เมื่อ Telegram ไม่ใช่สวรรค์ของแฮกเกอร์อีกต่อไป

เอ่ยถึงการถูกโจมตี หลายคนอาจมีภาพของการโจมตีเหล่านั้นว่าจะน่ากลัว หากเป็นการโจมตีของอาชญากรที่มีชื่อเสียง หรือองค์กรด้านมืดยักษ์ใหญ่เหมือนที่ปรากฏในหนังฮอลลีวูด แต่สำหรับแวดวงซีเคียวริตี้แล้ว บางครั้งสิ่งเล็ก ๆ ที่เรียกว่าไวรัส (หรือมัลแวร์) นี่แหล่ะที่น่ากลัวมากกว่า

เหตุที่กล่าวเช่นนี้เพราะบริษัทซีเคียวริตี้ Forcepoint Labs ออกมาประกาศถึงมัลแวร์ชนิดใหม่ที่สามารถรับคำสั่งจากแฮกเกอร์ได้ โดยการส่งข้อมูลผ่านบริการแชทอย่างเทเลแกรม (Telegram) โดยทาง Forcepoint Labs เรียกมัลแวร์ชนิดนี้ว่า GoodSender โดยทันทีที่ติดตั้งลงในเครื่องของเป้าหมาย มันจะสร้างแอคเคานท์ระดับแอดมินขึ้นมาใหม่ และเปิดให้คอมพิวเตอร์เครื่องนั้นสามารถควบคุมได้จากระยะไกล จากนั้นก็รอคำสั่งที่จะส่งมาจากแฮกเกอร์ผ่านบริการแชท

แม้ว่านี่จะไม่ใช่ครั้งแรกที่แฮกเกอร์ออกแบบมัลแวร์ให้ใช้บริการของบริษัทอื่น ๆ ในการติดต่อสื่อสาร แต่มันทำให้จุดแข็งของบริการ Telegram กลายเป็นจุดอ่อน เนื่องจาก Telegram ทำการเข้ารหัสข้อความ คนภายนอกจึงไม่สามารถจะแกะออกมาได้ว่าคำสั่งเหล่านั้นสั่งให้ทำอะไรบ้าง สิ่งที่ทำให้ Forcepoint พบมัลแวร์ตัวนี้มาจากความบังเอิญที่บริษัทพบว่าบริการของ Telegram มีช่องโหว่ในการเข้ารหัสข้อมูล โดยการเข้ารหัสของ Telegram นั้นใช้โปรโตคอล MTProto ซึ่งมีชื่อเสียงไม่ดีนักในแง่ของการปล่อยให้เมต้าดาต้ารั่วไหล (การปล่อยให้เมต้าดาต้ารั่วไหลได้ทำให้มีโอกาสในการเข้าควบคุมและลอบอ่านข้อความที่มีการรับและส่งถึงกัน) และในระหว่างการค้นพบนี้เอง นักวิจัยของ Forcepoint ก็เจอว่าแฮกเกอร์มีการใช้บ็อทรับ-ส่งสคริปต์คำสั่งบางอย่างระหว่างกันถูกบันทึกเอาไว้ด้วย

สิ่งที่นักวิจัยมองว่าการค้นพบนี้เป็นประโยชน์ก็คือ พวกเขาสามารถใช้บันทึกข้อมูลการติดต่อสื่อสารนี้สืบสาวไปยังตัวแฮกเกอร์ได้นั่นเอง เพราะในการติดต่อสื่อสารระหว่างกันนี้เป็นการส่งคำสั่งมาโดยตรง ทำให้ไม่สามารถปกปิดไอพีแอดเดรสได้ ส่วนอีกข้อก็คือพวกเขาได้เห็นว่าแฮกเกอร์สั่งอะไรไว้กับมัลแวร์เหล่านี้บ้าง เช่น พบว่ามัลแวร์ถูกสั่งให้ถ่ายภาพหน้าจอ, ลบ – ดาวน์โหลดไฟล์, เก็บข้อมูลไอพีแอดเดรส, ก็อปปี้ข้อมูลต่าง ๆ จากคลิปบอร์ด, รีสตาร์ทคอมพิวเตอร์ เป็นต้น โดยในตอนนี้ ทาง Forcepoint ได้แจ้งช่องโหว่นี้ให้ทาง Telegram ทราบแล้ว เพียงแต่สิ่งที่ยังไม่ทราบก็คือ มัลแวร์เหล่านี้เข้ามาในเครื่องคอมพิวเตอร์ของเหยื่อได้อย่างไร ซึ่งข้อสันนิษฐานคือช่องโหว่ที่ชื่อว่า EternalBlue เครื่องมือสำหรับเจาะระบบคอมพิวเตอร์วินโดว์สที่ถูกขโมยออกมาจาก National Security Agency ของสหรัฐอเมริกา และนำมาพัฒนาต่อ โดยจะสามารถเจาะเข้าเครื่องคอมพิวเตอร์วินโดว์สที่ไม่ยอมอัปเดตแพทช์ ปัจจุบัน การโจมตีดังกล่าวมีผู้ตกเป็นเหยื่อมากกว่า 120 รายในสหรัฐอเมริกา, เวียดนาม, อินเดีย และออสเตรเลีย คำเตือนสำหรับกรณีนี้จึงอาจไม่ใช่การเตือนผู้ใช้ แต่เตือนไปถึงแฮกเกอร์ว่า เลิกคิดใช้ Telegram ในการเจาะระบบเสียดีกว่า

อ้างอิง: TechCrunch.com