဒ်တွေကိုစီမံခန့်ခွဲဖို့ (Website Management‌အတွက် သုံးတယ်ဆိုရင် ၄င်းဝက်ဘ်ဆိုဒ် တွေထဲမှာလည်း “Mustang Panda” ရဲ့ “Malware”က Backdoorတည်ဆောက်ဖို့ ကြိုးစားမှာဖြစ်လို့ ထိုဝက်ဘ်ဆိုဒ်ကို စီမံကိုင်တွယ်(Manage)သူများအပါ အဝင် ဝင်ရောက်ကြည့်ရှုသူတွေရဲ့ အချက်အလက်တွေပါ တစ်ပါတည်းပေါက်ကြားသွားမှာ ဖြစ်ပါတယ်။ အခုအချိန်မှာတော့ မိမိကိုယ်ကို အလားတူ Malware တွေရဲ့ အတိုက်ခိုက်ခံရနိုင်ခြေရှိတယ်လို့ ယူဆရင် – ၁။ ရှိသမျှအကောင့်တွေအကုန်လုံးကို Password ပြောင်းပြီး Device တွေထဲက Log Out လုပ်ပါ။ ၂။ Operating System ကို အသစ်ပြန်တင်ပါ။ ၃။ Update ဖြစ်သော antivirus သွင်းပါ။ ၄။ ကိုယ့်ကွန်ပျူတာက အလားတူ Malware ရှိတာ သေချာတယ်။ ဘာမှလည်း မလုပ်တတ်ဘူးဆိုရင် Power ပိတ်၊

အင်တာနက်ပိတ်ပြီး မသုံးပဲထားပါ။ တတ်သိကျွမ်းသူများကို ဆက်သွယ်မေးမြန်းပါ ။ အလားတူ Malware တွေ တိုက်ခိုက်မခံရအောင် ကာကွယ်ဖို့အတွက်ဆိုရင် – ၁။ မိမိကွန်ပျူတာမှာ antivirus အသုံးပြုပါ ။ အမြဲတမ်း update ပြုလုပ်ပါ ။ ၂။ မိမိကွန်ပျူတာမှ ဒေတာများ အမြဲတမ်း backup ပြုလုပ်ပါ ။ ၃။ လင့်ခ်များကို စိစစ်ပြီးမှ နှိပ်ပါ။ မသင်္ကာတဲ့ လင့်များဆို virustotal ဝက်ဘ်ဆိုဒ်မှာ အရင်စစ်ဆေးပါ ။ ၄။ မိမိဆီ ပို့လာတဲ့ အီးမေးလ်များကို သေချာစိစစ်ပါ။ မသင်္ကာသည့် ဖိုင်များပါရှိလာပါက virustotal မှာ အရင်

စစ်ဆေးပါ ။ ၅။ မိမိနှင့် အီးမေးလ် အမြဲအဆက်အသွယ်ရှိသူများဖြစ်ပါက ဖိုင်များ ပါလာပါက မဖွင့်ခင် ပေးပို့လာသူကိုအရင်

မေးမြန်းပါ ။ လောလောဆယ် ကာကွယ်နိုင်ဖို့၊ ပြန် recover လုပ်ဖို့ ပိုကောင်းတဲ့နည်းလမ်းတွေကို MIP အနေနဲ့ ရှာဖွေနေဆဲမို့လို့ လက်ရှိမှာတော့ ဒီနည်းလမ်းတွေကိုပဲ အသုံးပြုနေရဦးမှာ ဖြစ်ပါတယ်။ ဆက်လက်ပြီး “Mustang Panda” နဲ့ပတ်သက်တဲ့ အကြောင်းအရာတွေကို ရသလောက် ဆက်လက်ဖော်ပြသွားမှာပါ။

40 views

Comments


bottom of page