8 ปีแห่งการถอดรหัส

จะเป็นอย่างไรถ้าคอมพิวเตอร์คุณถูกควบคุมโดยคนอื่น ตั้งแต่ปี 2012 จนไม่กี่วันก่อนหน้านี้เชื่อหรือไม่ว่าคอมพิวเตอร์มากกว่า 9 ล้านเครื่องทั่วโลกถูกมัลแวร์บอทเน็ตเข้าควบคุม

ในที่สุดเมื่อไม่กี่วันที่ผ่านมา ผู้ผลิตและพัฒนาซอฟต์แวร์รายใหญ่จากสหรัฐอเมริกา ได้ประกาศความสำเร็จ กำจัดภัยทางไซเบอร์ที่ชื่อว่า Necurs มัลแวร์ที่สร้างปรากฎการณ์แพร่เชื้อไปยังเครื่องคอมพิวเตอร์เป็นจำนวนมากกว่า 9 ล้านเครื่องทั่วโลก รวมไปถึงความสำเร็จเข้ายึดระบบโครงสร้างพื้นฐานทั้งหมดของ Necurs ไว้ได้

ความสำเร็จครั้งนี้เกิดจากการร่วมมือกันระหว่างตำรวจสากล และบริษัทเอกชนผู้เชี่ยวชาญด้านเทคโนโลยีจากทั้งหมด 35 ประเทศ โดยกลุ่มนักวิจัยได้ทำลาย Domain Generation Algorithm (DGA) ซึ่ง Necurs ใช้โจมตีแบบเงียบๆ มาอย่างยาวนาน การทำลาย DGA จึงหยุดระบบโครงสร้างพื้นฐานของ Necurs ได้สมบูรณ์แบบ

DAG เป็นเทคนิคพื้นฐานในการตั้งชื่อโดเมนให้ไม่สามารถคาดเดาได้ โดยช่วยให้มัลแวร์เปลี่ยนสถานที่ของ C&C Servers (เครื่องเซิร์ฟเวอร์ที่มัลแวร์ใช้ในการสั่งการและควบคุมเครื่องของเหยื่อ) ไปเรื่อยๆ ทำให้มัลแวร์สามารถติดต่อกับเครื่องของเหยื่อที่ติดมัลแวร์ได้โดยไม่มีอะไรมาขัดขวาง

ความสำเร็จนี้ยังทำให้นักวิจัยทราบว่า โดเมนกว่า 6 ล้านโดเมน ที่จะสร้างขึ้นใน 25 เดือนข้างหน้า จะมีโดเมนอะไรบ้าง และโดเมนเหล่านี้ได้ลงทะเบียนไปทั่วโลกแล้ว ดังนั้นเว็บไซต์ดังกล่าวสามารถบล็อก และหลีกเลี่ยงได้ เพื่อจะได้ไม่กลายเป็นส่วนหนึ่งของระบบพื้นฐานของ Necurs

นอกจากนี้ ทางบริษัทยังได้ยื่นเรื่องต่อศาล จนควบคุมระบบเครือข่ายพื้นฐานของ Necurs ที่ใช้แพร่กระจายมัลแวร์ไปยังเครื่องคอมพิวเตอร์ของเหยื่อได้ การเข้าควบคุมเว็บไซต์ที่มีอยู่ทั้งหมด รวมถึงควบคุมไม่ให้มีการลงทะเบียนชื่อโดเมนได้ใหม่ ทำให้บอทเน็ตตัวนี้ถูกกำจัดอย่างสมบูรณ์แบบ

Necurs ถูกพบครั้งแรกในปี 2012 ถือว่า เป็นหนึ่งในบอทเน็ตที่สร้างเครือข่ายการแพร่กระจายได้มากที่สุดของโลก จากการแพร่เชื้อด้วย Banking Malware, Cryptojacking Malware รวมไปถึง Ransomeware หลังจากเข้าไปแพร่เชื้อแล้ว จึงส่งสแปมอีเมลต่อไปยังเหยื่อรายใหม่เป็นจำนวนมหาศาลเพื่อเพิ่มจำนวนเหยื่อให้ได้มากที่สุด นอกจากนี้ Necurs ได้ใช้ Kernel-mode Rootkit เข้าไปปิดระบบป้องกันและระบบความปลอดภัยต่างๆ บนเครื่องเหยื่อ รวมไปถึง Windows Firewall ด้วย

Necurs เป็นสาเหตุหลักในการแพร่กระจายของ Dridex และ Locky Ransomware ในปี 2017 ซึ่งได้มีการส่งอีเมลกว่า 5 ล้านอีเมลต่อชั่วโมงไปยังเครื่องคอมพิวเตอร์ทั่วโลก

รายงานจากนักวิจัยต่างๆ บอกว่า ประเทศอินเดีย, อินโดนีเซีย, ตุรกี, เวียดนาม, เม็กซิโก, ไทย, อิหร่าน, ฟิลิปปินส์ และบราซิล ถือเป็นประเทศต้นๆที่ถูกโจมตีด้วย Necurs

ถือเป็นเรื่องน่ายินดีที่นักวิจัยสามารถแกะรอย และปราบภัยไซเบอร์ตัวนี้ลงได้ราบคาบ ทำให้เวลากว่า 8 ปีที่ผ่านมาไม่สูญเปล่า สำหรับประเทศไทยเอง นอกจากผู้ใช้งานในโลกไซเบอร์จะต้องเรียนรู้ ติดตามความคืบหน้าภัยไซเบอร์รูปแบบต่างๆ เพื่อป้องกันตัวเองแล้ว บุคลากรในวงการไซเบอร์ต้องก้าวไกล ก้าวให้เท่าทันแฮกเกอร์เช่นกันครับ