“มิโรสลาฟ สแตมปาร์” นักวิจัยมัลแวร์ในสังกัดทีมรับมือสถานการณ์ฉุกเฉินทางคอมพิวเตอร์ (เซิร์ท) ของรัฐบาลโครเอเชีย เปิดเผยถึงการค้นพบมัลแวร์ตัวใหม่ประเภท “เวิร์ม” ที่สามารถแพร่ระบาดผ่านฟังก์ชั่น “เซิร์ฟเวอร์ แมสเสจ บล็อก” หรือ “เอสเอ็มบี” ทำนองเดียวกันกับ “แรนซัมแวร์” เรียกค่าไถ่ชื่อดังอย่าง “วอนนาคราย” แต่มีความร้ายกาจกว่าหลายเท่าตัว และยังไม่มี “คิลสวิตช์” อีกด้วย
ความร้ายแรงของมัลแวร์ใหม่นี้น่าวิตกมาก จนแรกสุด สแตมปาร์ คิดจะตั้งชื่อมันว่า “ดูมส์เดย์เวิร์ม” หรือ “หนอนล้างโลก” ด้วยซ้ำไป แต่เลือกใช้ชื่อ “อีเทอร์นัลร็อก” แทนในที่สุดเพื่อแสดงให้เห็นว่าหนอนมัลแวร์ตัวนี้เชื่อมโยงกับเครื่องมือสอดแนมที่สำนักงานความมั่นคงแห่งชาติ (เอ็นเอสเอ) ของสหรัฐอเมริกาคิดค้นขึ้น แล้วถูกกลุ่มแฮกเกอร์เจาะระบบนำออกมาเผยแพร่ออนไลน์เมื่อเร็วๆ นี้
รายละเอียดที่เผยแพร่ผ่านเว็บบล็อก “บลีพพิงคอมพิวเตอร์” ระบุว่า “อีเทอร์นัลร็อก” ใช้ประโยชน์จากเครื่องมือสอดแนมในโลกไซเบอร์ของเอ็นเอสเอ ถึง 7 เครื่องมือในการทำงานของมัน โดย 6 ใน 7 เครื่องมือเป็นเครื่องมือที่ใช้ประโยชน์จากช่องโหว่ “เอสเอ็มบี” ที่เอ็นเอสเอค้นพบ ประกอบด้วย “อีเทอร์นัลบลู” แบบเดียวกับที่ “วอนนาคราย” ใช้, “อีเทอรนัลแชมเปี้ยน”, “อีเทอร์นัลซินเนอร์จี”, “อีเทอร์นัลโรมานซ์” และยังอาศัยเครื่องมือสอดแนมของเอ็นเอสเออย่าง “เอสเอ็มบีทัช” และ “อาร์คทัช” สำหรับสอดแนมเครื่องคอมพิวเตอร์ที่ติดไวรัสนี้อีกด้วย สุดท้าย อีเทอร์นัลร็อกดึงเอา “ดับเบิลพัลซาร์” มาใช้เป็นเครื่องมือในการแพร่ตัวเองจากระบบหนึ่งไปยังอีกระบบหนึ่ง ผ่าน “แบ๊กดอร์” ที่เครื่องมือชนิดนี้ทำให้มันเปิดอยู่ตลอดเวลานั่นเอง
“อีเทอร์นัลร็อก” ใช้กระบวนการติดตั้งตัวเองแบบ 2 ขั้นตอนสำหรับการโจมตี โดยการติดตั้งขั้นตอนที่ 2 จะถูกหน่วงเวลาให้ห่างจากขั้นแรกถึง 24 ชั่วโมงอย่างจงใจ ซึ่งส่งผลให้มัลแวร์ตัวนี้สามารถทำงานแบบปิดลับได้มากกว่าและหลีกเลี่ยงจากการตรวจพบได้ง่ายกว่า “วอนนาคราย” อีกด้วย
ในขั้นตอนแรกนั้น “อีเทอร์นัลร็อก” จะฝังตัวเองลงในระบบแล้วดาวน์โหลด “ทอร์” (คือโปรแกรมที่ทำให้ท่องอินเตอร์เน็ตได้แบบนิรนาม) แล้วโยงเครื่องคอมพิวเตอร์เข้ากับเซิร์ฟเวอร์ควบคุมและออกคำสั่ง ซึ่งติดตั้งอยู่บนเครือข่ายทอร์ในเครือข่ายอินเตอร์เน็ตนอกกฎหมายที่เรียกกันว่า “เดอะ ดาร์กเว็บ” จากนั้นจะเก็บตัวเงียบ 24 ชั่วโมง เซิร์ฟเวอร์ควบคุมและสั่งการจึงจะเริ่มป้อนคำสั่งเข้ามา เป็นการเริ่มการโจมตีขั้นที่ 2 นั่นเอง เทคนิคการหน่วงเวลาโจมตีดังกล่าวเชื่อว่าเพื่อหลบเลี่ยงไม่ให้ผู้เชี่ยวชาญตรวจพบและวิเคราะห์ตัวมันได้โดยเร็วนั่นเอง
อันตรายของ “อีเทอร์นัลร็อก” ยังมาจากการที่เครื่องคอมพิวเตอร์ทุกเครื่องที่ติดมัลแวร์นี้ รันโปรแกรม “ดับเบิลพัลซาร์” อยู่ตลอดเวลา โปแกรมดังกล่าวมีคุณสมบัติในการเปิดแบ๊กดอร์ของเครื่อง นอกจากนั้นตัว “ดับเบิลพัลซาร์” เองยังไม่มีการเขียนรหัสป้องกันไว้ ทำให้ใครก็ตามที่ต้องการโจมตีคอมพิวเตอร์เครื่องดังกล่าวสามารถใช้งาน “ประตูหลัง” ที่เปิดอยู่ตลอดเวลาได้ ทำให้ถูกเจาะระบบได้ง่ายและระบบทั้งหมดสามารถติดเชื้อมัลแวร์อื่นๆ ได้โดยง่ายอีกด้วย
มิโรสลาฟ สแตมปาร์ ระบุว่า “อีเทอร์นัลร็อก” ซึ่งถูกปล่อยออกมาในขั้นทดลองระหว่างการพัฒนาครั้งนี้ สามารถปรับแต่งให้กลายเป็นแรนซัมแวร์ หรือเป็นโทรจันฝังตัวอยู่ในระบบคอมพิวเตอร์ของธนาคารได้ง่าย ทำให้มีโอกาสที่จะกลายเป็นภัยคุกคามความปลอดภัยทางไซเบอร์ครั้งใหญ่ได้ไม่แพ้วอนนาครายเหมือนกัน
สแตมปาร์ระบุว่า ช่องโหว่ เอสเอ็มบี กลายเป็นเครื่องมือสำคัญของคนร้ายในการโจมตีออนไลน์มากขึ้นตามลำดับ ดังนั้น ผู้ใช้คอมพิวเตอร์ควรเร่งอัพเดตซอฟต์แวร์และติดตั้งแพทช์ให้ใหม่ที่สุดโดยเร็วเป็นการป้องกันไว้ก่อนจะดีที่สุด
