CEO Blog

โปรดระวัง “คนไทย” คือ เป้าหมาย ของการจู่โจมครั้งนี้

By นักรบ เนียมนามธรรม25 พ.ค. 2020 เวลา 6:30 น.
โปรดระวัง “คนไทย” คือ เป้าหมาย ของการจู่โจมครั้งนี้

มีเหตุการณ์สำคัญเกี่ยวข้องกับคนไทย และสำคัญอย่างยิ่ง จึงอยากนำมาพูดถึงก่อนให้ทุกท่านได้ระมัดระวังตัวครับ

ก่อนหน้านี้ ผมจะเขียนบทความเรื่องเดิมต่อจากคราวที่แล้ว แต่บังเอิญมีเหตุการณ์สำคัญเกี่ยวข้องกับคนไทย และสำคัญอย่างยิ่ง จึงอยากนำมาพูดถึงก่อนให้ทุกท่านได้ระมัดระวังตัวครับ

ไม่กี่วันที่ผ่านมาองค์กรผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ ได้ประกาศการค้นพบมัลแวร์ตัวใหม่ที่มุ่งเป้าโจมตีไปที่แอพพลิเคชันที่เกี่ยวกับการสนทนาผ่านตัวอักษร เช่น วอทส์แอพ, เฟซบุ๊ค แมสเซนเจอร์ และไลน์ บนอุปกรณ์ที่เป็นระบบปฏิบัติการแอนดรอยด์ของไทยโดยเฉพาะ

มัลแวร์ตัวนี้มีชื่อว่า “WolfRAT” จากรายงานนั้นมีความเป็นไปได้ว่ามัลแวร์ตัวนี้ น่าจะแตกออกมาจาก มัลแวร์ตระกูล DenDroid และมีความเป็นไปได้สูงที่มัลแวร์ตัวนี้จะถูกพัฒนาต่อยอดมาจากองค์กรที่ชื่อว่า “Wolf Research” ซึ่งเป็นองค์กรสัญชาติเยอรมันที่พัฒนาสปายแวร์และขายให้กับรัฐบาล เพราะมีความคล้ายคลึงกันมากกับมัลแวร์ตระกูล Dendroid นอกจากนี้ตัวองค์กรเองก็ได้เปลี่ยนชื่อจาก Wolf ไปเป็นชื่อว่า “LokD”

เจ้ามัลแวร์ WolfRAT ได้เลียนแบบบริการของกูเกิล เซอร์วิส กูเกิลเพลย์ หรือ แฟลช อัพเดท เมื่อผู้ใช้งานได้ทำการดาวน์โหลดแล้ว WolfRAT จะแกล้งทำเป็นบริการที่ถูกกฎหมาย ด้วยวิธีการที่ยากจะจับผิดว่าบริการนี้มาจากผู้พัฒนาตัวจริง หรือเป็นมัลแวร์ WolfRAT

ที่น่าเป็นห่วง คือ การจู่โจมครั้งนี้ถูกคิดขึ้นเพื่อจู่โจมผู้ใช้งานชาวไทยโดยตรง และพบว่ามี C2 servers ตั้งอยู่ภายในประเทศไทยอีกด้วยซึ่งตัวแผงหน้าจอนั้นภายในประกอบด้วย คอมเมนท์ของจาวาสคริปต์เป็นภาษาไทย รวมถึงชื่อของโดเมนก็มีการตั้งชื่ออ้างอิงเป็นชื่ออาหารไทยอีกด้วย ถือเป็นเทคนิคในการดึงดูดผู้ใช้งานให้ทำการคลิกหรือเข้าไปเยี่ยมชม C2 panels โดยปราศจากการระแวงหรือการหยุดชะงัก

Wolf Research นั้นมีสำนักงานใหญ่อยู่ที่ประเทศเยอรมัน และมีสาขาในประเทศต่างๆ เช่น ไซปรัส บัลแกเรีย โรมาเนีย อินเดีย สำหรับในสหรัฐอเมริกาเองยังไม่มีข้อมูลที่ชัดเจนแต่มีโอกาสที่จะเป็นหนึ่งในสาขาของ Wolf Research เช่นกัน ซึ่งหลังจากที่มีการเปิดเผยเรื่องนี้ ทาง Wolf ก็ได้ทำการปิดบริษัทลง แต่ก็มีผู้คนจำนวนไม่น้อยที่เชื่อว่า Wolf ไปทำการเปิดสาขาใหม่อยู่ที่ไซปรัสโดยใช้ชื่อใหม่ว่า LokD และยังคงทำงานอยู่

ยังไม่เป็นที่แน่ชัดว่าเหตุใดประเทศไทย จึงตกเป็นเป้าหมายของการจู่โจมเช่นนี้ แต่เป็นที่แน่ชัดแล้วว่าข้อความ, รูปภาพ, วีดีโอ, ลิงก์ต่างๆ รวมไปถึงไฟล์ที่ถูกส่งผ่านแอพพลิเคชั่ น ทั้งหมดไม่ปลอดภัยอีกต่อไปสำหรับผู้ใช้งานชาวไทย ถึงเป็นเรื่องน่าเป็นห่วงเอามากๆ ครับ เพราะคนไทยจำนวนมากใช้ วอทส์แอพ,เฟซบุ๊ค แมสเซนเจอร์ และไลน์ติดต่อกันทั้งในเรื่องส่วนตัวและเรื่องงาน

ยิ่งในการทำงานที่บางครั้ง ก็ไม่ได้สื่อสารผ่านอีเมลอย่างเดียว แต่มีการคุยกันผ่านแอพพลิเคชั่น แม้ข้อความที่คุยกันเป็นความลับของแต่ละองค์กร เช่น บางกรณีที่ฝ่ายบุคคล หรือฝ่ายไอที มีการแชร์ยูสเซอร์เนม และพาสเวิร์ด ให้พนักงานสามารถเข้าใช้ระบบภายในขององค์กรได้ รวมไปถึงการแชร์ไฟล์ ที่เกี่ยวกับยอดขาย เช่น ฝ่ายขายที่ต้องมีการอัพเดท Pipeline ในแต่ละสัปดาห์ ผ่านแอพพลิเคชั่น เพื่อความสะดวก รวดเร็วก็ยิ่งเสี่ยงจะตกเป็นเหยื่อของการจู่โจมในครั้งนี้ 

ยิ่งไปกว่านั้นการจู่โจมครั้งนี้เกี่ยวข้องกับคนไทย เซิร์ฟเวอร์ก็อยู่ที่เมืองไทย ไม่แน่ว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้อาจเป็นคนไทยก็เป็นได้ครับ

เนื้อหาที่เกี่ยวข้อง