เคยได้ยินได้ฟังข่าวของกลุ่มแฮกเกอร์จีนมานานแล้วว่า แสบสะท้านทรวง เผลอๆ อาจจะยิ่งกว่ากลุ่มแฮกเกอร์จากประเทศตะวันออกกลางซะอีก หนนี้สร้างชื่อเสีย(ง)ด้วยการสอดแนมล้วงข้อมูล ของคอมพิวเตอร์อย่างน้อย 1,295 เครื่อง จาก 103 ประเทศ
เครือข่ายซอฟแวร์วายร้ายเหล่านี้ เป็นที่รู้จักในชื่อ “โกสต์เน็ต” (GhostNet)
เรื่องมีความเป็นมายังไง?
ขออ้างถึงข้อมูลจากหนังสือ : มติชนสุดสัปดาห์ ฉบับประจำวันที่ 3-9 เมษายน 2552 (ปีที่ 29 ฉบับที่ 1494) จากคอลัมน์ "ต่างประเทศ" หน้าที่ 102 นะครับ
ผู้ดูแลสำนักงานของ องค์ทะไลลามะ (ที่ เมืองธรรมศาลา ประเทศอินเดีย) สงสัยว่าโดนขโมยข้อมูลซึ่งเป็นเอกสารลับ จึงเชิญ เกร็ก วอลตัน ผู้เชี่ยวชาญจาก IWM มาตรวจสอบ พบว่า โดนเข้าให้ซะแล้ว!!
และจากการตรวจสอบลึกไปถึงรายละเอียดของโค้ด มัลแวร์/โทรจัน ตัวนี้ บ่งชี้ว่ามาจากเซิร์ฟเวอร์ 3 ตัว ที่ตั้งอยู่ที่ เกาะไหหลำ กวางตุ้ง และที่ซิฉวน ในประเทศจีน
เกร็ก วอลตัน (Greg Walton) เจ้าหน้าที่ระดับสูงของ Information Warfare Monitor (IWM) ซึ่งเป็นองค์กรเฝ้าระวังสงครามข้อมูลจากประเทศแคนาดา เป็นผู้ที่ตรวจสอบพบความผิดปกติ และยังร่วมกับ นาร์ท วีลเนิฟ (Nart Villeneuve) วัย 34 ปี ที่ได้ชื่อว่าเป็นแฮกเกอร์ "หมวกขาว" หรือแฮกเกอร์สายธรรมะ ระดับหัวแถวของโลก
เทคนิคระดับสุดยอดของ Ghostnet
กระบวนการทั้งหมดเริ่มจากการ "เลือกเป้าหมาย" จากนั้นก็ส่งอีเมล์เพื่อให้ผู้ใช้เครื่องเป้าหมายคลิกเปิด "ไฟล์แนบ" เพื่อให้เริ่มติดตั้งโปรแกรมพิเศษที่ทาง IWM เรียกว่า "หนูผี" (Ghost rat)
เจ้าหนูผีนี่แหละจะเข้าไปควบคุมการทำงานของเครื่องนั้นทันที โดยจะค้นหาเอกสารสำคัญ ดักข้อมูลการกดคีย์บอร์ดเพื่อขโมยยูสเซอร์เนมและพาสเวิร์ด เพื่อส่งไปยังเซิร์ฟเวอร์ที่กำหนดไว้
และที่ถือกันว่าสุดยอดก็คือ ยังสามารถควบคุมเครื่องคอมพิวเตอร์ให้เปิดกล้องเว็บแคม (Web Camera) และยังเปิดโปรแกรมอัดเสียงได้ด้วย ถือว่า Ghostnet มันเป็นเครือข่ายสปายที่สมบูรณ์แบบ มีทั้ง "หู" และ "ตา" ในตัวเอง
นาร์ท วีลเนิฟ แกะโค้ดซึ่งเป็นภาษาเฉพาะตัวที่ฝังอยู่ในไฟล์ พบลักษณะจำเพาะจำนวน 22 ตัว ซึ่งเค้าใช้เป็นข้อมูลในการตรวจสอบแหล่งที่มาของมันผ่านเว็บ กูเกิล ได้ในท้ายที่สุด
ประเทศไหนถูกเพ่งเล็งเป็นพิเศษ
วงกลมที่เห็นในภาพ คือ กลุ่มประเทศที่ถูกตรวจสอบและพบว่ามีการล้วงข้อมูลในระยะเวลา 2 ปีที่ผ่านมา (ปี 2551 และ 2552) และประเทศไทยก็อยู่ในกลุ่มโดนล้วงด้วย ก็แสดงว่า อาจเป็นคนที่เรารู้จักหรือไม่ใครก็ใครคนหนึ่งแหละ ที่โดนล้วงข้อมูลไปเรียบร้อยแล้ว
ถ้าหากเป็นข้อมูลเรื่องความมั่นคงของประเทศไทยเราโดนล้วงไป เจ้าหน้าที่ฝ่ายความมั่นคงหรือรัฐบาลคงได้หนาวๆ ร้อนๆ กันเป็นแถบล่ะ
ยังไม่พอยังสร้างเว็บตกเบ็ดเอาไว้อีก
นอกเหนือไปจากเข้าควบคุมเหยื่อด้วยอีเมล์แล้ว Ghostnet ยังสร้างเว็บไซต์ตกเบ็ด (Phishing Website) เพื่อหลอกล่อให้ผู้ใช้คอมพิวเตอร์คลิกลิงค์ หรือเข้ามาชมเว็บ ก็จะโดนโทรจันตัวเดียวกันนี้ด้วย
นาร์ท วีลเนิฟ พระเอกหมวกขาวในเรื่องนี้ของเรา ก็ยังตามรอยไปจนพบว่า เว็บไซต์ที่ว่านี้ใช้บริการของเว็บโฮสติ้งจากรัฐแคลิฟอร์เีนียใต้ ใต้จมูกของเอฟบีไอและซีไอเอนั่นเอง
บทสรุปส่งท้าย
แน่นอนที่สุด รัฐบาลจีนปฏิเสธอย่างทันควัน โดยนาย ซ่ง เสี่ยวจวิน นักวิเคราะห์ทางการทหารและยุทธศาสตร์ในกรุงปักกิ่ง บอกกับไชน่า เดลี่ (นสพ.จีน) ว่า กรณีดังกล่าวเป็นประเด็นการเมืองล้วนๆ โดยกลุ่มตะวันตกพยายามระบายสีต่อเติมเรื่องเกินจริง
องค์กรเฝ้าระวังสงครามข้อมูลของแคนาดา (IWM) เองก็เชื่อว่าอาจจะเป็นกลุ่มแฮกเกอร์รับจ้าง หรืออาจจะเป็นกลุ่มแฮกเกอร์เอกชนชาวจีน ที่รู้จักกันในนาม "แฮกเกอร์รักชาติ" ก็ได้ และได้ส่งเรื่องให้กับเอฟบีไอเรียบร้อยแล้ว
เว็บบล็อกของ f-secure.com เองก็ได้รายงานเรื่องนี้โดยละเอียด สามารถโหลดเอกสาร PDF ได้ <ที่นี่> หรือ คลิกดูวีดีโอจาก Youtube ได้ <ที่นี่>
Reference and Thanks : manager.co.th | matichon.co.th | f-secure.com
1 ความคิดเห็น:
ต้องระวังตัวหน่อยแล้ว
แสดงความคิดเห็น