Pegasus สปายแวร์ในรูปแบบโทรจันที่กำลังถูกพูดถึงมากขึ้นในไทยตอนนี้มีที่มาจากไหน เป้าหมายในการโจมตีเป็นใครและผู้ใช้ทั่วไปจะป้องกันตัวเองได้ด้วยวิธีไหนบ้าง วันนี้เราจะไขข้อข้องใจกัน
ในช่วงนี้มีข้อมูลหนึ่งที่ถูกพูดถึงในไทยมากขึ้นอย่างสปายแวร์ที่มีชื่อว่า Pegasus โดยถึงแม้ว่าจะเป็นการพูดถึงในส่วนของวงการการเมือง แต่อันที่จริงแล้วนั้นเจ้าสปายแวร์ Pegasus นั้นสามารถที่จะถูกนำมาใช้งานได้จากผู้ประสงค์ร้ายทั้งหมด ดังนั้นถึงแม้ว่าจะเป็นผู้ใช้ทั่วไปอย่างเราๆ ท่านๆ เองนั้นก็ควรเป็นอย่างยิ่งที่จะต้องรู้จักเพื่อป้องกันตัวเองจากสปายแวร์ในรูปแบบนี้ให้ดีก่อน ดังนั้นในวันนี้ทาง NotebookSpec จึงอยากขอแนะนำให้ทุกท่านได้รู้จักกับเจ้าสปายแวร์ตัวนี้กัน จะน่ากลัวมากน้อยแค่ไหนและจะต้องป้องกันอย่างไรนั้นไปติดตามกันได้เลย
ต้นกำเนิดของสปายแวร์ Pegasus
ก่อนที่จะพูดถึงเจ้า Pegasus นั้นต้องขออธิบายเรื่องของสปายแวร์ก่อน สปายแวร์นั้นเป็นส่วนแตกแยกมาจากไวรัสคอมพิวเตอร์ในอดีตโดยมีจุดประสงค์หรือเป้าหมายของมันเองชัดเจนมากๆ นั่นก็คือการขโมยข้อมูลส่วนตัวของผู้ถูกสปายแวร์นั้นๆ กลับไปให้ผู้ใช้สปายแวร์เพื่อนำข้อมูลดังกล่าวไปใช้งานตามที่ผู้ประสงค์ร้ายต้องการ ในปัจจุบันนั้นเราสามารถที่จะแบ่งสปายแวร์ออกเป็น 4 กลุ่มใหญ่ๆ ดังนี้
- แอดแวร์หรือซอฟต์แวร์โฆษณา สปายแวร์แบบรูปแบบนี้ถูกพบมากตั้งแต่ในอดีตจนกระทั่งในปัจจุบันนั้นก็ยังพบได้อยู่ โดยพฤติกรรมของมันนั้นมักจะเป็นการเรียกเอาโฆษณาต่างๆ ขึ้นมาโฆษณาบนเบราว์เซอร์หรือระบบปฏิบัติการของคุณ แอดแวร์นั้นส่วนมากจะสร้างความรำคาญให้กับผู้ถูกแอดแวร์จู่โจมมากกว่า ทว่าในช่วงปี 2005 – 2008 ที่ผ่านมานั้นในต่างประเทศได้มีการระบุรูปแบบการโฆษณาผ่านเบราว์เซอร์และแอดแวร์ให้มีความแตกต่างชัดเจนมากขึ้นจนทำให้บริษัทผู้สร้างโปรแกรมในลักษณะคล้ายๆ แอดแวร์ถูกปิดกิจการลงไป ทำให้ในปัจจุบันนั้นแอดแวร์ถูกแยกออกมาจากการโฆษณาบนเบราว์เซอร์อย่างชัดเจน
- คุกกี้สุดยอดสปายแวร์ที่เชื่อเถอะว่าทุกคนจะต้องเคยเห็นแล้ว(และเกือบจะทุกครั้งที่เข้าเว็บไซต์) ซึ่งในปัจจุบันนี้เองนั้นในวงการด้านความปลอดภัยทางด้านคอมพิวเตอร์ยังเถียงกันอยู่เลยว่าสรุปแล้วเจ้าคุกกี้นี้ควรจะถูกจัดอยู่ในกลุ่มไหนกันแน่ แต่โดยปกติแล้วนั้น ณ ปัจจุบัน “คุกกี้” ยังถูกจัดว่าเป็นสปายแวร์ที่เป็นมิตรอยู่เพราะคุณจะต้องกดอนุญาตทุกครั้งก่อนที่จะให้คุกกี้ของเว็บไซต์ต่างๆ นั้นทำงานได้และการทำงานของคุกกี้นั้นยังมีจุดประสงค์ชัดเจนที่ถูกบังคับให้ต้องแจ้งกับผู้ใช้งานก่อนทุกครั้ง
- โทรจัน(ม้าไม้โทรจัน) หรือ Trojans เป็นคำย่อที่มาจากคำว่า Remote Access Trojans (RAT) ซึ่งลักษณะการทำงานนั้นคือมันจะทำการติดตั้งตัวเองลงบนเครื่องของคุณด้วยวิธีการใดวิธีการหนึ่ง(ตามแต่ผู้เขียนโทรจันเป็นผู้กำหนด) เมื่อติดตั้งแล้วผู้ที่ใช้เจ้าโทรจันนั้นๆ จะสามารถควบคุมอุปกรณ์ของคุณได้ทันที โดยมันอาจจะอยู่นิ่งๆ แล้วทำแค่การส่งข้อมูลการใช้งานของคุณไปยังผู้ไม่ประสงค์ดีหรือบางทีมันก็อาจจะเข้าควบคุมอุปกรณ์ของคุณทั้งหมดจนถึงขึ้นทำให้คุณไม่สามารถใช้อุปกรณ์นั้นๆ ได้อีกต่อไปเลยก็ได้
- ระบบเฝ้าระวังหรือ monitoring systems เป็นสปายแวร์ที่จะแอบอยู่บนอุปกรณ์ของคุณแบบเงียบๆ แต่มันจะคอยจับตาดูการใช้งานทุกอย่างของคุณอยู่ลักษณะรูปแบบการทำงานจะคล้ายๆ กับโทรจันแต่ว่ามีความแตกต่างตรงที่ระบบเฝ้าระวังนั้นจะคอยจับการทำงานอุปกรณ์นำเข้าข้อมูลของคุณอย่างเช่นคีย์บอร์ดหรือเมาส์ว่ามีการพิมพ์อะไรใช้งานอะไร คลิกอะไรรูปแบบไหนแล้วส่งกลับไปยังผู้ไม่ประสงค์ดีที่เป็นคนติดตั้งเจ้าระบบเฝ้าระวังนี้เอาไว้บนอุปกรณ์ของคุณ
จากรูปแบบใหญ่ๆ ของสปายแวร์ทั้ง 4 แบบนั้นเอาจริงๆ แล้วมันก็ถือว่าน่ากลัวทั้งหมดหากเราคิดว่ามีใครมาคอยติดตามการใช้ชีวิตประจำวันของคุณ แต่ที่น่ากลัวที่สุดคงหนีไม่พ้นสปายแวร์กลุ่มโทรจันเนื่องจากมันมีเป้าหมายที่จะจ้องข้อมูลส่วนตัวของผู้ใช้โดยเฉพาะ ซึ่งเจ้า Pegasus นั้นก็ถือว่าเป็นโทรจันรูปแบบหนึ่งที่เริ่มมีการใช้งานอย่างกว้างขวางมากขึ้นในปัจจุบันนี้
Pegasus นั้นมีต้นกำเนิดมาจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของประเทศอิสราเอลที่มีชื่อว่า NSO Group ซึ่งตามข้อมูลนั้นพบว่า NSO Group เริ่มมีการพัฒนาอย่างจริงจังตั้งแต่ในปี 2011 ที่ผ่านมาแถมที่สำคัญแล้วนั้น NSO Group ยังโพสไว้ด้วยว่าเจ้า Pegasus นั้นถูกรับรองการพัฒนาอย่างถูกต้องด้วยรัฐบาลในตอนนั้นโดยจุดประสงค์ของการพัฒนานั้นก็เพื่อเอา Pegasus ไว้ให้รัฐบาลช่วยด้านสงครามไซเบอร์และเพื่อรักษาความมั่นคงของรัฐ อีกทั้งยังเอาไว้สำหรับการสืบข้อมูลบนระบบไซเบอร์โดยการออกแบบเจ้า Pegasus นั้นได้ถูกพิจารณาในเรื่องของด้านสิทธิมนุษยชนแล้ว
ในการถูกใช้งานจริงๆ นั้น Pegasus ถูกค้นพบว่าได้นำมาใช้งานเป็นครั้งแรกในเดือนสิงหาคมปี 2016 ซึ่งตามรายงานระบุว่าผู้ที่ถูกเจ้า Pegasus เล่นงานจริงๆ เป็นรายแรกคือนักปกป้องสิทธิมนุษยชนชาวอาหรับนาม Ahmed Mansoor โดย ณ ตอนนั้นที่เขาถูกโจมตีก็เนื่องมาจากว่าได้รับข้อความที่มีการระบุเอาไว้ว่า “เป็นความลับ” แล้วเอาให้เขาคลิกลิงค์ไปแห่งหนึ่งซึ่งลิงค์ดังกล่าวนั้นได้ถูกทาง Citizen Lab ของมหาวิทยาลัยโตรอนโตตรวจสอบแล้วว่าในลิงค์ดังกล่าวนั้นเมื่อกดเข้าไปมันจะทำการเจลเบรคเครื่อง iPhone และติดตั้งเจ้า Pegasus เอาไว้บนเครื่อง
ทีนี้เมื่อถามว่าเพียงแค่คลิกลิงค์แล้วทำไมถึงเจลเบรคเครื่องได้ ทาง Citizen Lab ของมหาวิทยาลัยโตรอนโตได้บอกเอาไว้ว่าจากการตรวจสอบบนลิงค์นั้นพบว่ามันจะใช้ช่องโหว่ที่เรียกว่า zero-day ของระบบ iOS หรือให้เข้าใจง่ายๆ เลยก็คือช่องโหว่ที่ยังไม่เคยถูกพบของระบบ iOS ในการทำการเจลเบรคตัวเครื่อง สาเหตุที่รู้ว่าเจ้าสปายแวร์ตัวนี้คือเจ้า Pegasus นั้นก็เนื่องจากการตรวจสอบทั้งหมดของทาง Citizen Lab ของมหาวิทยาลัยโตรอนโตพบว่าบนโค๊ดของสปายแวร์ในลิงค์ดังกล่าวนั้นมีส่วนหนึ่งของโค๊ดที่ไปเหมือนกับผลิตภัณฑ์ของทาง NSO Group ที่มีชื่อว่า Pegasus อยู่ ดังนั้นเจ้าสิ่งนี้จึงถูกเรียกว่า Pegasus ตั้งแต่บัดนั้นเป็นต้นมา(ข้อมูลผลิตภัณฑ์ของ NSO Group ที่ถูกนำมาเทียบนี้เป็นข้อมูลที่หลุดออกมาไม่ใช่ข้อมูลที่ทาง NSO Group เผยออกมาเอง)
สาเหตุที่ Pegasus ถูกระบุว่าเป็นโทรจันประเภทหนึ่งก็มาจากการที่ทาง Citizen Lab ของมหาวิทยาลัยโตรอนโตได้ตรวจสอบแล้วพบว่าในโค๊ดบนลิงค์นั้นมีการส่งข้อมูลบางอย่างของผู้ใช้ซึ่ง ณ ตอนนั้นมีการระบุเอาไว้ว่าเป็นข้อมูลการสื่อสารทั้งหมดบนเครื่อง iPhone ของคุณ Ahmed Mansoor และยังรวบรวมข้อมูลรหัส Wi-Fi ที่คุณ Ahmed Mansoor เคยเข้าทั้งหมดส่งกลับไปที่ผู้ไม่หวังดีที่เป็นคนส่งสปายแวร์ Pegasus มา
อย่างไรก็ตามเมื่อทาง Citizen Lab ของมหาวิทยาลัยโตรอนโตสืบย้อนกลับไปพบว่าสปายแวร์ Pegasus นั้นถูกเคยนำมาใช้ปฏิบัติการจริงก่อนแล้วช่วงปี 2013 โดยสหรัฐอาหรับเอมิเรตส์(สืบจากรูปแบบโค๊ดของเจ้า Pegasus) ซึ่งผู้ที่ใช้เจ้า Pegasus นั้นก็เป็นคนในเครือรัฐบาลที่เกี่ยวข้องกับการป้องกันความปลอดภัยของรัฐนั่นเอง
วิธีการทำงานของ Pegasus และพื้นที่ที่ถูกพบว่าใช้งาน
ตามข้อมูลด้านต้นนั้นท่านจะเห็นได้ว่า Pegasus มีวิธีการทำงานดังต่อไปนี้
- หลอกเข้าลิงค์เพื่อที่จะเจาะระบบของเป้าหมาย
- ทำการเจาะระบบที่เป้าหมายใช้งานอยู่
- ทำงานเหมือนโทรจันคือเจาะระบบและส่งข้อมูลที่เกี่ยวข้อกับการติดต่อสื่อสารทั้งหมดกลับไปยังผู้ที่ทำการฝัง Pegasus ไว้
- สามารถทำการเปิดกล้องและไมโครโฟนของเป้าหมายได้ตลอดเวลาโดยที่เป้าหมายไม่รู้ตัวโดยจะสามารถบันทึกไว้ในเครื่องก่อนแล้วส่งไปยังผู้ไม่ประสงค์ดีเมื่อมีการเชื่อมต่อกับเครือข่ายได้(โดยที่ผู้ใช้ไม่สามารถที่จะหาไฟล์ดังกล่าวนั้นเจอด้วยวิธีการปกติ)
อย่างไรก็ตามแต่แล้วนั้นในช่วงเวลาที่เจ้า Pegasus ถูกระบุว่าโดนใช้งานส่วนใหญ่จะเกิดขึ้นกับนักข่าว, นักสิทธิและผู้เคลื่อนไหวทางด้านการเมืองของประเทศในโซนอาหรับซะเป็นส่วนใหญ่ ซึ่งแน่นอนว่าพวกเขาเหล่านี้นั้นไม่พอใจเท่าไรนักจึงเกิดการฟ้องร้องกันขนานใหญ่ลุกลามไปในหลายพื้นที่ ซึ่งเป้าหมายหลักที่กลายเป็นผู้โดนฟ้องนั้นก็คือบริษัท NSO Group จนทาง NSO Group ต้องมาปกป้องตัวเองด้วยการทำให้ตัวเองเปลี่ยนจากผู้ที่จะถูกฟ้องเป็นพยานที่ช่วยในเรื่องของการสืบสวนแทน
เอาเป็นว่าเรื่องดังกล่าวก็ต้องให้ศาลที่รับฟ้องร้องพิสูจน์กันต่อไปแต่เรามาดูกันที่เจ้าตัวหลักที่น่ากลัวอย่าง Pegasus ที่ขึ้นชื่อว่าเป็นโทรจันซึ่งเป็นโค๊ดโปรแกรมชนิดหนึ่งแล้วนั้นมันย่อมมากับความน่ากลัวอันหาที่สุดไม่ได้นั่นก็คือการถูกพัฒนาเพิ่มเติมโดยจากตอนต้นที่มันถูกพัฒนามาเพื่อเจลเบลค iOS 7 ณ ตอนที่ถูกค้นพบ ทว่าในปัจจุบันนั้นพบว่ามันได้ถูกพัฒนาให้หาช่องโหว่แบบ zero-day ของระบบปฏิบัติการณ์อื่นๆ อย่าง Android, Windows และ macOS ได้แล้ว นอกไปจากนั้นมันยังได้ถูกพัฒนาให้สามารถที่จะค้นหา zero-day ของแอปพลิเคชันสำหรับการติดต่อสื่อสารอย่าง iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram และ Skype ได้อีกด้วย
ตามข้อมูลระบุเอาไว้ว่าเจ้า Pegasus นี้ไม่เพียงจะทำการเจาะระบบของคุณเองผ่านทางช่องโหว่ zero-day เท่านั้น ทว่ามันยังถูกพัฒนาให้แจ้งเตือนผู้ใช้แบบเนียนๆ เพื่อเปิดช่องทางการเข้าถึงข้อมูลโดยผู้ใช้กดเองได้อีกต่างหากหากว่าช่องโหว่ zero-day ที่เจ้า Pegasus ใช้งานนั้นถูกผู้พัฒนาค้นพบและออกอัปเดทป้องกันความปลอดภัยดังกล่าวไปแล้ว(ที่สำคัญมันยังถูกพัฒนาให้มีความสามารถในการติดตั้งบนเครื่องผู้ใช้ได้เพียงแค่มีการโทรเข้าหาเครื่องดังกล่าวเท่านั้น จะรับหรือไม่รับมันก็สามารถที่จะติดตั้งได้ด้วยเช่นเดียวกัน)
สำหรับประเทศที่มีการเผยออกมาอย่างเป็นทางการแล้วว่ามีผู้ถูกเจ้า Pegasus จู่โจมอย่างแน่นอนจะมีรายชื่อดังต่อไปนี้(เรียงตามตัวอีกษร)
- Armenia
- Azerbaijan
- Bahrain
- Djibouti
- Egypt
- El Salvador
- Estonia
- Finland
- France
- Germany
- Hungary
- India
- Iraq
- Israel
- Jordan
- Kazakhstan
- Mexico
- Morocco
- Netherlands
- Panama
- Palestine
- Poland
- Rwanda
- Saudi Arabia
- South Africa
- Spain
- Thailand
- Togo
- Uganda
- Ukraine
- United Arab Emirates
- United Kingdom
- United States
- Yemen
ทั้งนี้ถึงแม้ว่าประเทศทั้ง 34 ประเทศดังกล่าวนี้จะมีรายงานว่ามีผู้ถูกเจ้า Pegasus เล่นงานแล้วนั้น ทว่าทางรัฐบาลต่างๆ ของประเทศเหล่านี้ก็ยังคงปฏิเสธเรื่องการใช้งาน Pegasus ฝนการเล่นงานผู้ที่กล่าวหา โดย ณ ปัจจุบันนี้มีการฟ้องร้องกันมากขึ้นในหลายๆ ประเทศนำโดยนักสิทธิมนุษยชน, นักข่าวและองค์กรที่เกี่ยวข้องกับสิทธิมนุษยชนในแต่ละประเทศนั้นๆ
นอกไปจากนั้นแล้วยังไม่การฟ้องร้องใหญ่ๆ ที่เกิดขึ้นจากเจ้าของแอปพลิเคชันที่ถูกเกล่าหาว่าเป็นช่องทางในการติดตั้งเจ้า Pegasus เองอย่าง Meta ผู้เป็นเจ้าของแอปพลิเคชันการติดต่อสื่อสารชื่อดังอย่าง WhatsApp ในปี 2019 ที่ทำการฟ้องร้องบริษัท NSO Group โดยตรง(แต่อย่างที่บอกว่าทาง NSO Group เองก็ฉลาดคือในหลายๆ การฟ้องร้องก็ได้มีความพยายามในการนำตัวเองจากผู้ที่โดนฟ้องไปเป็นพยานที่ช่วยในการสืบสวนแทน)
การป้องกัน Pegasus
หากท่านติดตามอ่านมาจนถึงตรงนี้จะเห็นได้ว่าเจ้า Pegasus ส่วนใหญ่จะถูกใช้งานโดยรัฐบาลของประเทศต่อเป้าหมายที่ส่วนใหญ่จะเกี่ยวข้องกับผู้ที่มีส่วนเกี่ยวเนื่องกับความมั่นคงของประเทศนั้นๆ ทว่ามันก็ไม่ได้หมายความว่าตัวของท่านที่เป็นผู้ใช้ทั่วไปจะไม่ถูกเจ้า Pegasus เล่นงานเอาได้(และไม่แน่ว่าอุปกรณ์ของคุณอาจจะมีเจ้า Pegasus ติดตั้งอยู่แล้วโดยที่คุณไม่รู้ตัวด้วยซ้ำไป)
ทว่าจากวิธีการที่เจ้า Pegasus จะเล่นงานเราได้นั้นมันมีคีย์เวิร์ดหนึ่งที่เราได้รู้นั่นก็คือ zero-day attack หรือการโจมตีผ่านทางช่องโหว่ที่ยังไม่เคยถูกค้นพบซึ่งช่องโหว่ดังกล่าวนี้นั้นหลังจากที่เจ้า Pegasus เริ่มมีชื่อเสียงออกมาทางบริษัทใหญ่ๆ ที่เป็นเจ้าของระบบปฏิบัติการณ์และเจ้าของแอปพลิเคชันการติดต่อสื่อสารก็ได้ทำงานร่วมกันมากขึ้นในการค้นหาช่องโหว่ zero-day ให้ได้ก่อนที่ผู้ไม่ประสงค์ดีจะค้นพบอย่างเช่น Apple เองก็มีการเปิด Apple’s bug-bounty program ให้บรรดานักพัฒนาช่วยกันหาช่องโหว่ของระบบโดยช่องโหว่ที่เป็นจุดสำคัญและหาพบยากๆ นั้นสามารถที่จะทำเงินจาก Apple ได้มากถึง $200,000 เลยทีเดียว(แต่เอาเข้าจริงๆ ก็ถือว่าเป็นเงินที่น้อยนิดหากพิจารณาจากงบการเงินที่ทาง Apple ใช้ในการซื้อโค๊ดช่องโหว่ของระบบปฏิบัติการณ์ของตัวเองจากตลาดมืด)
เมื่อทางผู้พัฒนาต้นพบช่องโหว่ของแอปพลิเคชันตัวเองหรือระบบปฏิบัติการณ์ของตัวเองแล้วนั้น โดยทั่วไปหากเป็นช่องโหว่ที่มีความสำคัญมากๆ ก็จะมีการปล่อยอัปเดทความปลอดภัยของแอปพลิเคชันออกมาอย่างรวดเร็ว
ดังนั้นวิธีที่เราๆ ท่านๆ จะสามารถระวังเจ้า Pegasus ได้ดีที่สุดนั่นก็คือการหมั่นอัปเดทแอปพลิเคชันและระบบปฏิบัติการณ์ของอุปกรณ์ที่ใช้งานอยู่เป็นประจำ ไม่คลิกเข้าลิงค์ที่ส่งมาจากบุคคลที่ไม่รู้จักหรือเบอร์แปลกๆ ไม่ว่าจะเป็นข้อความปกติหรือข้อความที่ถูกส่งผ่านมาทางแอปพลิเคชันติดต่อสื่อสารต่างๆ นอกไปจากนั้นการเปิดการเข้าสู่ระบบแบบ 2 ช่องทางหรือ two-factor authentication ก็ยังเป็นอีกวิธีการหนึ่งที่สามารถจะช่วยให้คุณปลอดภัยได้มากขึ้น
แต่ก็อย่างที่บอกว่าด้วยการที่เจ้า Pegasus ใช้ช่อง zero-day ทำให้การป้องกันจากทางผู้ใช้เองนั้นทำได้ค่อนข้างยากเพราะเอาเข้าจริงๆ แล้วชีวิตประจำวันนี้หากจะไม่ถูกเจ้า zero-day โจมตีเลยคุณมีหนทางเดียวเท่านั้นคือกลับไปใช้ฟีเจอร์โฟนที่ไม่สามารถออนไลน์ได้แบบในอดีต หรือไม่ก็ต้องใช้ชีวิตแบบตัดโลกออนไลน์ไปกันเลยทีเดียวซึ่งนี่ถือว่าน่าจะเป็นเรื่องยากสำหรับการใช้ชีวิตในยุค 2022 นี้
สำหรับวิธีการตรวจสอบว่าอุปกรณ์ของท่านมีเจ้า Pegasus ติดตั้งอยู่แล้วไหมนั้น ในปัจจุบันมีอุปกรณ์ตรวจสอบของทาง Amnesty International ปล่อยออกมาแล้วในรูปแบบของ open-source ชื่อ MVT (Mobile Verification Toolkit) โดยการทำงานของมันนั้นจะตรวจสอบข้อมูลไฟล์บนอุปกรณ์ของท่านทั้งหมด อย่างไรก็ตามอุปกรณ์ดังกล่าวนี้นั้นยังใช้งานค่อนข้างยากอยู่แต่ทว่าหลายๆ บริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำก็ได้มีการตอบรับนำเอาโค๊ดดังกล่าวไปพัฒนาต่อแล้ว
ที่มา : cnet, wikipedia, bitdefender
