iPhone กำลังตกเป็นเป้าของมัลแวร์ตัวใหม่ "Coruna"
iPhone กำลังตกเป็นเป้าของมัลแวร์ตัวใหม่ "Coruna" คาดว่ามัลแวร์ตัวนี้อาจเกี่ยวข้องกับรัฐบาลสหรัฐ
มัลแวร์นั้นมักจะถูกสร้างโดยกลุ่มแฮกเกอร์ที่มีจุดประสงค์ในการปล้น หรือสอดแนมเหยื่อ แต่หลายครั้งนั้นตัวมัลแวร์เองก็อาจจะหลุดมาจากทางหน่วยงานรัฐที่ต้องการสอดส่องผู้คนที่อยู่ในบัญชีที่ต้องจับตามอ�งเช่นเดียวกัน ดั่งเช่นในกรณีนี้
จากรายงานโดยเว็บไซต์ Techradar ได้กล่าวถึงการที่ทีมวิจัยด้านภัยไซเบอร์จาก Google ทีม GTIG (Google Threat Intelligence Group) ที่ได้ตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเครื่องมือเจาะช่องโหว่ความปลอดภัย หรือ Exploit Kit ที่มีชื่อว่า "Coruna" ซึ่งเครื่องมือเจาะระบบตัวนี้ถูกสร้างขึ้นมาเพื่อเจาะระบบของ iPhone โดยเฉพาะ โดยทางทีมวิจัยกล่าวว่า แรกเริ่มนั้นมัลแวร์ตัวนี้จะถูกใช้ในการเจาะระบบเหยื่อแบบเฉพาะเจาะจง (Targeted Attack) ซึ่งผู้กระทำนั้นระบุไว้เพียงว่า เป็นลูกค้าของบริษัทด้านการสอดแนม (Surveillance Company) ที่ไม่ระบุชื่อแห่งหนึ่ง หลังจากนั้นจึงได้แพร่กระจายความนิยมไปยังกลุ่มแฮกเกอร์จากประเทศจีนและรัสเซีย
แต่จากการตรวจสอบเพิ่มเติมโดยทีมวิจัยจาก iVerify บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือรักษาความปลอดภัยบนโทรศัพท์มือถือ โดยได้ตรวจสอบแหล่งที่มา (Source) ของตัวเจาะจุดอ่อนหลายตัวที่อยู่ในเครื่องมือตัวนี้ กลับพบข้อสงสัยที่ว่าเครื่องมือนี้อาจถูกพัฒนาและปล่อยให้ใช้งานโดยทางรัฐบาลสหรัฐฯ เอง ซึ่งตัวเครื่องมือนั้นเรียกได้ว่ามีความซับซ้อนในการทำงานอย่างมาก จากการที่ภายในนั้นมีตัวเจาะจุดอ่อนมากถึง 23 ตัว ซึ่งสามารถทำงานได้ภายใต้การตั้งค่า (Configuration) หลากรูปแบบ โดยจะนำไปสู่ลูกโซ่แห่งการเจาะจุดอ่อน (Exploit Chain) ที่มากถึง 5 รูปแบบ ที่หนักไปกว่านั้นคือ เครื่องมือตัวนี้สามารถทำงานบนเครื่องที่ถูกเจาะมากมายหลานเครื่องได้ในเวลาเดียวกัน แทนที่จะเป็นการมุ่งเน้นการทำงานบนเครื่องที่ถูกเจาะเครื่องใดเครื่องหนึ่ง ทั้งหมดนี้ชี้เป้าว่า เป็นเครื่องมือที่ถูกพัฒนาโดยมีรัฐบาลอยู่เบื้องหลัง แทนที่จะเป็นการพัฒนาโดยบริษัทสอดแนม หรือ แฮกเกอร์ธรรมดาทั่วไป
นอกจากนั้นยังมีการตรวจพบอีกว่ารูปแบบเฟรมเวิร์ก (Framework) การทำงานของเครื่องมือชุดนี้นั้น เป็นระเบียบเรียบร้อย คล้ายคลึงกับเฟรมเวิร์กของรัฐบาลสหรัฐฯ มากกว่าจะเป็นชาติอื่น เช่น จีน ซึ่งเคยเป็นข้อสันนิษฐานในช่วงแรก เนื่องจากการตรวจพบในครั้งแรก ๆ พบว่าเครื่องมือชนิดนี้ถูกใช้งานโดยแฮกเกอร์ชาวจีน โดยปล่อยไว้บนเว็บไซต์พนัน และ เว็บไซต์คริปโตเคอร์เรนซีต่าง ๆ ซึ่งก็ตรงกับที่ตัวไฟล์มัลแวร์ (Payload) ตัวสุดท้ายที่ถูกปล่อยโดยเครื่องมือตัวนี้ ที่มุ่งเน้นการเข้าถึงข้อมูลทางการเงิน, ข้อมูลภายในกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto), และข้อมูลส่วนตัวต่าง ๆ
ทำให้เมื่อวิเคราะห์ในภาพรวมแล้ว ทางทีมวิจัยสรุปได้ว่า มัลแวร์ตัวนี้มีพฤติการณ์หลายอย่างคล้ายคลึงกับมัลแวร์ประเภทสอดแนม หรือ Spyware ที่ถูกพัฒนาโดยบริษัทด้านการสอดแนมที่ทำหน้าที่เป็นผู้จัดจำหน่าย (Vendor) ตัวมัลแวร์ให้กับทางรัฐบาลสหรัฐฯ แถมถูกนำไปใช้ต่อโดยหน่วยงานของทางรัฐบาล (Government Agency) และลงท้ายด้วยการหลุดสู่ภายนอกไปสู่มือของแฮกเกอร์ที่นำไปใช้ก่อคดีตามที่กล่าวไว้ข้างต้น คล้ายคลึงกับเครื่องมือสำหรับการเจาะอุปกรณ์ที่ใช้ระบบปฏิบัติการของทางไมโครซอฟท์ อย่าง EternalBlue ที่ได้ถูกใช้มาอย่างยาวนานแรมปีโดยสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ NSA (National Security Agency) โดยเครื่องมือดังกล่าวนั้นจะมุ่งเน้นในการเจาะช่องโหว่ที่มากับการพัฒนา หรือ Zero-Day ซึ่งหลังจากที่เครื่องมือดังกล่าวได้ถูกขโมยไปจากองค์กร ทางไมโครซอฟท์ก็ได้ทำการเปิดเผยช่องโหว่ Zero-Day ต่าง ๆ ที่เกี่ยวข้อง และทำการอุดช่องโหว่ในทันที
สำหรับมัลแวร์ Caruna นั้น ตัวมัลแวร์จะทำงานได้บน iOS เวอร์ชัน 13.0 ถึง 17.2.1 ดังนั้นเพียงแค่อัปเดตเครื่องเป็นรุ่นล่าสุด มัลแวร์ตัวดังกล่าวก็จะไม่สามารถทำงานได้แล้ว แต่สำหรับเครื่องที่ไม่สามารถอัปเกรดได้ และสงสัยว่าติดมัลแวร์ดังกล่าว ผู้ใช้งานสามารถทำการหยุดยั้งการทำงานแบบชั่วคราวได้ด้วยการเปิดโหมดล็อกดาวน์ (Lockdown) ตามขั้นตอนดังนี้
ไปยัง Settings แล้วเลือก Privacy and Security
เลื่อนลงมาที่ Lockdown Mode
แล้วแตะที่ Turn On Lockdown Mode
จากประสบการณ์ของผมที่ติดตามข่าวสารด้านความปลอดภัยไซเบอร์ ผมเห็นว่ามัลแวร์ Coruna ถือเป็นกรณีที่น่าสนใจและควรให้ความสนใจเป็นพิเศษ เนื่องจากไม่ได้เป็นแค่มัลแวร์ทั่วๆ ไป แต่มันถูกพัฒนาในระดับที่ซับซ้อนและเกี่ยวโยงกับหน่วยงานรัฐบาล ซึ่งเป็นสิ่งที่ผู้ใช้งาน iPhone ต้องระวังอย่างมาก ความน่ากลัวของ Coruna คือมันใช้ประโยชน์จากช่องโหว่หลายจุดในระบบ iOS เพื่อเจาะเข้าไปในข้อมูลส่วนตัวอย่างลึกซึ้ง ข้อมูลที่ถูกล้วงอาจรวมถึงข้อมูลการเงิน กระเป๋าเงินคริปโตเคอร์เรนซี ไปจนถึงข้อมูลสำคัญส่วนบุคคลอื่นๆ แม้ว่าทาง Apple จะออกอัปเดตทางความปลอดภัยเพื่อป้องกัน แต่สำหรับเครื่องที่ไม่สามารถอัปเดตได้ นั้นยิ่งต้องระวังและหมั่นตรวจสอบให้มากขึ้น ผมแนะนำให้ทุกคนเข้าไปเปิดโหมดล็อกดาวน์ (Lockdown Mode) ใน Settings เพื่อเพิ่มชั้นป้องกันให้กับอุปกรณ์ ถึงแม้จะเป็นฟีเจอร์ที่อาจทำให้การใช้งานบางอย่างลำบากขึ้น แต่ก็เป็นทางเลือกที่ดีในการลดความเสี่ยงจากการติดมัลแวร์นี้ นอกจากนี้ ผมยังคิดว่าผู้ใช้ควรรับรู้เหตุการณ์ในวงการมัลแวร์และภัยไซเบอร์ต่าง ๆ อย่างสม่ำเสมอ เพื่อเตรียมรับมือและป้องกันตนเองได้อย่างถูกต้อง การรักษาความปลอดภัยข้อมูลส่วนตัวไม่ควรปล่อยปละละเลย และการลงรายละเอียดเกี่ยวกับมัลแวร์ตัวนี้ช่วยให้เข้าใจวิธีการโจมตี และสามารถป้องกันได้อย่างมีประสิทธิภาพมากขึ้น ท้ายที่สุด ผมอยากฝากให้ทุกคนสำรองข้อมูลสำคัญไว้เสมอ ถ้าเกิดเหตุสุดวิสัยอุปกรณ์ติดมัลแวร์หรือเกิดปัญหาขึ้น จะได้ไม่สูญเสียข้อมูลสำคัญ นี่คือวิธีการง่าย ๆ แต่ได้ผลมากในการรับมือภัยไซเบอร์ที่เพิ่มขึ้นทุกวัน
