แคสเปอสกี้ แล็ป (Kaspersky Lab) เดินหน้าจัดงาน Cyber Insights 2018 หวังเตือนองค์กรไทยเร่งปรับปรุง เและสร้างแผนการป้องกันภัยทางด้านไซเบอร์จากระบบที่มีอยู่แล้ว ให้แข็งแกร่ง และมีความยืดหยุ่น รองรับภัยคุกคามรูปแบบใหม่ในภูมิ ภาคเอเชียแปซิฟิก (APAC)…
Kaspersky Lab เตือนไทยต้องเร่งยกระดับความปลอดภัยทางไซเบอร์
เซียง เทียง โยว ผู้จัดการทั่วไป แคสเปอร์สกี้ แลป เอเชียตะวันออกเฉียงใต้ กล่าวว่า แนวโน้มของการโจมตีทางไซเบอร์ ในปัจจุบัน ไม่ได้มุ่งเป้าโจมตีเพียงแต่องค์กรธุรกิจโดยเฉพาะ แต่มุ่งโจมตีทั้งองค์กร และตัวผู้ใช้ทั่วไป เนื่องจากพฤติกรรมของผู้บริโภคที่นิยมใช้เครื่องมือ
อย่าง สมาร์ทโฟน หรือแท็บเล็ต รวมไปถึงอุปกรณ์ (Device) ต่างๆ ที่สามารถอำนวยความสะดวกสบาย ในการเข้าถึงระบบการทำงาน และโซเชียลต่างๆ อีกทั้งด้วยราคาเครื่องที่ถูกลง ส่งผลให้เกิดการเติบโตของจำนวนอุปกรณ์ เพิ่มสูงขึ้นอย่างต่อเนื่อง และจากแนวโน้มดังกล่าวทำให้ความเสี่ยงทางไซเบอร์เพิ่มขึ้นตามไปด้วย
โดยเราเห็นตัวเลขที่น่าสนใจว่า ลักษณะของการโจมตีของเหล่าแฮกเกอร์นั้น ได้เปลี่ยนแปลง โดยจากผลสำรวจเราพบว่ามีตัวเลขที่น่าสนใจ การโจมตีในกลุ่มของผู้ใช้งานทั่วไปอยู่ที่ 11% ที่ตกเป็นเป้าโจมตีแรนซัมแวร์ ขณะที่การโจมตีในส่วนขององค์กรนั้นอยู่ที่ประมาณ 23% ที่โดนโจมตีโดยแรนซัมแวร์
ตัวอย่างของการโจมตีในกลุ่มของผู้ใช้งานทั่วไป ที่เกิดขึ้นเมื่อเร็ว ๆ นี้ คือ กรณีของเหตุการณ์ที่เกิดขึ้นกับโปรแกรม Instagram ถูกแฮกเกอร์ โจมตีต่อเนื่อง โดย ผู้ใช้ Instagram หลายรายถูกล็อกออกจากบัญชีของตัวเอง และเข้าใช้งานอีกไม่ได้
เนื่องจากถูกโจรไซเบอร์แฮกและเปลี่ยนข้อมูลทุกอย่าง ทั้งชื่อบัญชี รูปโปรไฟล์ อีเมล และเบอร์โทรศัพท์ ทำให้การกู้คืนบัญชีนั้นยากมาก
ซึ่งจนถึงตอนนี้ ยังไม่พบว่าโจรไซเบอร์ใช้วิธีการใดในการเข้าถึงโปรไฟล์ของผู้ใช้ Instagram แต่วิธีการที่โจรมักใช้โจมตีคือผ่านฟิชชิ่ง จากข้อมูลของ แคสเปอร์สกี้ แลป ชี้ว่า ในปี 2018 นี้ ผลิตภัณฑ์ ของแคสเปอร์สกี้ แลป สามารถป้องกันการพยายามโจมตีที่เกิดจากการเข้าเพจฟิชชิ่งใน Instagram ถึง 68,000 ครั้ง
และพบข้อมูลที่น่าสนใจคือในช่วงปลายเดือนกรกฎาคมก่อนเกิดเหตุแฮกครั้งนี้ นักวิจัยของแคสเปอร์สกี้ แลป ตรวจพบจำนวนการโจมตีฟิชชิ่งพุ่งกระฉูดขึ้นมาก จาก 150 ครั้ง เป็น เกือบ 600 ครั้งต่อวัน และผู้ใช้ Instagram นั่นเองคือช่องโหว่ที่แฮกเกอร์จ้องใช้ประโยชน์
ตัวอย่างเช่น การกรอกข้อมูลส่วนบุคคลในเว็บฟิชชิ่ง แอปที่ไม่ผ่านการตรวจรับรอง และการใช้งานเพจที่ทำลอกเลียนแบบ เป็นต้น
นอกจากนี้ จากผลการสำรวจโดยแคสเปอร์สกี้ แลป ร่วมกับบีทูบี อินเตอร์เนชั่นแนล พบว่า การเกิดขึ้นของพฤติกรรมการใช้งานอุปกรณ์ในกลุ่มของผู้ใหญ่กว่า 84% (อายุ 55 ปีขึ้นไป) ที่เริ่มที่จะส่อแววติดโลกดิจิทัลมากขึ้น โดยกว่า 44% ใช้เวลากับอินเทอร์เน็ตนี้อย่างน้อยๆ ถึง 20 ชั่วโมงต่อสัปดาห์
กลายเป็นความเสี่ยงที่น่ากังวลเนื่องจากขาดความรู้ ขาดการระมัดระวังมากเพียงพอ ทำให้กลายเป็นช่องโหว่ที่เหบ่าแฮกเกอร์อาจอาศัยเป็นช่องทางในการสร้างอันตรายได้ ซึ่งเหล่าแฮกเกอร์ อาจหวังผลต่อเนื่องในกรณีที่มีช่องโหว่มากเพียงพอก็จะใช้เป็นช่องทางเป็นทอดๆเพื่อโจมตีไปยังองค์กรได้อีกด้วย
อย่างไรก็ดี แน่นอนว่าการโจมตีทางไซเบอร์ในแต่ล่ะประเทศ อาจจะไม่โจมตีเท่ากัน ในอดีตการโจมตีมักจะเน้นไปกลุ่มประเทศที่ทรงอิทธิพล แถบยุโรป และเป็นประเทศที่มีการลงทุนทางเทคโนโลยีเยอะในตลาดโลก
แต่ปัจจุบันแนวโน้มการโจมตีเริ่มมุ่งเป้ามายังประเทศในกลุ่มภูมิภาค เอเซีย มากขึ้น เนื่องจากมีอัตราการลงทุนจากบริษัทฯ ยักษ์ใหญ่ อย่่างต่อเนื่อง โดยจะสังเกตได้ว่าเริ่มมีการจัดงานทางเทคโนโลยีเพิ่มขึ้นอย่างต่อเนื่องในภูมิภาคนี้ และแม้ในหลายประเทศจะเริ่มตระหนักถึงภัยคุกคามทางไซเบอร์เพิ่มขึ้น และเริ่มมีความร่วมมือกัน
แต่ก็ยังไม่สามารถป้องกันเต็ม 100% เพราะยังมีความแตกต่างในทั้งในแง่ของความพร้อม ในด้านบุคลากร และนโยบายจากภาครัฐ ร่วมไปถึงเรื่องของความมือระหว่างหน่วยงานภาครัฐ และเอกชน ของแต่ล่ะประเทศนั้นเอง
ด้าน นูชิน ชาบับ นักวิจัยความปลอดภัยอาวุโส ทีมวิเคราะห์ และวิจัยระดับโลก แคสเปอร์สกี้ แลป กล่าวว่า เรื่องของภัยคุกคามในช่วงครึ่งของปี 2018 นี้ จะทวีความรุนแรงเพิ่มขึ้น เนื่องจากนักโจรกรรมต่างๆ เริ่มพัฒนาเทคนิคใหม่ ๆ และฝีมือมากขึ้น เพื่อที่จะสามารถโจมตีได้หลากหลายอุตสาหกรรมมากขึ้น
จากเดิมที่กลุ่มเป้าหมายในการโจมตีจะอยู่ในกลุ่มที่เกี่ยวข้องทางด้านการเงิน โดยเราเริ่มเห็นว่าเหล่านักโจรกรรมข้มูล หรือแฮกเกอร์ มุ่งเป้ามายังประเทศในภูมิภาคเอเซียมากขึ้น ทั้งจากกรณี การโจมตีที่เกิดขึ้นในการแข่งขันโอลิมปิกฤดูหนาวที่เมืองเปียงยาง ประเทศเกาหลีใต้
ซึ่งทำให้ผู้ชมไม่สามารถรับชมระบบการถ่ายทอดสดพิธีเปิดได้ หรือการโจมตีสถานทูต หน่วยงานรัฐบาล องค์กรวิจัยวิทยาศาสตร์ด้วยมัลแวร์ ทั่วโลก ที่เรียกว่าปฏิบัติการ Red October หรือ Rocra ที่เกิดขึ้นเมื่อต้นปี ที่ผ่านมา เราว่าปัจจัยที่ทำให้เกิดรูปแบบของการโจมตีใหม่ ๆ เพิ่มขึ้น เกิดขึ้น ด้วยเหตุผล 4 ประการ
1.มีสปอนเซอร์สนับสนุน : เราพบว่าเริ่มมีเทรนด์ในการจูงใจด้วนการสนับสนุนเงินในการพัฒนาภัยคุกคามใหม่ ๆ โดยให้เหล่าแฮกเกอร์หันมาโจมตีอุตสาหกรรมอื่น ๆ เพื่อหวังผลทางการเมือง ที่จะสร้่าวให้เกิดความเสียหายทางเศรษฐกิจในระยะยาว
2.การท้าทาย : เราพบว่าปัจจุบันเริ่มมีการท้าทายในกลุ่มแฮกเกอร์เพื่อเเข่งขันความสามารถกันว่าใคร หรือกลุ่มใดสามารถจะสร้างความเสียหายได้มากกว่ากัน
3.จำนวนอุปกรณ์เพิ่มขึ้น : อย่างที่ทราบว่าปัจจุบันการพัฒนาของเทคโนโลยีที่เพิ่มมากขึ้น เพื่อทำให้องค์กรสามารถเพิ่มประสิทธิภาพการแข่งขันได้รวดเร็วขึ้น ทำให้เกิดจำนวนของอุปกรณ์เพิ่มขึ้นอย่างมากในช่วงเวลาไม่กี่ปี และด้วยจำนวนอุปกรณ์ที่เพิ่มขึ้นนี่เอง ทำให้เหล่าแฮกเกอร์ใช้เป็นช่องทางในการโจมตี
โดยอาศัยช่องโหว่ของตัวอุปกรณ์ที่ไม่ปลอดภัยมากเพียงพอ และใช้เป็นช่องทางในการสานต่อไปยังองค์กรของแต่ล่ะอุตสาหกรรม
4.ข้อมูลยังคงมีมูลค่า : การเกิดขึ้นของระบบโซเชียลเน็ตเวิร์ค และการใช้เทคโนโลยีทำให้เกิดช่องว่างที่มากเพียงพอให้เหล่าเเฮคเกอร์หาเงินจากความประมาทของตัวผู้ใช้ และสืบค้นไปยังข้อมูลสำคัญ ๆ ซึ่งแม้ว่าจะเป็นข้อมูลที่จำนวนไม่มาก หรือไม่สำคัญ มาก หรือไม่ส่งผลต่อองค์กร
แต่หากก่อให้เกิดรายได้เหล่าแฮกเกอร์ก็จะนำข้อมูลเหล่านั้นขายไปยังกลุ่มที่สนใจ เช่น กรณีของของการขายข้อมูลเบอร์โทรให้แก่ บริษัทฯ ขายสินค้าบริการ เพื่อให้สามารถติดต่อยูสเซอร์และจูงใจให้ซื้อสินค้า และบริการ
ขณะที่เมื่อมองถึงความเสี่ยงทางไซเบอร์ที่เกิดจากการใช้เทคโนโลยี ทีทันสมัยในองค์กร เราพบว่า เอ็นเทอร์ไพรซ์และเอสเอ็มบี กว่า 59% ยังคงมีความกังวลว่า การใช้คลาวด์เซอร์วิส ภ
ได้ ซึ่งเมื่อย้อนดูเหตุการณ์ภัยคุกคามไซเบอร์ปีที่ผ่านมา เราพบว่า มีธุรกิจจำนวน 24% ที่ประสบเหตุไซเบอร์ ภายในช่วงหนึ่งปี ขณะที่ธุรกิจกว่า 45% ต้องสูญข้อมูล ข้อมูลรั่วไหล หรือถูกเปิดเผยจากเโครงสร้างคลาวด์ และกว่า 46% เกิดจากพนักงานที่ไม่รู้เท่าทัน
ครึ่งหลังปี 2018 ภัยไซเบอร์จะซับซ้อนขั้นสูง และร้ายแรง มากขึ้น
โดยช่วงต้นปีนี้ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team : GReAT) พบว่าปัจจุบันเหล่าแฮกเกอร์หลายกลุ่ม เริ่บซับซ้อนในการโจมตี โดยใช้ทูลและเทคนิคขั้นสูง
เช่น Slingshot, OlympicDestroyer, Sofacy, PlugX Pharma, Crouching Yeti, ZooPark และล่าสุด Roaming Mantis เพื่อโจมตีมากขึ้น
นอกจากนี้ เรายังพบกิจกรรม APT จำนวนมากในแถบเอเชีย โดยรายงานต่างๆ ในไตรมาสแรกของแคสเปอร์สกี้ แลป ได้ระบุถึงปฏิบัติการภัยไซเบอร์ในภูมิภาคนี้มากกว่า 30% พบกิจกรรมที่ใช้เทคนิคใหม่ในประเทศแถบตะวันออกกลาง เช่น StrongPity APT ที่ปล่อย Man-in-the-Middle (MiTM)
ออกมาโจมตีเน็ตเวิร์กของผู้ให้บริการอินเทอร์เน็ต (ISP) หลายครั้ง และผู้ก่ออาชญากรรมไซเบอร์ที่มากด้วยทักษะอีกกลุ่มหนึ่ง ได้แก่ Desert Falcons ได้วกกลับมาก่อกวนแอนดรอยด์ดีไวซ์ด้วยการปล่อยมัลแวร์ที่เคยใช้งานเมื่อปี 2014
โดยหลายกลุ่มยังคงปล่อยเคมเปญเน้นเป้าหมายการโจมตีไปที่เราเตอร์ และอุปกรณ์ที่ใช้กับเน็ตเวิร์ก ซึ่งเป็นวิธีที่ใช้กันมาหลายปี เช่น Regin และ CloudAtlas เป็นต้น จากข้อมูลของผู้เชี่ยวชาญชี้ว่า เราเตอร์จะยังคงเป็นเป้าหมายโจมตีอยู่เช่นนี้เพราะเป็นช่องทางเข้ายึดโครงสร้างระบบของเหยื่อได้
และจาการแกะรอยกลุ่ม APT (advanced persistent threat) และปฏิบัติการของพวกนี้ได้ถึง 100 ครั้ง เราพบว่าบางครั้ง การโจมตีนั้นมีความซับซ้อนเหลือเชื่อ มีหลุมพรางมากมายที่ซ่อน zero-day exploits และ fileless attack tools พร้อมด้วยเทคนิคการแฮคแบบดั้งเดิม
ที่ส่งต่อให้กับทีมที่เก่งเทคนิคเพื่อโจรกรรมข้อมูล เราจะเห็นว่ามีหลายกรณีที่แอคเตอร์พยายามเจาะเข้าเป้าหมายมาเป็นเวลานาน แต่ก็ไม่ประสบความสำเร็จ อาจเป็นเพราะเป้าหมายที่ถูกโจมตีนั้นใช้ซอฟต์แวร์เพื่อความปลอดภัยอินเทอร์เน็ตที่แข็งแกร่ง จัดอบรมให้ความรู้พนักงาน จึงไม่ตกเป็นเหยื่อ
หรือปฏิบัติตามแนวทาง DSD TOP35 ลดความเสี่ยงจาก APT (Australian DSD TOP35 mitigation strategies) อย่างเคร่งครัด โดยทั่วไปแล้ว แอคเตอร์ที่จัดว่าอยู่ในขั้นสูงและมีความมุมานะจะไม่ยอมเลิกลาไปง่ายๆ แต่จะคอยตามแหย่หาจุดอ่อนอยู่จนกว่าจะหาทางเจาะเข้ามาได้
และจากการประเมินของเราพบว่าการเข้าโจมตีซัพพลายเชนเพิ่มจำนวนขึ้น และเช่นกันในปี 2018 เราคาดว่าจะมีการใช้ประโยชน์จากจุดอ่อนเพื่อเจาะเข้าระบบ รวมทั้งการเข้าโจมตีโดยตัวของมันเอง มีการใช้ซอฟต์แวร์เพื่อสร้างโทรจัน ซึ่งพบได้ในบางภูมิภาคหรือบางกลุ่ม ก็จะกลายมาเป็นวิธีการที่พบได้
เช่นเดียวกับ เทคนิคบ่อน้ำ (waterhole) ที่เจาะจงเลือกไซต์อย่างแยบยล เพื่อล้วงลึกเจาะเข้ากล่องหัวใจสำคัญของเหยื่อเป้าหมายนั้นจะเป็นวิธีที่ต้องตาต้องใจผู้ร้ายไซเบอร์บางประเภทแน่นอน
และเราจะเห็นการเกิดขึ้นของโมบายมัลแวร์ระดับไฮเอนด์เพิ่มขึ้นต่อเนื่อง เนื่องจาก iOS เป็นระบบปฏิบัติการที่ไม่สามารถเข้าตรวจสอบได้ จึงค่อนข้างลำบากสำหรับยูสเซอร์ที่จะเช็คเครื่องว่าติดเชื้อหรือไม่ ขณะที่แอนดรอยด์ แม้จะพบช่องโหว่อยู่ไม่น้อย
แต่มีโอกาสมากกว่าที่จะใช้โซลูชั่น เช่น Kaspersky AntiVirus for Android ในการตรวจสอบดีไวซ์ แต่จากการประเมินของเรา พบว่า จำนวนโมบายมัลแวร์ที่มีอยู่จริงๆ นั้นน่าจะสูงกว่าจำนวนที่รายงานอยู่มาก เนื่องมาจากข้อบกพร่องที่มีอยู่ในกระบวนการตรวจสอบ
ยิ่งทำให้การระบุชี้และกำจัดยากยิ่งขึ้น เราคาดว่า ในปี 2018 จะพบ APT มัลแวร์สำหรับโมบายเพิ่มขึ้น อันเนื่องมาจากจำนวนการโจมตีที่เพิ่มขึ้น และมีพัฒนาการของเทคโนโลยีด้านความปลอดภัยที่ออกแบบมาเพื่อไล่ล่ามัลแวร์พวกนี้
และเชื่อว่าจะมีจุดอ่อนแบบ BeEF เพิ่มจำนวนขึ้นอีก เพื่อคอยเก็บข้อมูล เนื่องจากระบบปฏิบัติการปัจจุบันให้ความสำคัญและใช้เทคโนโลยีความปลอดภัยและบรรเทาความเสียหายที่มีศักยภาพดีขึ้น ทำให้สนนราคาของ zero-day exploits ได้ถีบตัวสูงขึ้นในช่วง 2016 และ 2017
เทคนิคการรวบรวมข้อมูลเหล่านี้สอดคล้องกับกลุ่ม APT เช่น Turla และ Sofacy และ Newsbeef (รู้จักในชื่อ Newscaster, Ajax hacking team หรือ Charming Kitten) และกลุ่ม APT อีกกลุ่มก็มีวิธีการรวมข้อมูลที่รู้จักกันดี เช่น Scanbox
เมื่อพิจารณาวิธีการทำงานเหล่านี้ผนวกกับความจำเป็นในการป้องกันทูลที่มีราคาแพง คาดว่าการใช้ ทูลคิทในการเก็บข้อมูล เช่น “BeEF” จะเพิ่มจำนวนขึ้นในปี 2018 เพราะหลายกลุ่มได้หันมาประยุกต์ใช้หรือพัฒนาขึ้นมาใช้เอง
ขณะที่การโจมตี UEFI และ BIOS อินเทอร์เฟซแบบ Unified Extensible Firmware Interface (UEFI) คือซอฟต์แวร์อินเทอร์เฟซที่เป็นตัวกลางระหว่างเฟิร์มแวร์และระบบปฏิบัติการบนเครื่องคอมพิวเตอร์ เกิดขึ้นเมื่อปี 2005 โดยพันธมิตรผู้พัฒนาฮาร์ดแวร์ซอฟต์แวร์ชั้นนำ
รวมทั้งอินเทล ตอนนี้ล้ำหน้า BIOS มาตรฐานไปอย่างรวดเร็ว คุณสมบัตินี้ทำให้ UEFI เป็นแพลตฟอร์มที่น่าสนใจนั้นกลับเปิดช่องโหว่ที่ไม่เคยมีมาก่อนในยุค BIOS ก่อนหน้านี้ เช่น การรัน (run) โมดูล executable ที่ปรับแต่งได้เองนั้น เป็นการเปิดทางให้สร้างมัลแวร์ และ UEFI สามารถปล่อยกระจายได้
โดยตรงก่อนที่จะถูกตรวจจับหรือสะกัดกั้นด้วยแอนตี้มัลแวร์โซลูชั่น หรือแม้แต่ตัวระบบปฏิบัติการจะได้ทันไหวตัวเสียอีก ซึ่ง มัลแวร์ UEFI มีไว้ซื้อขายนั้นเป็นที่รู้กันมาตั้งแต่ปี 2015 เมื่อ Hacking team UEFI modules ถูกเปิดโปง
เป็นที่น่าแปลกใจว่าไม่ปรากฏมัลแวร์ UEFI น่าจะมาจากความยากที่จะตรวจจับ และคาดว่าปี 2018 เราน่าจะได้พบมัลแวร์แบบ UEFI มากขึ้น
และตั้งแต่พฤศจิกายน 2016 แคสเปอร์สกี้ แลปสังเกตพบคลื่นลูกใหม่ของ wiper มุ่งโจมตีเป้าหมายหลายแห่งแถบตะวันออกกลาง มัลแวร์ที่ตรวจพบเป็นค่าตัวแปรของเวิร์ม Shamoon ที่เคยตั้งเป้าไปที่ Saudi Aramco และ Rasgas เมื่อปี 2012 นอกเหนือไปจาก Shamoon และ Stonedrill แล้ว
เร่งสร้างแนวทางร่วมกันระหว่างรัฐ และเอกชน
ด้าน เบญจมาศ จุฑาพิพัฒน์ ผู้จัดการประจำประเทศไทยของแคสเปอร์สกี้ แลป กล่าวว่า ภายในปี 2018 เราคาดว่าแอคเตอร์ภัยไซเบอร์จะขยับระดับความแข็งแกร่ง งัดทูลใหม่ออกมาก่อกวน และส่งความรุนแรงเพิ่มขึ้น แนวทางหลักและทิศทางในแต่ละปีนั้น ไม่ควรที่จะแยกออกจากกัน
ต่างต้องพึ่งพากันเพื่อเสริมความแข็งแกร่งให้แก่กันและกัน เพื่อช่วยเหลือสนับสนุนยูสเซอร์ที่ต้องเผชิญกับปัญหาภัยไซเบอร์ต่างๆ ไม่ว่าจะเป็นระดับบุคคล เอ็นเทอร์ไพรซ์ หรือรัฐบาล สิ่งสำคัญคือการแชร์ข้อมูลเชิงวิเคราะห์เกี่ยวกับภัยไซเบอร์นั่นเอง
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุประสงค์มุ่งเพื่อโจมตีหน่วยงานใดหน่วยงานหนึ่ง
** Compose : ชลัมพ์ ศุภวาที (Editors and Digital Content)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com
สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่
