จาก Eternal blue สู่ WannaCry ต้นแบบความเลวร้ายของ State Sponsor attackers
WannaCry ชื่อไวรัสหรือมัลแวร์ที่ใครก็น่าจะคุ้นหู มันคือมัลแวร์ชนิดหนึ่งที่เคยแพร่ระบาดไปทั่วโลกโดยไม่สามารถคาดเดาทิศทางได้ล่วงหน้า แต่คงมีไม่เยอะที่รู้ว่าพื้นเพของมัลแวร์ชนิดนี้ เกิดจากข้อมูลที่หลุดออกมาจาก NSA จากความพยายามในการแทรกแซงระบบของภาครัฐ
Highlights
- จดหมายเตือนจาก Apple ต่อผู้ใช้งาน ทำให้ผู้คนต่างให้ความสนใจ State Sponsor attackers มากขึ้น แต่แท้จริงนั่นคือสิ่งที่เกิดขึ้นมานานและเคยสร้างปัญหาระดับโลกมาครั้งหนึ่ง
- WannaCry คือมัลแวร์เรียกค่าไถ่ที่โด่งดังไปทั่วโลก จากคุณสมบัติในการเครื่องคอมพิวเตอร์และไฟล์ทั้งหมดภายใน สร้างความเสียหายต่อเศรษฐกิจรวมถึงผลกระทบแก่ผู้คนเป็นวงกว้าง
- แม้จะสามารถยับยั้งความเสียหายได้รวดเร็วจากระบบ Kill switch ในมัลแวร์เอง แต่ก็ทำให้ระบบสาธารณสุขอังกฤษปั่นป่วน เช่นเดียวกับบริษัทอีกมากมายที่ติดปัญหาการกู้คืนและเข้าถึงข้อมูล
- ตัวจริงของ WannaCry เกิดจากโค้ด Eternal blue ของทาง NSA ที่สร้างขึ้นเพื่อเจาะช่องโหว่ของ Windows ทั่วโลก และถูกแฮกเกอร์ Shadow Broker ขโมยออกไปเผยแพร่ นำไปสู่ต้นตอหายนะในครั้งนี้
- ทาง NSA ยืนยันว่าจะยังใช้งานช่องโหว่ระบบเหล่านี้ต่อไป ทำให้เราได้แต่กังวลว่าสักวัน ช่องโหว่ดังกล่าวจะสร้างความเสียหายเป็นวงกว้าง และกลับมากระทบชีวิตประจำวันของตอนไหน?
--------------------
State Sponsor attackers หรือ การโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ เป็นคำที่ถูกพูดถึงมากขึ้นหลังการส่งจดหมายเตือนจาก Apple ว่าผู้ใช้งาน iPhone อาจตกเป็นเป้าโจมตีทางไซเบอร์เพื่อขโมยข้อมูลส่วนตัวที่มีความอันตรายสูง แม้อาจเป็นการแจ้งเตือนผิดพลาดแต่อยากให้ผู้ใช้งานเฝ้าระวังเรื่องนี้ให้ดี
นั่นคือสิ่งที่เกิดขึ้นวันเดียวกับการที่ทาง Apple สั่งฟ้อง NSO Group Technologies บริษัทเทคโนโลยีสัญชาติอิสราเอล จากการสร้างมัลแวร์ชนิดพิเศษ Pegasus ที่สามารถเจาะเข้าถึงข้อมูลและควบคุมโทรศัพท์มือถือของเหยื่อได้โดยไม่รู้ตัว ทำให้บริษัทไอทีมากมายทยอยฟ้องบริษัทดังกล่าวไปตามกัน
State Sponsor attackers นี้ไม่ใช่สิ่งที่เกิดขึ้นเป็นครั้งแรก หลายประเทศทั่วโลกพยายามทำการโจมตีเข้าถึงข้อมูลเชิงลึก ไม่ว่าจะใช้กับบรรดาอาชญากรหรือบรรดาผู้เห็นต่างทางการเมือง การสอดแนมเป็นวงกว้างคือสิ่งที่เกิดขึ้นตลอด อย่างกรณีการเปิดเผยข้อมูลของ Edward Snowden
แต่นั่นคงยังเทียบไม่ได้กับวิกฤติการณ์ทางไซเบอร์ที่เคยเกิดขึ้นจาก State Sponsor attackers ด้วยหายนะที่มาในชื่อ WannaCry
WannaCry คืออะไร? ทำไมจึงกลายเป็นภัยคุกคามคอมพิวเตอร์ทั่วโลก?
WannaCry คือมัลแวร์ หรือ Ransomware ชนิดหนึ่งที่ถูกเรียกขานในหลายชื่อ ตั้งแต่ WannaCry, Wcry, Wana Decrypt0r, WannaCrypt ฯลฯ เกิดจากการอาศัยช่องโหว่ของระบบปฏิบัติการ Windows ของทาง Microsoft ในการปิดกั้นการเข้าถึงข้อมูลภายในตัวเครื่อง ซึ่งเป็นช่องโหว่ที่ถูกนำมาเปิดเผยตั้งแต่เดือนเมษายน 2017
ช่องโหว่ดังกล่าวทำให้คนภายนอกสามารถเข้าถึงและควบคุมเครื่องคอมพิวเตอร์ของเราได้โดยตรง ช่องโหว่นี้คือ SMBv1 (Microsoft Server Message Block) ใน Windows ซึ่งทำให้แฮกเกอร์สามารถอาศัยช่องโหว่ตรงนี้เข้ามายึดเครื่องคอมพิวเตอร์ของเราได้ในพริบตา
แน่นอนพอได้ยินเรื่องดังกล่าวทาง Microsoft ไม่ได้นิ่งนอนใจแต่เร่งออกแพชท์แก้อย่างรวดเร็ว เพื่อปิดช่องโหว่ SMBv1 ไม่ให้แฮกเกอร์เข้ามาแทรกแซงหรือควบคุมระบบได้อีก เป็นแพทช์อัปเดตที่ถูกปล่อยตั้งแต่ช่วงเดือนมีนาคม 2017 ซึ่งฟังดูไม่น่ามีอะไรอีก เมื่อสามารถป้องกันได้ปัญหาก็น่าจะคลี่คลาย
แต่เมื่อถึงเวลา WannaCry เริ่มต้นจากโจมตี ในวันที่ 12 พฤษภาคม 2017 มันก็ถูกกระจายไปทั่วโลกอย่างรวดเร็ว สามารถเข้าถึงระบบคอมพิวเตอร์ได้นับ 100,000 เครื่องได้ในระยะเวลาเพียงวันเดียว สร้างความเสียหายเป็นวงกว้าง โดยตรงเข้าไปล็อกระบบการทำงาน ปิดกั้นการเข้าถึงข้อมูลทั้งหมดภายในเครื่องทั้งหมดจนไม่สามารถใช้งานได้ทั้งระบบ
ความน่ากลัวของ WannaCry อยู่ตรงนี้เอง ช่องโหว่ SMBv1 นั้นผู้ใช้งานไม่จำเป็นต้องคลิกหรือเข้าถึงระบบใดๆ แค่เพียงเปิดคอมพิวเตอร์ไว้และเชื่อมต่ออินเตอร์เน็ต มัลแวร์ก็สามารถใช้ช่องโหว่นี้ส่งไวรัสเข้ามา ควบคุมระบบเปิดช่องทางให้ไวรัสตรงเข้ามาปิดการเข้าถึงไฟล์จนถึงการทำงานของคอมพิวเตอร์ นำไปสู่ไวรัสเรียกค่าไถ่ที่สร้างความเสียหายไปทั่วโลก
ถึงตรงนี้หลายคนอาจสงสัยเหตุใดทั้งที่ Microsoft ปล่อยแพชท์อัปเดต แก้ไขช่องโหว่ระบบเจ้าปัญหาช่องทางที่เป็นปัญหาไปล่วงหน้าตั้งนาน ก่อนที่ WannaCry จะออกมาอาละวาดเสียหลายเดือน เหตุใดจึงยังมีผู้เสียหายเป็นวงกว้างได้แบบนี้ได้?
คำตอบคือ ไม่ใช่ทุกคนที่จะอัปเดต Windows หรือ ระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดเสมอไป
เหตุผลล้วนมีหลากหลายตั้งแต่ การไม่ได้ใช้งาน Windows ถูกลิขสิทธิ์ทำให้ไม่สามารถเปิดอัปเดตได้, ระบบคอมพิวเตอร์ของตามสถานที่ต่างๆ ไม่ได้ทำการอัปเดตข้อมูลให้ทันสมัย บางแห่งใช้ระบบปฏิบัติการตกรุ่นที่ทาง Microsoft ยุติการสนับสนุนไปแล้ว หรือบางคนอาจปิดระบบอัปเดตอัตโนมัติทำให้พลาดการปิดช่องโหว่ในส่วนนี้
เหตุการณ์ดังกล่าวทำให้ทาง Microsoft ต้องออกแพชท์ฉุกเฉินสำหรับ Windows XP, Windows 8 และ Windows Server 2003 เป็นกรณีพิเศษเพื่อบรรเทาปัญหา เพิ่มอัปเดตระบบ Windows Defender สำหรับผู้ที่ไม่สามารถอัปเดตระบบปฏิบัติการได้ จนถึงเผยแพร่วิธีการปิดโปรโตคอล SMBv1 ของคอมพิวเตอร์เพื่อป้องกันไม่ให้ไวรัสหลุดเข้ามาในเครื่อง(ซึ่ง Windows 10 ที่ใช้กันส่วนมากในปัจจุบันไม่มี SMBv1 ติดตั้งมาด้วยอีกต่อไป)
โชคดีความเสียหายจาก WannaCry เกิดขึ้นเพียงไม่กี่วันการแพร่ระบาดวงกว้างก็ยุติลง จากการค้นพบ Kill switch ของ Marcus Hutchins มีนามแฝงว่า MalwareTech โดย WannaCry มักมีการตรวจสอบไปที่ URL นั้นอยู่เสมอ เขาจึงนำเว็บดังกล่าวไปจดทะเบียนดู จึงสามารถยุติการแพร่กระจายมัลแวร์ตัวดังกล่าวได้สำเร็จ
แต่กว่าจะถึงจุดนั้นความเสียหายที่เกิดขึ้นก็แพร่กระจายออกไปเป็นวงกว้าง ในเวลาแค่ 2 วันมันทำเงินจากการเรียกค่าไถ่ไปแล้วกว่า 26,090 ดอลลาร์ เช่นเดียวกับบรรดาผู้เสียเสียหายที่ถูกล็อกไฟล์ไปแล้ว แม้ยุติการระบาดลงแต่พวกเขาก็ยังไม่สามารถเข้าถึงคอมพิวเตอร์หรือข้อมูลภายในเครื่องได้อยู่ดี
ความเสียหายที่เกิดขึ้นไม่จำกัดแค่เพียงคอมพิวเตอร์ส่วนบุคคลทั่วไป ความร้ายแรงคือเมื่อมันหลุดเข้าไปในระบบคอมพิวเตอร์ของบริษัท องค์กร หรือหน่วยงานขนาดใหญ่ ขอบเขคความเสียหายยิ่งกระจายเป็นวงกว้าง กระทบการทำงานและการใช้ชีวิตของผู้คนเป็นจำนวนมาก เช่น
- NHS ระบบประกันสุขภาพของรัฐบาลอังกฤษ ถูกมัลแวร์เรียกค่าไถ่โจมตี 16 หน่วยงานย่อยจนระบบคอมพิวเตอร์ของหน่วยงานล่ม ทำให้ต้องยกเลิกการผ่าตัดคนไข้ไปเป็นจำนวนมาก
- Deutsche Bahn บริษัทการรถไฟของเยอรมนี ถูกโจมตีจาก WannaCry จนขึ้นมาบนหน้าจอตารางเดินรถไฟในสถานี
- เซิฟเวอร์เกม Blade & Soul ของบริษัท Garena ประเทศไทย ถูกจมตีระบบจนต้องทำการปิดเซิฟเวอร์เพื่อจัดการไวรัสเป็นการชั่วคราว
- การโจมตีระบบของกรมตำรวจจีน ส่งผลให้ตำรวจตรวจคนเข้าเมือง ตำรวจจราจร และหน่วยรักษาความปลอดภัยต้องหยุดให้บริการ
แน่นอนว่านี่คือข้อมูลที่เปิดเผยออกมา คาดว่ายังมีอีกมากที่ยังไม่ได้เปิดเผยความเสียหายที่เกิดขึ้น จากหน่วยงานหรือองค์กรต่างๆ ตัวอย่างเช่นในประเทศจีนเอง บริษัท Qihoo360 ผู้ผลิตซอร์ฟแวร์ป้องกันไวรัสในจีนระบุว่า มีการระบาดของ WannaCry ในจีนไปกว่า 30,000 องค์กรทั่วประเทศ เป็นสถานศึกษาไปกว่า 4,300 แห่ง แต่รัฐบาลปฏิเสธตัวเลขดังกล่าว
แม้ปัจจุบันการโจมตีทางไซเบอร์จะเป็นเรื่องที่เราพบได้จนชินตา แต่การโจมตีสเกลใหญ่ส่งผลกระทบโดยตรงเป็นวงกว้างเช่นนี้เพิ่งเคยเกิดขึ้น ปัจจุบันบรรดาหน่วยงานยังคงต้องหาทางรับมือป้องกันการโจมตีรูปแบบใหม่มากมาย มิเช่นนั้นระบบและข้อมูลภายในขององค์กรจะไม่มีทางปลอดภัย
แต่สงสัยกันไหมว่าแท้จริงเจ้า WannaCry หรือช่องโหว่ระบบ Windows เจ้าปัญหานี้เกิดขึ้นมาได้ยังไง? เหตุใดมันจึงแพร่หลายไปในหมู่แฮกเกอร์? ต้นตอการสร้างความเสียหายมโหฬารครั้งนี้มาจากไหน? แท้จริงมันใกล้ตัวกว่าที่ทุกคนคิด
ต้นกำเนิดมัลแวร์รุ่นใหม่ Eternal blue เครื่องมือเจาะระบบที่ได้รับการสนับสนุนจากรัฐ
จุดเริ่มต้นของเรื่องทั้งหมดคงต้องย้อนกลับไปในช่วงเดือนสิงหาคม 2016 ด้วยฝีมือของแฮกเกอร์ Shadow Broker ทำการเจาะระบบเข้าไปในสถานที่แห่งหนึ่งเพื่อเรียกค่าไถ่ แต่เมื่อไม่มีใครมาจ่ายพวกเขาเลยปล่อยข้อมูลที่ได้มาจากการเจาะระบบในคราวนั้น เป็นที่มาของหนึ่งในต้นเหตุสำคัญของเหตุการณ์อย่าง Eternal Blue
Eternal Blue คือโค้ดสำหรับการเจาะระบบช่องว่างของระบบปฏิบัติการผ่าน SMBv1 (Microsoft Server Message Block) ใน Windows ซึ่งเป็นช่องทางเก่าที่มีอยู่ภายในระบบอยู่แล้วแต่แทบไม่ได้รับการใช้งานในปัจจุบัน ทำให้ทาง Microsoft ก็ละเลยช่องทางนี้ไป จนกลายเป็นช่องโหว่ให้สามารถเจาะระบบเข้าไปได้ในที่สุด
โดยหลักการแล้ว Eternal Blue สามารถเจาะระบบปฏิบัติการ Windows ทั้งหมดที่ใช้งานอยู่ในขณะนั้นได้ทันที ก่อนหน้าที่ทาง Microsoft จะอัปเดตแก้ช่องโหว่ดังกล่าว(คาดว่าเป็นทาง NSA แจ้งเตือนหลังข้อมูลหลุด) แฮกเกอร์สามารถยึดเครื่อง ควบคุม แก้ไข ดัดแปลงไฟล์ในเครื่องได้ดังใจ ไม่ต่างกับภาพแฮกเกอร์ที่เราเห็นในภาพยนตร์
สิ่งเดียวที่แตกต่างกันคือผู้มองเห็นช่องโหว่นี้มาพัฒนาโค้ด Eternal blue เพื่อเจาะระบบโดยเฉพาะ กลับไม่ใช่มิจฉาชีพหรือแฮกเกอร์แบบที่เราคิดว่าจะเกิดขึ้น กลับเป็นหน่วยงานความมั่นคงระดับรัฐอย่าง NSA และเราคงไม่มีวันได้รู้ช่องโหว่จนตระหนักถึงความน่ากลัวในส่วนนี้ ถ้า Shadow Broker ไม่ทำการเจาะระบบขโมยข้อมูลของ NSA ออกมา
แม้เหตุการณ์โจมตีของ WannaCry จะจบลงในเวลาไม่นาน แต่นั่นทำให้เกิดการตั้งคำถามมากมายตามมา ว่าแท้จริงทางหน่วยงานราชการเก็บซ่อนช่องโหว่ของระบบไว้ใช้งาน หรือพัฒนาเครื่องมืออาวุธทางไซเบอร์เหล่านี้มามากน้อยขนาดไหน จน Brad Smith ประธานบริษัท Microsoft ออกมาเรียกร้องให้ออกกฎหมายควบคุม และแจ้งไปหาบริษัทเอกชนเมื่อตรวจพบช่องว่างของระบบ
น่าเสียดายที่คำตอบจาก นายพล Keith Alexander อดีตผู้อำนวยการ NSA และหัวหน้าฝ่าย Central Security Service ปฏิเสธความรับผิดชอบรวมถึงส่วนเกี่ยวข้องกับมัลแวร์จากการใช้งาน Eternal blue ที่เกิดขึ้น เขาให้ความเห็นว่า WannaCry อีกทั้งมัลแวร์เหล่านั้นเกิดจากน้ำมือแฮกเกอร์ เป็นเหตุให้ทาง NSA จำเป็นต้องพัฒนาเพื่อรับมือภัยทางไซเบอร์จนต้องใช้ช่องโหว่ของระบบเหล่านั้นอีกด้วย
แม้ไม่ได้ยอมรับออกมาตามตรงแต่ชัดเจนแล้วว่า การโจมตีไซเบอร์ครั้งใหญ่ WannaCry จากช่องทาง Eternal blue นั้นเกิดขึ้นได้ด้วยน้ำมือของภาครัฐ ถือเป็นผลพวงจาก State Sponsor attackers การโจมตีไซเบอร์จากภาครัฐที่นอกจากละเมิดสิทธิประชาชนแล้ว ยังกลายเป็นชนวนเหตุในการสร้างความเสียหายเป็นวงกว้างต่อสังคมอีกด้วย
ภายหลังการเกิดขึ้นและโด่งดังของ WannaCry ทั่วโลกต่างพากันตื่นตัวเรื่องระบบความปลอดภัยไซเบอร์ แต่ทางฝั่งแฮกเกอร์เองก็ได้รู้จักเครื่องมือทรงพลังอย่าง Eternal blue จนเริ่มใช้งานตาม เริ่มตั้งแต่การดัดแปลง WannaCry เวอร์ชั่นใหม่โดยนำระบบ Kill switch ออก ไปจนถึงดัดแปลงมัลแวร์ให้เป็นไปในรูปแบบอื่นๆ
ไวรัสที่ถูกพัฒนาตามมาหลังจากนั้นคือ Petya อีกหนึ่งไวรัสเรียกค่าไถ่ที่พัฒนามาจาก WannaCry โดยคราวนี้มันถูกนำ Kill switch ออก แถมยังพัฒนาจากการล็อกไฟล์และการทำงานภายในเครื่อง เป็นการล็อก Harddisk ทำให้การกู้คืนหรือแก้ไขทำได้ยากยิ่งกว่า อีกทั้งยังสามารถแพร่กระจายต่อไปหาผู้ใช้งานคนอื่นในเครือข่ายได้อีกด้วย
นอกจากนั้น Eternal blue ยังถูกนำมาใช้ในการเจาะระบบเพื่อขุดหาเหรียญคริปโต จากข้อมูลของบริษัท Proofpoint เปิดเผยว่า ในปี 2017 มีคอมพิวเตอร์ถูกใช้งานผ่านช่องโหว่ดังกล่าวประมาณ 526,000 เครื่อง เพื่อนำไปขุดเหรียญ Monero โดยมีอัตราได้รับวันละ 24 เหรียญ ถูกขุดไปได้แล้วกว่า 8,900 เหรียญ ตีเป็นเงินจริงราว 2.8 – 3.6 ล้านดอลลาร์เลยทีเดียว
มาถึงวันนี้ช่องโหว่ในระบบจาก Eternal blue น่าจะน้อยลงหรือเหลืออยู่ไม่มากแล้วก็จริง แต่เราไม่อาจแน่ใจได้เลยว่านี่คือเครื่องมือเดียวที่ภาครัฐถือครอง ยากจะคาดเดาว่ายังมีช่องโหว่อื่นในการเข้าถึงข้อมูลและควบคุมคอมพิวเตอร์ของเราหรือไม่? จะยังคงมี State Sponsor attackers ต่อประชาชนอย่างเราอีกหรือเปล่า? เราต่างรู้คำตอบเรื่องนั้นดี
เราไม่อาจรู้เลยว่าการถือครองอาวุธทางไซเบอร์ของภาครัฐมีกี่ชิ้น เลวร้ายกว่าคือยากจะคาดเดาว่ามันจะถูกนำไปใช้ในทางไหน ในเมื่อการเป็นภัยต่อความมั่นคงที่ภาครัฐชอบใช้สามารถนำไปตีความได้กว้างขวาง และไม่มีข้อยืนยันว่ามันจะถูกนำไปใช้สำหรับประเด็นด้านความมั่นคงหรือการเมืองอย่างเดียว
อีกทั้งมีตัวอย่างให้เห็นมาแล้วแม้แต่ NSA ยังถูกเจาะระบบจน Eternal Blue แพร่หลายไปทั่วทั้งวงการ นำไปสู่การพัฒนามัลแวร์และไวรัสชนิดใหม่มากมาย หากวันใดที่เกิดการเจาะระบบภาครัฐขนาดใหญ่ แล้วเครื่องมือเหล่านี้หลุดรอดไปถึงมือของคนร้าย ความเสียหายครั้งต่อไปอาจเกินจินตนาการ เมื่อเราผลักดันทุกอย่างลงระบบอิเล็กทรอนิกส์มากขึ้นทุกวัน
ดังนั้นตราบใดที่ State Sponsor attackers ยังคงอยู่ ก็ไม่มีทางที่คำว่าปลอดภัยจะมาถึงโลกออนไลน์ได้เช่นกัน
--------------------
ที่มา
- https://www.beartai.com/news/itnews/166925
- https://brandinside.asia/gable-cyber-security-ransomware-wannacry/
- https://www.blognone.com/node/92402
- https://www.blognone.com/node/92406
- https://www.blognone.com/node/92419
- https://www.blognone.com/node/93462
- https://www.blognone.com/node/92390
- https://www.blognone.com/node/92420
- https://www.blognone.com/node/92483
- https://www.blognone.com/node/99628
- https://www.cyfence.com/article/hacking-eternalblue-vulnerabilities/
- https://www.mfec.co.th/th/tech-talk/product/petya-malware-%E0%B9%80%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%81%E0%B8%84%E0%B9%88%E0%B8%B2%E0%B9%84%E0%B8%96%E0%B9%88%E0%B8%95%E0%B8%B1%E0%B8%A7%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88-%E0%B9%82%E0%B8%AB/