You are here
Home > Technology > Security > จับตาสถานการณ์ภัยคุกคามทางไซเบอร์ครึ่งปีหลัง

จับตาสถานการณ์ภัยคุกคามทางไซเบอร์ครึ่งปีหลัง

  • Krungsri KMA

ครึ่งปีแรกที่กำลังจะผ่านไป เราต้องเจอกับภัยคุกคามทางไซเบอร์มากมาย แต่ครึ่งปีหลังก็ใช่ย่อย เพราะยังคงต้องเผชิญกับภัยรูปแบบใหม่ๆ และภัยคุกคามเดิมที่อัปเกรดอำนาจทำลายล้างมากขึ้น

shutterstock_10690522-2

การโจมตีซัพพลายเชนมากขึ้น

แคสเปอร์สกี้ แลปตามแกะรอยกลุ่ม APT (advanced persistent threat) และปฏิบัติการของพวกนี้ได้ถึง 100 ครั้ง บางครั้งมีความซับซ้อนเหลือเชื่อ มีหลุมพรางมากมายที่ซ่อน zero-day exploits และ fileless attack tools พร้อมด้วยเทคนิคการแฮคแบบดั้งเดิม ที่ส่งต่อให้กับทีมที่เก่งเทคนิคเพื่อโจรกรรมข้อมูล เราจะเห็นว่ามีหลายกรณีที่แอคเตอร์พยายามเจาะเข้าเป้าหมายมาเป็นเวลานาน แต่ก็ไม่ประสบความสำเร็จ อาจเป็นเพราะเป้าหมายที่ถูกโจมตีนั้นใช้ซอฟต์แวร์เพื่อความปลอดภัยอินเทอร์เน็ตที่แข็งแกร่ง จัดอบรมให้ความรู้พนักงาน จึงไม่ตกเป็นเหยื่อผ่านวิศวกรรมสังคม หรือปฏิบัติตามแนวทาง DSD TOP35 ลดความเสี่ยงจาก APT (Australian DSD TOP35 mitigation strategies) อย่างเคร่งครัด โดยทั่วไปแล้ว แอคเตอร์ที่จัดว่าอยู่ในขั้นสูงและมีความมุมานะจะไม่ยอมเลิกลาไปง่ายๆ แต่จะคอยตามแหย่หาจุดอ่อนอยู่จนกว่าจะหาทางเจาะเข้ามาได้

จากการประเมินของเราพบว่าการเข้าโจมตีซัพพลายเชนเพิ่มจำนวนขึ้น และเช่นกันในปี 2018 เราคาดว่าจะมีการใช้ประโยชน์จากจุดอ่อนเพื่อเจาะเข้าระบบ รวมทั้งการเข้าโจมตีโดยตัวของมันเอง มีการใช้ซอฟต์แวร์เพื่อสร้างโทรจัน ซึ่งพบได้ในบางภูมิภาคหรือบางกลุ่ม ก็จะกลายมาเป็นวิธีการที่พบได้ เฉกเช่นเดียวกับ เทคนิคบ่อน้ำ (waterhole) ที่เจาะจงเลือกไซต์อย่างแยบยล เพื่อล้วงลึกเจาะเข้ากล่องหัวใจสำคัญของเหยื่อเป้าหมายนั้นจะเป็นวิธีที่ต้องตาต้องใจผู้ร้ายไซเบอร์บางประเภทแน่นอน

 

มีโมบายมัลแวร์ระดับไฮเอนด์เพิ่มขึ้น

เนื่องจาก iOS เป็นระบบปฏิบัติการที่ไม่สามารถเข้าตรวจสอบได้ จึงค่อนข้างลำบากสำหรับยูสเซอร์ที่จะเช็คเครื่องว่าติดเชื้อหรือไม่ ขณะที่แอนดรอยด์ แม้จะพบช่องโหว่อยู่ไม่น้อย แต่มีโอกาสมากกว่าที่จะใช้โซลูชั่น เช่น Kaspersky AntiVirus for Android ในการตรวจสอบดีไวซ์

จากการประเมินพบว่า จำนวนโมบายมัลแวร์ที่มีอยู่จริงๆ นั้นน่าจะสูงกว่าจำนวนที่รายงานอยู่มาก เนื่องมาจากข้อบกพร่องที่มีอยู่ในกระบวนการตรวจสอบ ยิ่งทำให้การระบุชี้และกำจัดยากยิ่งขึ้น เราคาดว่า ในปี 2018 จะพบ APT มัลแวร์สำหรับโมบายเพิ่มขึ้น อันเนื่องมาจากจำนวนการโจมตีที่เพิ่มขึ้น และมีพัฒนาการของเทคโนโลยีด้านความปลอดภัยที่ออกแบบมาเพื่อไล่ล่ามัลแวร์พวกนี้

 

มีจุดอ่อนแบบ BeEF เพิ่มจำนวนขึ้นเพื่อคอยเก็บข้อมูล

เนื่องจากระบบปฏิบัติการปัจจุบันให้ความสำคัญและใช้เทคโนโลยีความปลอดภัยและบรรเทาความเสียหายที่มีศักยภาพดีขึ้น ทำให้สนนราคาของ zero-day exploits ได้ถีบตัวสูงขึ้นในช่วง 2016 และ 2017 เทคนิคการรวบรวมข้อมูลเหล่านี้สอดคล้องกับกลุ่ม APT เช่น Turla และ Sofacy และ Newsbeef (รู้จักในชื่อ Newscaster, Ajax hacking team หรือ ‘Charming Kitten’) และกลุ่ม APT อีกกลุ่มก็มีวิธีการรวมข้อมูลที่รู้จักกันดี เช่น Scanbox เมื่อพิจารณาวิธีการทำงานเหล่านี้ผนวกกับความจำเป็นในการป้องกันทูลที่มีราคาแพง คาดว่าการใช้ ทูลคิทในการเก็บข้อมูล เช่น ‘BeEF‘ จะเพิ่มจำนวนขึ้นในปี 2018 เพราะหลายกลุ่มได้หันมาประยุกต์ใช้หรือพัฒนาขึ้นมาใช้เอง

 

การโจมตี UEFI และ BIOS

อินเทอร์เฟซแบบ Unified Extensible Firmware Interface (UEFI) คือซอฟต์แวร์อินเทอร์เฟซที่เป็นตัวกลางระหว่างเฟิร์มแวร์และระบบปฏิบัติการบนเครื่องคอมพิวเตอร์ เกิดขึ้นเมื่อปี 2005 โดยพันธมิตรผู้พัฒนาฮาร์ดแวร์ซอฟต์แวร์ชั้นนำ รวมทั้งอินเทล ตอนนี้ล้ำหน้า BIOS มาตรฐานไปอย่างรวดเร็ว คุณสมบัติที่ทำให้ UEFI เป็นแพลตฟอร์มที่น่าสนใจนั้นกลับเปิดช่องโหว่ที่ไม่เคยมีมาก่อนในยุค BIOS ก่อนหน้านี้ เช่น การรัน (run) โมดูล executable ที่ปรับแต่งได้เองนั้น เป็นการเปิดทางให้สร้างมัลแวร์ และ UEFI สามารถปล่อยกระจายได้โดยตรงก่อนที่จะถูกตรวจจับหรือสะกัดกั้นด้วยแอนตี้มัลแวร์โซลูชั่น หรือแม้แต่ตัวระบบปฏิบัติการจะได้ทันไหวตัวเสียอีก

มัลแวร์ UEFI มีไว้ซื้อขายนั้นเป็นที่รู้กันมาตั้งแต่ปี 2015 เมื่อ Hacking team UEFI modules ถูกเปิดโปง เป็นที่น่าแปลกใจว่าไม่ปรากฏมัลแวร์ UEFI น่าจะมาจากความยากที่จะตรวจจับ คาดว่าปี 2018 เราน่าจะได้พบมัลแวร์แบบ UEFI มากขึ้น

 

การโจมตีทำลายล้างดำเนินต่อไป

ตั้งแต่พฤศจิกายน 2016 แคสเปอร์สกี้ แลปสังเกตพบคลื่นลูกใหม่ของ wiper มุ่งโจมตีเป้าหมายหลายแห่งแถบตะวันออกกลาง มัลแวร์ที่ตรวจพบเป็นค่าตัวแปรของเวิร์ม Shamoon ที่เคยตั้งเป้าไปที่ Saudi Aramco และ Rasgas เมื่อปี 2012 นอกเหนือไปจาก Shamoon และ Stonedrill แล้ว พบว่าปี 2017 เป็นปีสุดโหดของการโจมตีทำลายล้าง ด้วย ExPetr/NotPetya ซึ่งตอนแรกคิดว่าเป็นแรนซั่มแวร์นั้น แท้จริงคือการอำพรางตัวอย่างชาญฉลาดของ wiper โดยที่ ExPetr นั้นจะตามติดมาด้วยคลื่นการโจมตีของ ‘แรนซั่มแวร์’ เหยื่อแทบจะไม่เหลือโอกาสกู้ข้อมูลคืนมาได้เลย ผู้ร้ายตัวจริงถูกอำพรางมิดชิดให้เข้าใจว่าเป็น ‘wipers as ransomware’ ซึ่งเคยมีการโจมตีเช่นนี้เมื่อปี 2016 จาก CloudAtlas APT ดูเผินๆ แล้วเหมือนจะเป็น ‘wipers as ransomware’ เป้าหมายที่สถาบันการเงินในรัสเซีย

ปี 2018 คาดว่าการโจมตีทำลายล้างเช่นนี้จะเพิ่มจำนวนขึ้น เกาะกระแสภาพลักษณ์ในบทบาทของการเป็นสงครามไซเบอร์ (cyberwarfare)

 

มี cryptography เวอร์ชั่นย่อยเพิ่มขึ้น

ย้อนไปเมื่อปี 2013 สำนักข่าวรอยเตอร์สมีรายงานข่าวว่า NSA จ่ายเงินให้ RSA เป็นจำนวน 10 ล้านเหรียญเพื่อให้ใส่อัลกอริธึ่มช่องโหว่ลงในโปรดักส์เพื่อให้เป็นวิธีทำลายการเข้ารหัส แม้จะมีการค้นพบความเป็นไปได้ของการใช้แบคดอร์เมื่อปี 2007 แต่ก็ยังมีหลายบริษัท (รวมทั้งจูนิเปอร์) ที่ยังคงใช้ต่อไป แต่เป็นคอนสแตนท์เซ็ตที่ต่างออกไป ซึ่งเชื่อว่าจะปลอดภัย ในเชิงทฤษฎี พบว่าเรื่องนี้ทำให้แอคเตอร์ APT บางกลุ่มไม่พอใจและว่าจ้างให้ดำเนินการแฮคเข้าจูนิเปอร์ เปลี่ยนคอนสแตนท์มาเป็นเซ็ตที่ตนเองสามารถเข้าควบคุม และปลดรหัสการเชื่อมต่อแบบ VPN ได้

การกระทำเช่นนี้ถูกจับได้ และในเดือนกันยายนปี 2017 กลุ่มผู้เชี่ยวชาญ cryptography จากหลายประเทศได้ร่วมกันกดดันให้ NSA ล้มเลิกความพยายามในการผลักดันให้อัลกอริธึ่มการเข้ารหัสตัวใหม่อีกสองตัวเป็นมาตรฐานอุตสาหกรรม

เมื่อเดือนตุลาคมปี 2017 รายงานข่าวพบข้อบกพร่องใน cryptographic library ที่ Infineon ใช้ในฮาร์ดแวร์ชิปสำหรับการสร้าง RSA primes แม้ข้อบกพร่องที่พบนี้จะดูเหมือนไม่ได้ตั้งใจ แต่ก่อให้เกิดข้อกังขาเกี่ยวกับความปลอดภัยของเทคโนโลยีเข้ารหัสที่ใช้กันอยู่ในชีวิตประจำวัน ไม่ว่าจะเป็นสมาร์ทการ์ด เน็ตเวิร์กไร้สาย หรือเว็บทราฟฟิกแบบเข้ารหัส ปี 2018 เราคาดว่าจะได้พบช่องโหว่ cryptographic ที่รุนแรงอันตรายกว่าเดิม และหวังว่าจะได้รับการแพทช์แก้ไข ไม่ว่าจะเป็นการแก้ไขที่ตัวมาตรฐานเองหรือที่การติดตั้งใช้งาน

 

ข้อมูลเฉพาะบุคคลในธุรกิจอีคอมเมิร์ซเผชิญวิกฤต

หลายปีที่ผ่านมานั้น เราเผชิญวิกฤตเกี่ยวโยงกับการละเมิดข้อมูลส่วนบุคคล personally identifiable information (PII) และล่าสุดพบ Equifax ที่สะเทือนผู้คนชาวอเมริกันถึงกว่า 145.5 ล้านคน ทั้งปลอมแปลงหรือโจรกรรมข้อมูลส่วนบุคคลเป็นปัญหาต่อเนื่องมายาวนาน แต่อะไรจะเกิดขึ้นเมื่อข้อมูลพื้นฐานในการระบุตัวตนนั้นถูกเผยแพร่ทั่วไปจนไม่น่าวางใจอีกต่อไป? องค์กรธุรกิจหรือหน่วยงานภาครัฐต้องเผชิญตัวเลือกระหว่างลดขนาดการทำงานด้วยอินเทอร์เน็ตที่แสนสะดวกสบาย หรือลดการใช้โซลูชั่นแบบมัลติแฟคเตอร์ ทางออกที่ดูน่าจะเป็นไปได้ เช่น ApplePay อาจจะเข้ามาเป็นตัวเลือกที่น่าสนใจ เพราะเป็นอีกหนึ่งวิธีการยอดนิยมในการป้องกันข้อมูลส่วนตัวและธุรกรรมออนไลน์ และเราก็อาจจะได้เห็นการลดบทบาทการใช้อินเทอร์เน็ตเข้ามาสร้างความทันสมัยรื้อความอุ้ยอ้ายในการทำงานและลดค่าใช้จ่ายปฏิบัติการลง

 

มีการแฮคเข้าเราเตอร์และโมเด็มเพิ่มขึ้น

ช่องโหว่ที่ถูกละเลยมองข้ามคือช่องโหว่ในเราเตอร์และโมเด็ม ซึ่งที่จริงแล้วมีความสำคัญต่อการปฏิบัติงานประจำวัน และโดยมากมักใช้ซอฟต์แวร์เฉพาะของตัว ที่ไม่ถูกแพทช์หรือดูแล ท้ายที่สุด คอมพิวเตอร์จิ๋วเหล่านี้นับเป็นอุปกรณ์ต่อเชื่อมอินเทอร์เน็ตโดยการออกแบบ ดังนั้นจึงเป็นจุดเชื่อมโยงที่มีความอ่อนไหวเหมาะสำหรับที่ผู้ไม่ประสงค์ดีจะอาศัยเป็นช่องทางแฝงเข้ามาในเน็ตเวิร์กได้ ยิ่งไปกว่านั้น ในบางกรณี ผู้ร้ายสามารถปลอมแปลงตนเป็นผู้ใช้อินเทอร์เน็ต ทำให้มีทางที่จะแอบเข้าไปยังแอดเดรสอื่นที่ต่อเชื่อมอยู่ได้ ช่วงนี้เป็นช่วงเทคนิคการสร้างความเข้าใจผิดหรือลวงให้ผิดทาง (misdirection and false flags) กำลังเป็นที่สนใจนั้น การเข้าโจมตีดเราเตอร์ โมเด็มนี้ย่อมไม่ใช่เรื่องเล็ก หากทำการศึกษาวิจัยลงลึก จะได้พบข้อมูลที่น่าสนใจมากขึ้นอย่างแน่นอน

 

ตัวกลางสำหรับความโกลาหลในวงโซเชียลมีเดีย

สื่อสังคมโซเชียลมีบทบาทต่อความคิดเห็นต่างๆ ของผู้คนมากมายเกินกว่าที่เราเคยคาดคิด ไม่ว่าจะถูกนำมาใช้เพื่อเสี้ยมหรือก่อกระแส หลายคนก็เริ่มที่จะเรียกร้องให้มีการตรวจสอบยูสเซอร์และบอตที่ส่งอิทธิพลต่อกระแสสังคมหมู่มาก น่าเศร้าที่ว่าเน็ตเวิร์กเหล่านี้มิได้สนใจที่จะตรวจสอบกลุ่มผู้ใช้บอตของตน แม้จะชัดเจนถึงความไม่เหมาะสมของบางบอตส์ และนักวิจัยอิสระก็มีความสามารถติดตามแกะรอยได้ก็ตาม แต่ก็มิได้ดำเนินการใดๆ คาดว่าการกระทำเช่นนี้จะยังคงดำเนินต่อไป และเน็ตเวิร์กของบอตก็จะถูกใช้ประโยชน์กันมากขึ้นจากหลายฝ่ายเพื่อความประสงค์ทางการเมืองหรือการจูงใจ ส่งอิทธิพลทางความคิด ที่จะส่งผลต่อผู้ใช้โซเชียลมีเดีย และเริ่มมองหาทางเลือก นอกเหนือจากผู้ให้บริการปัจจุบัน ที่คอยมุ่งเก็บเกี่ยวผลประโยชน์จากการคลิกของผู้คนเท่านั้น

คุณเบญจมาศ จุฑาพิพัฒน์ ผู้จัดการประจำประเทศไทยของแคสเปอร์สกี้ แลป กล่าวว่า “ในปี 2018 เราคาดว่าแอคเตอร์ภัยไซเบอร์จะขยับระดับความแข็งแกร่ง งัดทูลใหม่ออกมาก่อกวน และส่งความรุนแรงเพิ่มขึ้น แนวทางหลักและทิศทางในแต่ละปีนั้น ไม่ควรที่จะแยกออกจากกัน ต่างต้องพึ่งพากันเพื่อเสริมความแข็งแกร่งให้แก่กันและกัน เพื่อช่วยเหลือสนับสนุนยูสเซอร์ที่ต้องเผชิญกับปัญหาภัยไซเบอร์ต่างๆ ไม่ว่าจะเป็นระดับบุคคล เอ็นเทอร์ไพรซ์ หรือรัฐบาล สิ่งสำคัญคือการแชร์ข้อมูลเชิงวิเคราะห์เกี่ยวกับภัยไซเบอร์นั่นเอง”

Leave a Reply

Top