Backdoor หรือประตูหลังของระบบ นั้นมักจะเป็นปัญหาอมตะที่ถูกใช้งานมาโดยทุกยุคทุกสมัยในการลักลอบเข้าสู่ระบบเครื่องของเหยื่อ ที่ถึงแม้จะมีการพยายามอุดรอยรั่วของระบบอย่างเสมอมาก็ตาม แต่การใช้เครื่องมือเพื่อเปิดประตูหลังเข้าสู่ระบบก็ยังคงมีอยู่เสมอมา ข่าวนี้อาจสร้างความน่าหวั่นใจใหม่ให้กับผู้ที่ใช้งาน Windows
จากรายงานโดยเว็บไซต์ The Hacker News ได้มีการตรวจพลมัลแวร์สายพันธุ์ใหม่โดยทาง Elastic Security Labs ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ โดยมัลแวร์ดังกล่าวถูกตั้งชื่อว่า BITSLOTH โดยการตรวจพบนั้นเกิดขึ้นเมื่อช่วงเดือนมิถุนายนที่ผ่านมา โดยมัลแวร์ดังกล่าวนั้นเป็นส่วนหนึ่งของแคมเปญการโจมตีทางไซเบอร์ที่พุ่งเป้าไปที่กระทรวงการต่างประเทศแห่งประเทศแอฟริกาใต้ ภายใต้ชื่อแคมเปญ REF8747 โดยในการสำรวจหาต้นตอว่ามัลแวร์ตัวดังกล่าวนั้นมาจากไหน ก็ได้มีการค้นพบหลักฐานต่าง ๆ ที่อยู่ในส่วนของโค้ดต้นฉบับ (Source Code) ที่ชี้ไปถึงความเป็นไปได้ที่ผู้พัฒนานั้นจะมาจากประเทศจีน หรือกลุ่มประเทศที่ใช้ภาษาจีนเป็นหลัก แต่มีความเป็นไปได้สูงที่จะมาจากประเทศจีน เนื่องจากกลุ่มนักวิจัยได้พบการใช้งานเครื่องมือ RingQ ซึ่งเป็นเครื่องมือสำหรับการเข้ารหัสมัลแวร์เพื่อป้องกันการตรวจจับเข้ามาร่วมใช้งานในแคมเปญการฝังมัลแวร์ BITSLOTH เพื่อสอดแนมรัฐบาล ซึ่งเครื่องมือดังกล่าวนั้นเป็นที่นิยมในกลุ่มแฮกเกอร์ชาวจีน
ภาพจาก : https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
สำหรับความสามารถของมัลแวร์ BITSLOTH นั้นก็เรียกได้ว่ามีอย่างหลากหลายทีเดียว ไม่ว่าจะเป็นความสามารถในการดักจับการพิมพ์ของเหยื่อ (Keylogging), การบันทึกภาพหน้าจอ, และความสามารถอื่น ๆ ที่ ณ เวลาที่ทีมวิจัยได้เขียนรายงานนั้นมีปรากฎให้ใช้อยู่มากถึง 35 ตัว นอกจากนั้นมียังตัวตั้งรับคำสั่ง (Command Handlers) อีกจำนวนมาก เช่น Discovery, Enumeration, Command-Line Execution, และ Collection Purposes ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีการใช้ฟีเจอร์ Background Intelligent Transfer Service (BITS) หรือ บริการถ่ายโอนไฟล์จากเซิร์ฟเวอร์สู่เครื่อง ซึ่งเป็น Service ยอดฮิตที่มักใช้กับการอัปเดตเครื่องมือต่าง ๆ บน Windows เช่น Windows Update และ Microsoft Security Essential มาใช้เป็นเครื่องมือในการสื่อสารระหว่างตัวมัลแวร์กับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งเมื่อมองในภาพรวมแล้วนับว่าเป็นมัลแวร์ที่มีความสามารถสุดอันตรายและร้ายกาจทีเดียวเนื่องจากแฮกเกอร์จะสามารถจัดการควบคุมการทำงานของเครื่องเราในระดับ “ตามใจชอบ” ได้เลยหลังจากที่มัลแวร์เจ้าสู่เครื่องอย่างสมบูรณ์
ภาพจาก : https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
ซึ่งตัวไฟล์ของมัลแวร์ดังกล่าวนั้นจะมาในรูปแบบไฟล์ DLL ที่มีชื่อว่า flengine.dll ที่ฝังลงสู่เครื่องด้วยเทคนิค Side-load ผ่านไฟล์สำหรับการรัน (Executable File) ของซอฟต์แวร์สำหรับการตัดต่อเสียงชื่อดังอย่าง FL Studio ภายใต้ชื่อไฟล์ fl.exe เพื่อป้องกันการถูกตรวจจับโดยระบบรักษาความปลอดภัย
สำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไปอาจจะเบาใจได้ระดับหนึ่งเนื่องจากมัลแวร์ประเภทดังกล่าวนั้นแฮกเกอร์ได้นำมาใช้งานเพื่อโจมตี และสอดแนมองค์กรใหญ่ ๆ เช่น บรรษัท หรือหน่วยงานรัฐ โดยใช้ทั้งความสามารถและเครื่องมือสารพัดเพื่อฝังมัลแวร์ และรักษาความปลอดภัยในการส่งข้อมูลกลับไปให้พวกตน แต่ข่าวนี้อาจเป็นข่าวร้ายของหน่วยงานทั้งรัฐ และเอกชนที่ไม่อาจทราบได้ว่าจะตกเป็นเหยื่อวันใด อาจต้องมีการพิจารณาลงทุนในด้านการรักษาความปลอดภัยไซเบอร์ที่มากไปกว่าที่เป็นอยู่ เพื่อป้องกันภัยในครั้งนี้และภัยอื่น ๆ ที่มีลักษณะใกล้เคียงกัน
|