เล่นใหญ่ ไฟกระพริบ ! แฮกเกอร์ปล่อยมัลแวร์ใส่ ISP เพื่อขโมยรหัสผ่านลูกค้า

การโจมตีด้วยมัลแวร์นั้น แฮกเกอร์มักจะมุ่งเน้นโจมตีกลุ่มผู้ที่ใช้งานทั่วไป และกลุ่มผู้ใช้งานระดับองค์กรเสียมากกว่า แต่ในเวลานี้ การโจมตีของแฮกเกอร์ได้ไปไกลกว่านั้นแล้ว

จากรายงานโดยเว็บไซต์ Ars Techinica ได้รายงานถึงเหตุการณ์ การโจมตีด้วยมัลแวร์โดยกลุ่มแฮกเกอร์จากประเทศจีน ที่พุ่งเป้าไปที่ผู้ให้บริการอินเทอร์เน็ต (Internet Service Providers หรือ ISPs) ถึง 4 รายในประเทศสหรัฐอเมริกา ด้วยมีจุดประสงค์ในการที่จะขโมยข้อมูลรหัสผ่านต่าง ๆ ของกลุ่มผู้ใช้งานทั่วไป

ทีมนักวิจัย Black Lotus Labs ซึ่งเป็นส่วนหนึ่งของบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ Lumen ได้รายงานว่า การที่แฮกเกอร์สามารถกระทำการดังกล่าวได้นั้น มาจากการใช้ช่องโหว่ที่อยู่บนเครื่องมือจัดการระบบเครือข่าย และโครงสร้างพื้นฐานบนหน้าจอเดียว (Dashboard) ที่มีชื่อว่า Versa Director เปิดทางให้แฮกเกอร์สามารถติดตั้งมัลแวร์ที่ทำหน้าที่เป็นเครื่องมือสำหรับการควบคุมทางไกลที่มีชื่อว่า VersaMem เพื่อเข้าจัดการระบบจากระยะไกลได้ด้วยสิทธิ์ระดับผู้ดูแลระบบ (Administrator) โดยเครื่องมือ VersaMem นั้นจะมีฟังก์ชันหนึ่งที่สามารถใช้ในการดักจับข้อมูลรหัสผ่านต่าง ๆ ที่ไหลผ่านระบบเครือข่ายได้ ทำให้แฮกเกอร์สามารถขโมยข้อมูลรหัสผ่านของลูกค้า ISPs เจ้าที่ตกเป็นเหยื่อได้ทั้งหมดผ่านเครื่องมือดักจับเพียงชิ้นเดียว ซึ่งทางทีมวิจัยไม่ได้ระบุว่าบริษัท ISPs รายใดบ้างที่ได้รับผลกระทบจากการโจมตีดังกล่าว

โดยการอัปเกรดสิทธิ์ในการเข้าถึงระบบนั้น ทางทีมวิจัยได้อธิบายว่า เป็นการใช้งานช่องโหว่ CVE-2024-39717 ซึ่งเป็นช่องโหว่ระดับ Zero-Day (ช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์) บน Versa Director ซึ่งเปิดโอกาสให้แฮกเกอร์สามารถอัปโหลดไฟล์ที่ปนเปื้อนโค้ด Java เข้าสู่ระบบของ Versa เพื่อทำการอัปเกรดสิทธิ์ในการเข้าถึงตัวระบบได้ ซึ่งเวอร์ชันของ Versa Director ที่ได้รับผลกระทบนั้นจะเป็นเวอร์ชัน 22.1.4 และเวอร์ชันก่อนหน้าทั้งหมด โดยข่าวดีก็คือ ทางผู้พัฒนาเครื่องมือดังกล่าวได้ทำการออกแพทช์เพื่ออัปเดตปิดช่องโหว่ดังกล่าวแล้ว หลังจากที่ทางบริษัท Lumen ได้ทำการแจ้งเตือนถึงช่องโหว่ดังกล่าวไป

ในส่วนของการโจมตีระบบนั้น ทางทีมวิจัยได้กล่าวว่า จากการตรวจสอบคาดการณ์ว่าแฮกเกอร์นั้นเข้าสู่ระบบด้วยการใช้พอร์ต 4566 ของซอฟต์แวร์ Versa Director ซึ่งเป็นพอร์ตที่มีความว่างสูง (High-Availability Pairing) ในการเชื่อมต่อ Node ต่าง ๆ เข้าด้วยกัน ด้วยการใช้อุปกรณ์สำหรับออฟฟิศขนาดเล็ก (SOHO หรือ Small Office Home Office) ในการเจาะเข้าสู่ระบบในครั้งแรก (Initial Access) นอกจากนั้นยังพบว่า ทางแฮกเกอร์ยังมีการใช้การยิง HTTPS Connection จำนวนมากเพื่อเข้าสู่พอร์ต 443 ซึ่งคาดว่าเกิดจากการยิงผ่านอุปกรณ์ SOHO เช่นเดียวกัน เพื่อทำการอัปโหลดไฟล์ที่ใช้ในการอัปเกรดสิทธิ์ใช้งานระบบตามที่ได้กล่าวไว้ข้างต้น

สำหรับในส่วนเครื่องมือ VersaMem นั้น ทางทีม Black Lotus Labs ได้ระบุว่า เครื่องมือดังกล่าวนั้นถูกออกแบบมาในรูปแบบ Modular ทำให้ผู้ใช้งานซึ่งในที่นี้คือกลุ่มแฮกเกอร์สามารถดัดแปลง เสริมแต่งตัวเครื่องมือได้ตามจุดประสงค์ในการใช้งานที่ต่างออกไป ไม่สามารถถูกตรวจจับได้โดยแอนตี้ไวรัส (Anti-Virus) หรือแม้แต่เครื่องมือป้องกันในส่วนของอุปกรณ์ต่าง ๆ ที่เชื่อมต่ออยู่ (Endpoint Detection and Response หรือ EDR) ได้

นอกจากนั้นแล้วโค้ดที่ใช้ในส่วนของการขโมยรหัสผ่านนั้นยังถูกสร้างมาใช้รูปแบบของการรันอยู่บนหน่วยความจำเท่านั้น (Memory-Only) อีกต่างหาก ทำให้การถูกตรวจจับโดยระบบป้องกันนั้นยากยิ่งขึ้นไปอีก ซึ่งทางทีมวิจัยนั้นคาดหวังว่า หลังจากทำการวิจัยในเชิงลึกแล้ว จะนำไปสู่การสร้างเครื่องมือที่สามารถป้องกันมัลแวร์ตัวนี้ได้ในอนาคตอันใกล้

ในปัจจุบันนั้นยังไม่มีข่าวการโจมตีในรูปแบบเดียวกันสำหรับกลุ่มผู้ให้บริการอินเทอร์เน็ต หรือ ISPs ในไทย แต่กรณีนี้ก็เป็นกรณีศึกษาที่ดีกว่า ต่อให้ผู้ใช้งานป้องกันตัวอย่างดีที่สุดแล้วก็อาจจะมีความเสี่ยงที่จะถูกขโมยรหัสผ่านได้ เป็นสาเหตุที่ทำให้การเปลี่ยนรหัสผ่านบ่อย ๆ และการใช้งานเครื่องมือเพื่อการเข้าถึงระบบแบบหลายชั้น (Mulit-Factors Authentication) ถึงเป็นข้อแนะนำที่ผู้เชี่ยวชาญมักแนะนำให้ใช้งานปัจจุบัน