| ที่มา | นสพ.มติชน |
|---|---|
| ผู้เขียน | ปิยมิตร ปัญญา [email protected] |
แรนซัมแวร์ “วอนนาคราย” กลายเป็นมัลแวร์แห่งปี 2017 ด้วยความเป็น “ที่สุด” ในหลายๆอย่างด้วยกัน ตั้งแต่การเป็นมัลแวร์ที่แพร่ระบาดเร็วที่สุด ลุกลามไปกว่า 150 ประเทศภายในระยะเวลาเพียงไม่กี่ชั่วโมง สร้างความเสียหายให้เกิดขึ้นเป็นวงกว้างมากที่สุด เพราะนอกจากจะทำให้ระบบบริหารจัดการการรักษาพยาบาลของสถานพยาบาลหลายแห่งในหลายประเทศล่มแล้ว ยังส่งผลให้ระบบบริหารจัดการด้านคมนาคมอย่างเช่นระบบรถไฟใต้ดิน ระบบเดินรถไฟ กลายเป็นอัมพาตทั้งยังทำให้ระบบการผลิต, ฐานข้อมูลของกิจการธุรกิจ, โรงงานผลิต, ธนาคาร และสถานศึกษา จำเป็นต้องปิดลงชั่วคราวอีกด้วย
มีคอมพิวเตอร์มากกว่า 300,000 เครื่องในกว่าร้อยประเทศตกเป็นเหยื่อของมัน ซึ่งนับเป็นจำนวนมหาศาลที่สุดสำหรับ มัลแวร์ ประเภท แรนซัมแวร์ ด้วยกัน
สำหรับผู้ที่ไม่คุ้นเคยกับ “ดาร์คไซด์” หรือด้านมืดของเทคโนโลยีใหม่ๆเหล่านี้ อาจต้องเริ่มต้นด้วยการทำความเข้าใจว่า “มัลแวร์” หรือ “ซอฟต์แวร์ประสงค์ร้าย” นั้นคือคำเรียกรวมๆของโปรแกรมคอมพิวเตอร์ซึ่งเขียนขึ้นมาด้วยวัตถุประสงค์ในทางที่ไม่ดีทั้งหมด เดิมทีเราเคยเรียกมันว่า “ไวรัส” แต่เมื่อมันวิวัฒนาการแตกหน่อออกไปหลากชนิดหลายประเภทเข้า ก็จำเป็นต้องหาคำเรียกจำเพาะตามลักษณะการทำงานและ/หรือวัตถุประสงค์ในการทำงานของมัน
“วอนนาคราย” ถูกเรียกว่า “เวิร์ม” หรือ “หนอน” ด้วยคุณลักษณะจำเพาะของมัน นั่นคือมันสามารถแตกตัว ขยายพันธุ์เพื่อการแพร่ระบาดของมันได้เอง มีบางคนเรียกมันว่า “โทรจัน” เพราะในทันทีที่มันติดตั้งตัวเองลงในระบบ มันจะเข้าไปสร้างไฟล์แบบโทรจันที่ดูเหมือนไฟล์ปกติ ไว้ใน “รีจิสทรี” ของเครื่องคอมพิวเตอร์ด้วย เพื่อป้องกันไม่ให้ตัวมันถูกลบทิ้งไปเมื่อปิด-เปิดเครื่องใหม่
แต่ทั้งหลายทั้งปวง “วอนนาคราย” คือ “แรนซัมแวร์” เพราะวัตถุประสงค์หลักของมันคือการเรียกค่าไถ่จากเจ้าของเครื่อง เจ้าของเน็ตเวิร์ก นั่นเอง
“วอนนาคราย” ใช้วิธีการที่แรนซัมแวร์ทำกันตามปกติ ก็คือ จัดการก็อปปี้ไฟล์ข้อมูลทั้งหลายของเรา แล้วเพิ่มรหัสป้องกันการเข้าถึงไฟล์ข้อมูลเหล่านั้นเข้าไป จากนั้นก็ลบไฟล์ข้อมูลเก่าของเราทิ้ง แล้วเรียกเงินจากเราและกับการได้รับรหัสใหม่ที่สามารถเข้าถึงแฟ้มข้อมูลของเราทั้งหมด
ในกรณีนี้ “วอนนาคราย” เรียกเงิน 300 ดอลลาร์ในรูปของเงินดิจิตอล “บิทคอยน์” ถ้าไม่จ่ายภายใน 3 วันค่าไถ่จะเพิ่มเป็นเท่าตัว ถ้าไม่ชำระ 7 วันไฟล์ข้อมูลที่เข้ารหัสไว้จะถูกลบทิ้งทั้งหมด
“วอนนาคราย” ปรากฏโฉมครั้งแรกเมื่อ 12 พฤษภาคม ถูกยับยั้งได้โดยบังเอิญจากบล็อกเกอร์ที่ใช้ชื่อว่า “มัลแวร์เทค” เวอร์ชั่นใหม่ โผล่ออกมาอีกครั้งในวันที่ 15 พฤษภาคม แต่ก็ถูกยับยั้่งแทบจะในทันทีด้วยวิธีการเดียวกัน
ปฏิบัติการตามล่าหา “ไอ้ตัวร้าย” เบื้องหลัง “วอนนาคราย” เกิดขึ้นทันทีตั้งแต่วันที่ 13 พฤษภาคมโดยผู้เชี่ยวชาญทั้งในภาคเอกชนและภาครัฐของหลายประเทศ
แต่น่าสนใจมากว่า ยิ่งผู้เชี่ยวชาญขุดลึกลงไปใน “วอนนาคราย” ปริศนาหลายอย่างกลับผุดขึ้นมามากขึ้นตามลำดับ
ความน่าสนใจของ “วอนนาคราย” ประการแรกก็คือ นี่ไม่ใช่การปรากฏตัวครั้งแรกของมัลแวร์ตระกูลนี้
“วอนนาคราย” เผยโฉมครั้งแรกออกมาเมื่อ กุมภาพันธ์ ต้นปีนี้ ครั้งนั้นไม่เพียงไม่ได้รับความสนใจมากเท่านี้ ความเสียหายยังจำกัดอย่างยิ่ง
ข้อแตกต่างสำคัญระหว่างทั้งสองครั้งก็คือ โปรแกรมที่ชื่อเต็มๆว่า “วอนนาคริปเตอร์” เวอร์ชั่น 2.0 ในครั้งนี้ มีการรวมเอา “เครื่องมือสำหรับการแพร่ระบาด” ที่สำนักงานความมั่นคงแห่งชาติ (เอ็นเอสเอ) ของสหรัฐอเมริกาเขียนขึ้น สำหรับใช้ในการแพร่ “มัลแวร์” สำหรับการสอดแนมคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการวินโดวส์ของตัวเอง
“เครื่องมือ” ที่เอ็นเอสเอ เขียนขึ้นนั้นเรียกว่า “อีเทอร์นัลบลู” อาศัยโปรโตคอลของวินโดวส์ที่ใช้ในการ “แลกเปลี่ยน” ข้อมูลซึ่งกันและกันของเครื่องคอมพิวเตอร์ในเน็ตเวิร์กทุกเครื่องที่เรียกว่า “เอสเอ็มบี” มาใช้เป็นเครื่องนำพาให้มัลแวร์ระบาดจากเครื่องหนึ่งไปสู่เครื่องหนึ่งได้ทันที โดยที่ผู้ใช้ไม่จำเป็นต้องไปทำอะไรเพิ่มเติม
นี่คือเหตุผลที่ว่าทำไม “วอนนาคริปเตอร์ 2.0” หรือวอนนาครายเวอร์ชั่นใหม่ครั้งนี้ แพร่ระบาดได้รวดเร็วเหลือหลาย และสร้างความเสียหายในวงกว้างได้ขนาดนั้น
คำถามก็คือ แล้ว “วอนนาคราย” หนใหม่นี้ ระบาดแรกเริ่มได้อย่างไร? นี่คือปริศนาใหญ่ประการแรกที่ผู้เชี่ยวชาญหลายฝ่ายยังไม่มีคำตอบที่แน่ชัดให้
โดยทั่วไปแล้ว แรนซัมแวร์ ทั้งหลาย รวมทั้ง “วอนนาคริปเตอร์1.0” เริ่มต้นการระบาดโดยอาศัย “ฟิชชิงอีเมล” ซึ่งคืออีเมลที่หลอกล่อให้ผู้ใช้เข้าใจผิดว่าเป็นอีเมลสำคัญ แล้วคลิกเปิดเพื่อดูข้อความ ซึ่งจะเป็นการคลิกเพื่อเริ่มต้นการทำงานของแรนซัมแวร์ ให้ดาวน์โหลดตัวมันเองลงมาติดตั้งในคอมพิวเตอร์เครื่องนั้น และพร้อมแพร่ระบาดไปยังเครื่องอื่นๆในเน็ตเวิร์กทั้งหมด
ในกรณีเช่นนั้น ร่องรอยของฟิชชิ่งเมล จะพบเห็นได้โดยทั่วไปในฐานข้อมูลอีเมลของเครือข่ายคอมพิวเตอร์หนึ่งๆ ไม่ว่าจะถูกโจมตีด้วยมัลแวร์นี้หรือไม่ เพราะ “วอนนาคราย” เป็นแรนซัมแวร์ที่หว่านทั่วไป ไม่จำเพาะเจาะจงใครเป็นกรณีพิเศษ
ปัญหาก็คือ คาเล็บ แบร์โลว์ นักวิจัยประจำทีมงานด้านความปลอดภัยของ ไอบีเอ็ม บอกว่า ทีมของตนตรวจสอบค้นฐานข้อมูลอีเมลย้อนหลังไปถึง 1,000 ล้านอีเมล ย้อนกลับไปจนถึงวันที่ 1 เดือนมีนาคมที่ผ่านมา ไม่พบวี่แววของฟิชชิงเมลทำนองนี้เลย
ซึ่ง ไม่เพียง “ผิดปกติอย่างมาก” ในความรู้สึกของแบร์โลว์ ยังชวนให้รู้สึกว่า “วอนนาคราย” ใหม่นี้ป้องกันได้ยากมากขึ้น
ตราบใดที่ยังไม่มีใครรู้ที่มาของจุดเริ่มต้นการแพร่ระบาดอย่างแน่ชัดเช่นนี้ ก็ยังไม่มีหนทางป้องกันที่แน่ชัดเช่นเดียวกัน
ปริศนาของ “วอนนาคราย” อีกหลายประการ แสดงออกมาให้เห็นในตัวโปรแกรม “วอนนาคริปเตอร์2.0” เอง ที่ชี้ให้เห็นว่าใครก็ตามที่เป็นผู้เขียนโปรแกรมมุ่งร้ายตัวนี้ เขียนมันขึ้นมาให้ “มีข้อบกพร่อง” มากมายเหลือเกิน
ล้วนเป็นข้อบกพร่องผิดพลาดที่ “พื้นฐานมากๆ” ชนิดที่อาชญากรไซเบอร์ในระดับที่สามารถคิดและเขียนให้ “วอนนาคริปเตอร์1.0” ควบรวมเข้ากับ “อีเทอร์นัลบลู” ได้ ไม่น่าจะทำผิดพลาด
เพราะข้อผิดพลาดที่เกิดขึ้น ไม่เพียงทำให้ “วอนนาคราย” ส่งผลเสียหายได้จำกัดเท่านั้น ยังส่งผลให้ผู้ลงมือเขียนโปรแกรม “ไม่ได้ผลตอบแทน” หรือ “ได้รับเพียงเล็กน้อย” เท่านั้นอีกด้วย
ข้อบกพร่องแรกสุดที่สะกิดใจ “นักวิเคราะห์มัลแวร์” ทั้งหลายก็คือสิ่งที่เรียกว่า “คิลสวิตช์”
“คิลสวิตช์” เป็นเครื่องมือของคนเขียนโปรแกรมมัลแวร์ สำหรับใช้ยุติการดำเนินงานทั้งหมดของตน ในกรณีที่เกิดผิดพลาดประการหนึ่งประการใดขึ้นมา หรือ เมื่อบรรลุเป้าหมายได้ค่าไถ่เรียบร้อยแล้ว
ปัญหาก็คือ ไม่เคยมีคนเขียนโปรแกรมมัลแวร์คนไหน เขียน “คิลสวิตช์” ให้อยู่ในบนอินเตอร์เน็ต หรือเป็นคิลสวิตช์แบบเว็บเบส อย่างที่วอนนาคริปเตอร์2.0 ใช้ เพราะทำให้ยับยั้งได้ง่ายมาก
“วอนนาคราย” ถูกเขียนให้ติดต่อกับ “ยูอาร์แอล” หรือที่อยู่เว็บไซต์เว็บหนึ่ง ซึ่งไม่มีการจดทะเบียนเจ้าของอยู่ตลอดเวลา ตราบเท่าที่ยูอาร์แอลดังกล่าวยังไม่จดทะเบียนทำให้มันไม่สามารถเชื่อมต่อเข้าไปได้ “วอนนาคราย” ก็จะทำงานแพร่ระบาดของมันต่อไป แต่ทันทีที่มีการจดทะเบียนยูอาร์แอลดังกล่าว คำสั่งให้ติดต่อดังกล่าวเป็นอันบรรลุผล “วอนนาคราย” ก็จะยุติการทำงาน
“มัลแวร์เทค” บล็อกเกอร์ชาวอังกฤษ พบคิลสวิตช์ที่ว่านี้โดยบังเอิญ เพียงแค่เพราะอยากติดตามดูพฤติกรรมของวอนนาคราย ว่าระบาดอย่างไรเร็วแค่ไหน เลยเข้าไปจดทะเบียนเป็นเจ้าของยูอาร์แอลดังกล่าว
ความแปลกแปร่งของเรื่องนี้ ยังมีอีก นั่นคือ เมื่อต้องการโจมตีระลอก 2 เมื่อเช้าวันที่ 15 พฤษภาคมที่ผ่านมา “วอนนาคราย” ตัวกลายพันธุ์ใหม่กลับใช้ “คิลสวิตช์” แบบเดียวกันอีกครั้ง เพียงแค่ใช้ ยูอาร์แอล ใหม่เท่านั้นเอง
ผลก็คือ ทำให้ แมทท์ ซูเช นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่มีสำนักงานอยู่ในดูไบ เข้าไปลงทะเบียนเป็นเจ้าของยูอาร์แอล แล้วยับยั้งการระบาดได้ในไม่กี่นาทีหลังเกิดการระบาด
คำถามก็คือ “ไอ้ตัวร้าย”เบื้องหลังวอนนาคราย สามารถเปลี่ยนคิลสวิตช์ใหม่ได้ง่ายๆ เอาออกไปจากอินเตอร์เน็ต หรือไม่ก็ใช้ยูอาร์แอลแบบสุ่มแทนยูอาร์แอลเดียวก็ได้
ทำไมไม่ทำ?
ความบกพร่องของโปรแกรม “วอนนาคริปเตอร์2.0” ที่ใหญ่หลวงที่สุดและทำให้ผู้เชี่ยวชาญอึ้งมากที่สุด ไม่มีคำตอบให้ว่าทำไม ก็คือ วิธีการ “ทำมาหาเงิน” จากการแพร่ระบาดของมัลแวร์ตัวนี้
ในหน้าจอที่โปรแกรมวอนนาคราย บังคับให้มีขึ้นในคอมพิวเตอร์ทุกตัวที่มันฝังตัวอยู่ บอกวิธีการจ่ายเงินค่าไถ่ข้อมูลเอาไว้ว่า ให้จ่ายผ่านระบบการใช้จ่ายเงินดิจิตอลสกุล “บิทคอยน์” วิธีการรับเงินด้วยวิธีนี้ ก็คือ ผู้ต้องการรับเงินจะไปสร้าง “บิทคอยน์ แอดเดรส” ที่ทำหน้าที่เป็นเหมือนกระเป๋าเงินเอาไว้ ให้ผู้ที่ต้องการจ่ายเงิน ซื้อเงินสกุลบิทคอยน์แล้วส่งไปไว้ที่นั่น
“วอนนาคราย” สร้าง บิทคอยน์ แอดเดรส แบบ “ฮาร์ดโค้ด” เอาไว้เพียง 4 แอดเดรส ซึ่งกลายเป็นปัญหาขึ้นมา
ปัญหาแรกที่ผู้เชี่ยวชาญหลายคนสังเกตพบก็คือ “วอนนาคราย” จะรู้ได้อย่างไรว่า เจ้าของเครื่องคอมพิวเตอร์เครื่องไหนจ่ายแล้ว เครื่องไหนยังไม่จ่าย? ข้อสรุปก็คือ ไม่มีทางรู้ได้ เพราะไม่สามารถจำแนกได้ว่าเงินมาจากไหน เป็นจำนวนเท่าใด ในเมื่อไม่รู้แล้ว เจ้าของโปรแกรม วอนนาคราย จะปลดรหัสให้กับคนที่จ่ายเงินได้อย่างไร
คำตอบก็คือ ทำไม่ได้! ถ้าจะทำให้ได้ต้องกำหนด 1 แอดเดรสต่อ 1 เครื่องคอมพิวเตอร์ เพื่อให้รู้ว่าใครจ่าย ใครไม่จ่าย
เครก วิลเลียมส์ ผู้เชี่ยวชาญด้านความปลอดภัยบนไซเบอร์ของ ทาลอส บริษัทในเครือ ซิสโก ยืนยันด้วยซ้ำไปว่า เพียงแค่กดปุ่ม “คอนแทคต์” หรือแกล้งสุ่มทำเป็นส่งรหัสแก้การเข้ารหัสมั่วๆไปให้ผู้ใช้คอมพิวเตอร์ 2-3 ราย เพื่อเป็นการแกล้งทำว่าเหยื่อจ่ายเงินเรียบร้อยแล้วก็สามารถทำให้ไฟล์ข้อมูลทั้งหมดเป็นอิสระ ไม่จำเป็นต้องจ่ายเงินแต่อย่างใด
“บิทคอยน์ แอดเดรส” เพียง 4 ตัว ยังช่วยให้ผู้เชี่ยวชาญ “แกะรอย” ผู้ที่จะเข้ามา เก็บเงินไปได้ง่ายอีกด้วย
อาจจะเป็นเพราะเหตุนี้เองที่ นอกจากจะมีคนจ่ายเงินเพียง 55,000 ดอลลาร์เท่านั้น ผู้เป็นเจ้าของ “วอนนาคราย” ยังไม่มาเก็บเงินจากทั้ง 4 แอดเดรส เลยอีกด้วย
คำถามก็คือ เงินก็ไม่เอา แต่สร้างความเสียหายจนโด่งดังเป็นที่สนใจไปทั่วโลก ผิดวิสัยโจรค่าไถ่ทั้งในโลกจริงๆและในโลกไซเบอร์อย่างยิ่งยวด
แล้ว “ไอ้ตัวร้าย” เบื้องหลังวอนนาคราย สร้างเรื่องนี้ขึ้นมาทำไม?
ถ้าวัตถุประสงค์ของการปล่อย “วอนนาคราย” ในครั้งนี้ คือการสร้างความโกลาหลอลหม่านให้เกิดขึ้นทั่้วโลก โดยไม่ประสงค์ต่อทรัพย์สินเงินทอง โฉมหน้าของ “ไอ้ตัวร้าย” ที่อยู่เบื้องหลังก็ถูกจำกัดแคบเข้ามาอย่างยิ่ง
ผู้เชี่ยวชาญระบุเป็น 2 ทาง หนึ่งคือ ประเทศอย่าง เกาหลีเหนือ ที่กำลังถูกกดดันจากมหาอำนาจเพราะโครงการพัฒนาอาวุธนิวเคลียร์ของตนเอง ปล่อยออกมาเป็นการแก้เผ็ดและบอกทั้งโลกว่า “อย่ามายุ่ง”
เกาหลีเหนือมีหน่วยงานประเภท “นักรบไซเบอร์” ของตัวเองโดยเฉพาะ มีกำลังประจำการที่ถือกันว่าเป็น “แฮคเกอร์ชั้นยอด” อยู่ราว 3,000 คน เรียกกันว่า “ยูนิท 121” หรือ “บูโร 121”
ส่วนหนึ่งของหน่วยงานนี้อ้างตัวเองว่าเป็นกลุ่มแฮคเกอร์ที่ใช้ชื่อว่า “กลุ่มลาซารัส” มีประวัติขู่กรรโชกทางไซเบอร์และเจาะระบบเพื่อเรียกเงินยาวเหยียด รวมทั้งกรณีเรียกเงินจากการแฮคระบบ โซนี เมื่อปี 2014, การเจาะระบบ “ฉกเงิน” จากแบงก์ชาติบังกลาเทศ 81 ล้านดอลลาร์ เมื่อปีที่แล้ว รวมถึงกรณีการฉกเงินจากธนาคารในเวียดนามอีกด้วย
แต่ “ลาซารัส” ไม่เคยละเว้นที่จะฉกฉวยประโยชน์ทางการเงินจากการลงมือของตนเอง ทำไมครั้งนี้ไม่ทำ?
คำตอบของผู้เชี่ยวชาญก็คือ นี่อาจไม่ใช่ฝีมือของลาซารัส หรือเกาหลีเหนือ หากแต่เป็นบางคน บางกลุ่ม ที่ต้องการโจมตี สร้างความเสียหายให้กับ เอ็นเอสเอ โดยเฉพาะ
ข้อสรุปนี้ทำให้ผู้เชี่ยวชาญหลายคนชี้ว่า คนที่อยู่เบื้องหลังเหตุการณ์นี้อาจจะเป็น “ชาโดว์ โบรกเกอร์ส” กลุ่มที่อยู่เบื้องหลังการเจาะระบบเอ็นเอสเอ แล้วนำเอา “อีเทอร์นัลบลู” ออกมาเผยแพร่นั่นแหละ
บางคนชี้ว่า ข้อสรุปนี้มีน้ำหนักมากยิ่งขึ้น เมื่อ “ชาโดว์ โบรกเกอร์ส” ออกมาประกาศจะเปิดโปงเอ็นเอสเอต่อไปในเดือนมิถุนายนที่จะถึง
และจะนำ “นวัตกรรม” ร้ายๆอีกหลายอย่างของ เอ็นเอสเอ ออกมาขายอีกด้วย!
ข้อเท็จจริงที่จะไขปริศนา “วอนนาคราย” อาจจะอยู่อีกไม่ไกลก็เป็นได้ครับ
