มัลแวร์จากจีนระบาด! พบเหยื่อกว่า 170 ประเทศ ติดมัลแวร์ PlugX

ประเทศจีนเป็นหนึ่งในประเทศที่ถูกจับตามองมากที่สุดประเทศหนึ่งของโลกไม่ว่าจะในแง่บวกหรือแง่ลบ ไม่ว่าจะเป็นในเรื่องการพัฒนาทั้งทางด้านเศรษฐกิจ และเทคโนโลยี รวมไปถึงการที่บุคลากรเชื้อสายจีนหลายคนนั้นต่างได้รับความไว้วางใจการทำงานสำคัญต่าง ๆ ไปทั่วโลก แต่ข่าวนี้อาจเป็นข่าวที่สร้างชื่อที่ไม่ค่อยดีเท่าไหร่สำหรับประเทศจีน

ทีมนักวิจัยจากบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ Sekoia ได้ค้นพบว่ามัลแวร์ตัวหนึ่งที่มีชื่อว่า PlugX ซึ่งเป็นมัลแวร์ที่มีจุดเริ่มต้นจากการแพร่กระจายผ่านไดร์ฟแบบ USB ที่เริ่มแพร่กระจายมาตั้งแต่ช่วงปี ค.ศ. 2008 (พ.ศ. 2551) นั้น ซึ่งถูกสืบจนพบว่าสร้างโดยองค์กรที่มีความเกี่ยวข้องกับกระทรวงความมั่นคงแห่งประเทศจีน หลังจากที่ทางบริษัทได้ทำการเข้ายึดเซิร์ฟเวอร์ที่เป็นศูนย์ควบคุมการทำงานของมัลแวร์ดังกล่าว (Command and control หรือ C2) จนได้ข้อมูลสำคัญของตัวมัลแวร์ออกมา

นอกจากนั้นแล้วจากการตรวจสอบเซิร์ฟเวอร์ดังกล่าวนั้น ทาง Sekoia ได้พบการส่ง Request มาจาก IP Address จำเพาะ (Unique IP address) มากกว่า 90,000 - 100,000 หมายเลขต่อวัน โดยหลังจากทางทีมงานได้ทำการเฝ้าสังเกตการณ์การทำงานมากกว่า 6 เดือน ทำให้พบว่ามีหมายเลข IP มากกว่า 2.5 ล้าน หมายเลข เชื่อมต่อกับเซิร์ฟเวอร์ดังกล่าว ซึ่งมากกว่าข้อมูลที่มีในตอนแรกที่พบเหยื่อเพียงหลักพันรายเท่านั้น ซึ่ง 80% ของเหยื่อนั้นมาจากประเทศไนจีเรีย, อินเดีย, อิหร่าน, อินโดนีเซีย และสหรัฐอเมริกา โดยรวมแล้วมัลแวร์ตัวดังกล่าวนั้นได้แพร่กระจายไปสู่เหยื่อในประเทศต่าง ๆ มากกว่า 170 ประเทศ 

โดยตัวมัลแวร์ PlugX นั้นเป็นมัลแวร์ที่อยู่ในประเภท Remote Access Trojan (RAT) ที่จะเปิดทางให้แฮกเกอร์สามารถทำการเข้าควบคุมเครื่องจากระยะไกลผ่านตัวกลางเซิร์ฟเวอร์ C2 ตามที่กล่าวมาข้างต้น ซึ่งตัวมัลแวร์ PlugX นั้นสามารถโจมตีเหยื่อได้หลากรูปแบบ ไม่ว่าจะเป็นการขโมยข้อมูลด้วยการบันทึกหน้าจอของเหยื่อ, ดักจับการพิมพ์ของเหยื่อ, ขโมยข้อมูลระบบของเหยื่อ ไปจนถึงการเข้าควบคุมตัวระบบ เช่น การจัดการ Process ต่าง ๆ  ทั้งการรัน Process ตัวใหม่ หรือหยุดการทำงานของ Process ไปจนถึง การจัดการ Services ของระบบ และ Windows Registry ต่าง ๆ เป็นต้น

ภาพจาก https://countuponsecurity.com/2018/05/09/malware-analysis-plugx-part-2/

ซึ่งทางทีมวิจัยของบริษัท Sophos ซึ่งเป็นผู้พัฒนาซอฟต์แวร์ความปลอดภัยไซเบอร์ในระดับองค์กรนั้น ก็ได้ออกมาเปิดเผยการค้นพบที่สอดคล้องกับสิ่งที่ทาง Sekoia ได้รายงานมาในข้างต้นคือ ได้มีการค้นพบการระบาดของมัลแวร์ PlugX สายพันธุ์ใหม่ในช่วงปี ค.ศ. 2023 (พ.ศ. 2566) ซึ่ง ณ เวลานั้น ได้ถูกจำกัดความเป็น “การระบาดในท้องถิ่น” โดยได้เกิดขึ้นในประเทศปาปัวนิวกินี, กาน่า, มองโกเลีย, ซิมบับเว, และไนจีเรีย ด้วยการติดต่อผ่านทางไดร์ฟ USB

ทาง Sekoia ยังคาดการณ์อีกว่า การแพร่ระบาดของมัลแวร์ดังกล่าวนั้นอาจเกี่ยวข้องกับโครงการ “เข็มขัด และถนน” (Belt and Road) ของทางรัฐบาลจีน ประเทศส่วนมากที่มัลแวร์ตัวนี้ระบาดอยู่นั้นล้วนแต่เป็นประเทศที่อยู่ในโครงการนี้ทั้งสิ้น ซึ่งทีมงานคาดการณ์ว่า ทางรัฐบาลจีนใช้มัลแวร์นี้เพื่อเก็บข้อมูลในวัตถุประสงค์ด้าน “ยุทธศาสตร์ความมั่นคง” ในอาณาบริเวณดังกล่าว