กระทรวงดีอี แจ้งผู้ใช้คอมพิวเตอร์ระวังมัลแวร์ “VPNFilter” มุ่งเป้าอุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ หลัง “ไทยเซิร์ต” ได้รับรายงานการระบาดจากบริษัท ซิสโก้ พบกว่า 5 แสนเครื่องใน 54 ประเทศถูกโจมตี ส่วนใหญ่เป็นอุปกรณ์ของสำนักงานขนาดเล็ก ย้ำวิธีป้องกันให้ผู้ใช้งานควรตรวจสอบค่าต่างๆ ที่ตั้งไว้ในอุปกรณ์เชื่อมต่อเครือข่าย (Router) อัปเดตอุปกรณ์เป็นเวอร์ชันล่าสุด และตั้งรหัสผ่านที่คาดเดายาก เผยล่าสุดพบหมายเลขไอพีในไทยที่มีความเสี่ยงกว่า 50 รายการ พร้อมประสานข้อมูลไปยังผู้ให้บริการอินเทอร์เน็ตที่เกี่ยวข้องเพื่อดำเนินการแก้ไขต่อไปแล้ว
น.อ. สมศักดิ์ ขาวสุวรรณ์ รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หน่วยงานในสังกัดกระทรวงดีอี ได้ออกประกาศแจ้งเตือนการแพร่ระบาดมัลแวร์ เมื่อวันที่ 30 พ.ค. 2561 โดยทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท ซิสโก้ ได้รายงานการแพร่ระบาดของ มัลแวร์ VPNFilter มุ่งเป้าไปที่อุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things หรือ IoT) กว่า 5 แสนเครื่องใน 54 ประเทศ ซึ่งพบการแพร่ระบาดของมัลแวร์ดังกล่าวตั้งแต่ปี 2559 และอุปกรณ์ที่ได้รับผลกระทบส่วนใหญ่เป็นอุปกรณ์สำหรับสำนักงานขนาดเล็ก โดยเจ้าหน้าที่ FBI ได้เข้าควบคุมโดเมน toknowall.com ที่เป็นช่องทางสำรองในการเผยแพร่มัลแวร์ดังกล่าวแล้ว
สำหรับการทำงานของมัลแวร์ VPNFilter จะอาศัยช่องโหว่ของระบบในอุปกรณ์เชื่อมต่อเครือข่าย (Router) ทั่วไปที่ใช้งานในบ้าน หรือสำนักงาน ซึ่งมัลแวร์สามารถทำงานได้บนหลายระบบปฏิบัติการของคอมพิวเตอร์ และมีการทำงานที่ซับซ้อน โดยมีขั้นตอนการติดมัลแวร์เป็น 3 ระยะ ได้แก่ ระยะที่ 1 เป็นระยะที่แอบอาศัยอยู่ในเครื่องเพื่อดาวน์โหลด มัลแวร์ในระยะที่ 2 แม้จะปิด-เปิดเครื่องใหม่ มัลแวร์ก็ยังทำงานได้ปกติ ซึ่งเป็นจุดที่ทำให้ต่างจากมัลแวร์บางสายพันธุ์ที่โจมตีอุปกรณ์ IoT ที่ปกติมัลแวร์จะถูกกำจัดไปเมื่อเครื่องเริ่มทำงานใหม่
ระยะที่ 2 มัลแวร์ในระยะนี้จะถูกติดตั้งในลักษณะ NON-PERSISTENT คือ มัลแวร์จะหยุดทำงานเมื่อทำการปิด-เปิดเครื่อง โดยมัลแวร์ดังกล่าวสามารถขโมยข้อมูล รับคำสั่งต่างๆ จากผู้ประสงค์ร้าย ซึ่งบางเวอร์ชันสามารถทำให้อุปกรณ์ใช้งานไม่ได้ โดยการเขียนข้อมูลทับส่วนสำคัญของซอฟต์แวร์ที่ฝังอยู่ในฮาร์ดแวร์ (Firmware) และระยะ ที่ 3 เป็นส่วนเสริม (plug-in) เพิ่มความสามารถให้มัลแวร์ในระยะที่ 2 ทำหน้าที่คล้ายการดักรอการรับส่งข้อมูลต่างๆ ต่อไปยังเครื่องของผู้ประสงค์ร้าย
ด้านผลกระทบจากมัลแวร์ดังกล่าว จะทำให้เกิดผลกระทบอย่างรุนแรงต่อระบบเครือข่ายที่มีข้อมูลสำคัญ อาทิ สูญเสียข้อมูลสำคัญ สูญเสียความพร้อมใช้งาน ทำให้ระบบเครือข่ายไม่สามารถใช้งานได้ปกติ สูญเสียค่าใช้จ่ายที่เกิดขึ้นจากการกู้คืนระบบ เป็นต้น โดยการแพร่ระบาดของมัลแวร์ VPNFilter ตรวจพบตั้งแต่ปี 2559 และขณะนี้ได้ขยายขอบเขตการโจมตีไปทั่วโลกกว่า 5 แสนเครื่องใน 54 ประเทศทั่วโลก
สำหรับการรับมือและป้องกัน ผู้ใช้คอมพิวเตอร์ควรตรวจสอบว่า อุปกรณ์ในเครือข่ายติดมัลแวร์หรือไม่ โดยตรวจสอบจากข้อมูลการเชื่อมต่อไปยังเว็บไซต์ หมายเลขไอพี รวมถึงค่า File Hashes ของมัลแวร์ต้องสงสัยภายในเครื่อง ตามคำแนะนำของไทยเซิร์ต (www.thaicert.or.th) ซึ่งหากพบมัลแวร์ในอุปกรณ์เชื่อมต่อ (Router) ให้ทำการ รีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน (Factory Reset) และผู้ใช้งานสามารถตั้งค่าป้องกันการเข้าถึงหน้าเว็บบริหารจัดการของอุปกรณ์เชื่อมต่อเครือข่าย (Router) จากเครือข่ายอินเทอร์เน็ต เพื่อลดความเสี่ยงจากการถูกโจมตี
สิ่งสำคัญที่สุด คือ ผู้ใช้งานควรตรวจสอบค่าต่างๆ ที่ตั้งไว้ในอุปกรณ์เชื่อมต่อเครือข่าย และอัปเดตอุปกรณ์เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อป้องกันการติดมัลแวร์ รวมถึงตั้งรหัสผ่านในการเข้าถึงส่วนบริหารจัดการระบบให้คาดเดาได้ยาก
ทั้งนี้ ไทยเซิร์ตได้ดำเนินการประสานขอข้อมูลรายการหมายเลขไอพี (หมายเลขประจำเครื่องคอมพิวเตอร์ IP address : Internet Protocol address) ที่ได้รับผลกระทบในประเทศไทยจากหน่วยงานต่างๆ ในเครือข่าย โดยเบื้องต้น พบจำนวนหมายเลขไอพีที่มีความเสี่ยงกว่า 50 รายการ และกำลังประสานข้อมูลไปยังผู้ให้บริการอินเทอร์เน็ตที่เกี่ยวข้อง สำหรับการดำเนินการแก้ไขต่อไปแล้ว