แฮกเกอร์ใช้ประโยชน์จากสถาปัตยกรรม Google Cloud ช่วยในการหลอกขโมยรหัสผ่านจากเหยื่อ

บริการ Cloud นั้นมักเป็นที่นิยมในการใช้งานขององค์กรต่าง ๆ รวมถึงบุคคลทั่วไปเนื่องมาจากประสิทธิภาพในการทำงาน และความปลอดภัยของระบบ แต่ระบบทุกระบบย่อมมีช่องโหว่ และบางอย่างแฮกเกอร์ก็สามารถเอาไปใช้งานได้อย่างที่หลายคนคาดไม่ถึง!

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงพฤติกรรมของแฮกเกอร์ 2 กลุ่ม ที่มีชื่อว่า PINEAPPLE และ FLUXROOT ซึ่งเป็นกลุ่มแฮกเกอร์จากภูมิภาคลาตินอเมริกา ได้มีการใช้ประโยชน์จากสถาปัตยกรรมแบบไร้เซิร์ฟเวอร์ (Serverless) ของ Google Cloud มาใช้เป็นส่วนหนึ่งในแผนการหลอกลวงแบบ Phishing เพื่อโจรกรรมรหัสผ่านจากเหยื่อ

สำหรับสถาปัตยกรรมแบบไร้เซิร์ฟเวอร์นั้น ทาง Google ได้กล่าวบนรายงาน Threat Horizon Report ว่า “เป็นฟีเจอร์ที่จะช่วยดึงดูดให้ทั้งนักพัฒนาและองค์กรทางธุรกิจต่าง ๆ เข้ามาใช้บริการมากขึ้น จากความยืดหยุ่นในการใช้งาน, ความคุ้มราคา, ประสิทธิภาพที่ดี, และความง่ายต่อการใช้งาน แต่ในเวลาเดียวกันก็ดึงดูกลุ่มผู้ไม่ประสงค์ดีเข้ามาเช่นเดียวกัน ซึ่งกลุ่มผู้ไม่ประสงค์ดีมักจะใช้ความสามารถของสถาปัตยกรรมนี้ในการติดต่อสื่อสารกับมัลแวร์ (ซึ่งเป็นรูปแบบที่เรียกว่า Command and Control หรือ C2 อันเป็นเซิร์ฟเวอร์ที่ใช้ในการควบคุมและสื่อสารระหว่างมัลแวร์กับทีมแฮกเกอร์ - ผู้เรียบเรียง), การใช้ประโยชน์เพื่อเป็นโฮสต์ (Host) ในการฝากหน้าเพจปลอมที่ใช้หลอกลวงเหยื่อ, รวมทั้งใช้เป็นจุดรันสคริปท์มัลแวร์ที่ถูกออกแบบให้ทำงานในสภาพแวดล้อมแบบไร้เซิร์ฟเวอร์โดยเฉพาะอีกด้วย”

ซึ่งจากรายงานโดย Google นั้นได้มีการตรวจพบว่า ทีมแฮกเกอร์ FLUXROOT ได้มีการใช้งานประโยชน์ตามที่กล่าวมาในข้างต้นเพื่อการปล่อยมัลแวร์ Grandoreiro ซึ่งเป็นมัลแวร์สำหรับขโมยเงินจากบัญชีธนาคารของเหยื่อ (Banking Trojan) ซึ่งทีมแฮกเกอร์ดังกล่าวนั้น นอกจากจะใช้ประโยชน์จาก Google Cloud แล้ว ยังมีรายงานว่ากลุ่มแฮกเกอร์ได้ใช้บริการจาก Microsoft Azure และ Dropbox ร่วมในแผนโจรกรรมผ่านมัลแวร์อีกด้วย

นอกจากนั้น ยังมีรายงานว่ากลุ่มแฮกเกอร์ PINEAPPLE ยังมีการใช้งานบัญชีบริการ Instances และ Projects บน Google Cloud ที่ถูกแฮก เพื่อสร้าง URLs Container ที่ดูมีความน่าเชื่อถือบนบริการโดเมนแบบไร้เซิร์ฟเวอร์ของ Google Cloud เช่น cloudfunctions[.]net และ run.app เพื่อใช้เป็นเพจในการหลอกเหยื่อที่ เมื่อหลังจากคลิ๊กเข้ามาแล้วเหยื่อจะถูกสคริปท์ของเพจที่ฝากไว้บนบริการของ Google Cloud ทำการเปลี่ยนเป้าหมาย (Redirect) ให้เหยื่อเข้าสู่เพจที่มีอันตรายที่ทางแฮกเกอร์วางไว้เพื่อปล่อยมัลแวร์ Astaroth ซึ่งเป็นมัลแวร์ประเภท Infostealer หรือ มัลแวร์สำหรับการขโมยข้อมูล

โดยทาง Google นั้นได้รับทราบปัญหาดังกล่าวมาโดยตลอด แต่เนื่องจากเป็นปัญหาที่เกิดจากการใช้งานประสิทธิภาพของตัวสถาปัตยธรรม อันเป็นช่องโหว่ในเชิงระบบทำให้แก้ไขได้ยาก แต่ Google ก็ไม่นิ่งเฉย โดยทางผู้พัฒนานั้นได้ทำการลบเว็บไซต์อันตรายที่ใช้งานบนบริการของตนออก รวมทั้งมีการอัปเดต รายชื่อการค้นหาเว็บไซต์ที่ปลอดภัย (Safe Browsing lists) อยู่ตลอดเวลาเช่นเดียวกัน

สำหรับผู้ใช้งานทั่วไป ทางทีมข่าวก็ยังคงแนะนำอย่างเดิมว่าขอให้มีความระมัดระวังในการเข้าเว็บไซต์ หรืออาจจะหาเครื่องมือที่ช่วยให้การค้นหาปลอดภัยมากขึ้น (Safe Browsing) เข้ามาติดตั้งด้วยก็ได้ โดยเครื่องมือมักติดมากับซอฟท์แวร์แอนตี้ไวรัสต่าง ๆ และสำหรับฟากผู้พัฒนา ขอให้หมั่นเช็คบัญชีการใช้งานของตนอยู่เสมอว่ายังสามารถเข้าได้ หรือไม่มีการถูกใช้งานแบบแปลกปลอมต่าง ๆ ซึ่งถ้ามีการตรวจพบ ขอให้ทำการลบ, เปลี่ยนรหัสผ่าน, จัดการระบบป้องกัน, และทำการปรึกษากับฝ่ายบริการลูกค้าของ Google Cloud เพื่อจัดการในขั้นถัดไป