แคสเปอร์สกี้ (Kaspersky) เตือนโลกรับมือผู้ร้ายไซเบอร์ใช้ปัญญาประดิษฐ์ (AI) โจมตีองค์กร ชำแหละวิธีใช้ ChatGPT ช่วยเขียนมัลแวร์-นำ AI มาใช้ในการโจมตีทางไซเบอร์ ด้วยการเขียนสคริปต์ซอฟตฺแวร์ประสงค์ร้ายแบบที่ไม่ต้องใช้ความรู้ความเชี่ยวชาญใดๆ
น ส.นูชิน ชาบับ นักวิจัยด้านความปลอดภัยอาวุโส ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) ของแคสเปอร์สกี้ เปิดเผยว่า AI มีโอกาสถูกดึงเข้ามาใช้ในการโจมตีแบบ Advanced Persistent Threat (APT) ซึ่งเป็นการโจมตีทางออนไลน์ที่มีเป้าหมายชัดเจนและมีความซับซ้อน ทำให้มีความเป็นไปได้ว่าองค์กรอาจถูกโจรไซเบอร์โจมตีระบบแบบต่อเนื่องโดยไม่รู้ตัวเป็นระยะเวลานาน
“นอกจากใช้ AI เพื่อเขียนมัลแวร์แล้ว พบว่า AI มีส่วนอย่างมากในขั้นตอนการเข้าโจมตีต่างๆ ที่มีความซับซ้อน ปัจจุบันผู้ก่อภัยคุกคาม APT ได้รวมเอาเทคนิคขั้นสูงเอาไว้ได้หลายรูปแบบ เพื่อใช้ในการหลบเลี่ยงการถูกตรวจจับ และการพรางตัวเพื่อให้แฝงเร้นอยู่ในที่เป้าหมายได้นานเท่าที่ต้องการ AI ที่พัฒนาขึ้นมาใหม่ๆ ถูกนำมาใช้เป็นเครื่องมือของอาชญากรไซเบอร์ในการก่ออาชญากรรม ตั้งแต่เริ่มต้นจนถึงขั้นตอนลักลอบดึงเอาข้อมูลออกไป” นูชิน กล่าว
Kaspersky ถือเป็นหนึ่งในบริษัทด้านความปลอดภัยทางไซเบอร์ระดับโลก ขณะที่ APT เป็นภัยโจมตีขั้นสูงที่ขยายตัว และมีเทคนิคการเจาะระบบที่ก้าวหน้า เพื่อให้เข้าไปฝังและซ่อนตัวอยู่ในระบบให้ได้นานเท่าที่จำเป็น โดยลักษณะสำคัญของ APT คือการหาทางแอ็กเซสเข้าระบบให้ได้ เพื่อคงความต่อเนื่องในการส่งการโจมตีเป็นช่วงจังหวะขั้นตอน ตั้งแต่เริ่มต้นก่อการ (เก็บข้อมูลเกี่ยวกับเป้าหมาย ระบบ และช่องโหว่ที่อาจจะใช้ประโยชน์ได้) พัฒนาสภาพแวดล้อมเพื่อการโจมตี ลงมือโจมตี และดูดเอาข้อมูลออกไป
"ปัจจุบัน มี APT ที่ยังแอ็กทีฟอยู่อย่างน้อยถึง 14 กลุ่ม ซึ่งทำการโจมตีในภูมิภาคเอเชียแปซิฟิก หนึ่งในกลุ่ม APT ที่อาละวาดอยู่คือ Origami Elephant เป็นที่รู้กันอยู่ว่าวิธีการคือจะต้องมีโดเมนและเซิร์ฟเวอร์เวอร์ชวลส่วนตัวช่วงขั้นตอนพัฒนาสภาพแวดล้อมเตรียมพร้อมโจมตี ซึ่งผู้ก่อภัยคุกคามรายนี้ (หรือรู้จักในนาม DoNot team, APT-C-35, SECTOR02) มีเป้าหมายเป็นองค์กรภาครัฐ หน่วยงานทางทหารในเอเชียใต้ โดยเฉพาะอย่างยิ่งในปากีสถาน บังกลาเทศ เนปาล และศรีลังกา มาตั้งแต่ช่วงต้นปี 2020 แล้ว" นูชินเล่า
สำหรับการสอดแนมและการทำลายล้างทางไซเบอร์ที่โด่งดังของ APT กลุ่ม Lazarus นั้นใช้โซเชียลมีเดียแพลตฟอร์ม และแอปส่งข้อความ เช่น LinkedIn, WhatsApp และ Telegram เพื่อเข้าถึงกลุ่มเป้าหมาย และยังมีอีกวิธีที่เปิดช่องโหว่ของเว็บเซอร์วิส เช่น พวกจุดอ่อนในเว็บไซต์ Wordpress เอามาใช้เป็นช่องทางอัปโหลดสคริปต์ประสงค์ร้าย
นูชินให้ข้อมูลเพิ่มเติมว่าช่วงระหว่างการสอดแนมข้อมูลนั้น AI จะถูกใช้เป็นตัวช่วยค้นหาและทำความเข้าใจเป้าหมายที่มีความเป็นไปได้ ด้วยการตั้งการวิเคราะห์ข้อมูลที่มาจากหลายแหล่งแบบอัตโนมัติไว้ เช่น ฐานข้อมูลออนไลน์ และโซเชียลมีเดียแพลตฟอร์ม และเก็บรวบรวมข้อมูลรายละเอียด รวมถึงระบบและแอปพลิเคชันที่ใช้งานกันอยู่ในสภาพแวดล้อมขององค์กรที่ตกเป็นเป้าโจมตี เครื่องที่ฉลาดจะเห็นจุดอ่อนที่ใช้เป็นจุดแทรกตัว ด้วยการประเมินข้อมูลของพนักงาน การติดต่อสื่อสารกับเธิร์ดปาร์ตี้ และโครงสร้างสถาปัตยกรรมของเน็ตเวิร์ก
"และดังที่รู้จักทั่วไปว่า AI มีบทบาทไม่น้อยในการพัฒนามัลแวร์ แต่ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังได้ระบุเพิ่มเติมว่า AI นั้นยังสามารถเป็นตัวช่วยในการทำงานแบบอัตโนมัติให้ ในส่วนที่เกี่ยวข้องกับการสร้างโครงสร้างพื้นฐานรองรับการเข้าโจมตี รวมทั้ง การซื้อโครงสร้างเน็ตเวิร์ก การสร้างบัญชีผู้ใช้ และการสร้างจุดอ่อนช่องโหว่บนโครงสร้างและบัญชีเหล่านั้น" นูชิน กล่าว
ในอีกด้าน นูชินเผยว่าสเปียร์ฟิชชิง (spear phishing) ยังคงเป็นเทคนิคที่ผู้ก่อภัยคุกคาม APT เอามาใช้งานเพื่อหาทางแทรกตัวเข้าไปในขั้นแรกในเอเชียแปซิฟิก ในจำนวน 14 กลุ่มอาชญากรไซเบอร์ที่อาละวาดอยู่ในภูมิภาค มีอยู่ 10 กลุ่มที่ใช้กลเม็ดนี้ในการเจาะเข้าเน็ตเวิร์กของเป้าหมาย
อนึ่ง สเปียร์ฟิชชิง รวมถึงอีเมลและการสื่อสารทางอิเล็กทรอนิกส์อื่นๆ ที่ตั้งเป้าหมายหลอกลวงแบบเจาะจง ไม่ว่าจะเป็นบุคคลหรือ หน่วยงาน หรือบริษัทธุรกิจ แม้จะตั้งไว้เพื่อโจรกรรมข้อมูลเพื่อการทุจริต แต่อาชญากรไซเบอร์อาจติดตั้งมัลแวร์เอาไว้บนเครื่องคอมพิวเตอร์ด้วยก็ได้
นูชินพบว่าในช่วงแรกของการเข้าแทรกซึมมานี้ AI จะเป็นตัวช่วยอาชญากรไซเบอร์แต่งข้อความสำหรับใช้ส่งเป็นข้อความฟิชชิงที่มีเนื้อหาน่าเชื่อถือ สื่อสารเฉพาะตัวบุคคล ซึ่งสมาร์ทแมชชีนเหล่านี้สามารถถูกฝึกให้หาจุดผ่านเข้าระบบเป้าหมาย และรู้ว่าเวลาใดเหมาะสมที่สุดที่จะปล่อยการโจมตี
“AI สามารถทำการวิเคราะห์รูปแบบบนเน็ตเวิร์กและกิจกรรมบนระบบ และปล่อยการโจมตีระหว่างช่วงเวลาที่การเฝ้าระวังภัยต่ำ หรือ high noise ดังนั้น เครื่องจะช่วยอาชญากรไซเบอร์ในการหาจังหวะเวลาที่เหมาะที่สุดสำหรับการปล่อยฟิชชิ่งเคมเปญเพื่อจับช่องทางแอ็กเซสแทรกเข้าระบบให้ได้เน็ตเวิร์กของเป้าหมายให้ได้” นูชิน อธิบาย
ในภาพรวม นูชินเชื่อว่าเทคโนโลยีนี้จะไปช่วยเสริมแรงให้การโจมตีแบบดั้งเดิมที่ใช้กำลังเข้าหักด่าน เช่น สุ่มเลือกพาสเวิร์ดที่น่าจะใช้ได้ อิงจากรูปแบบ พจนานุกรม หรือข้อมูลที่เคยรั่วไหลออกมาก่อนหน้านี้ เป็นต้น จากการวิเคราะห์รูปแบบพฤติกรรมของผู้ใช้งาน กิจกรรมโซเชียลมีเดีย และข้อมูลส่วนตัว อัลกอริธึมของ AI จะสามารถคาดเดาพาสเวิร์ดที่น่าจะเป็นได้ เพิ่มโอกาสในการเจาะเข้าระบบได้มากขึ้น
ในขั้นตอนการลงมือโจมตี AI จะสามารถปรับแปลงพฤติกรรมของมัลแวร์ให้สอดคล้องไปกับมาตรการทางด้านความปลอดภัย เพื่อเป็นการเพิ่มโอกาสความสำเร็จในการโจมตี มีการใช้ AI เป็นตัวช่วยในการทำการปกปิดโฉมหน้า สร้างมัลแวร์ที่เปลี่ยนตัวเองได้ โดยเปลี่ยนโครงสร้างของโค้ดเพื่อหลบเลี่ยงการตรวจจับ
"คำสั่งและตัวแปลคำสคริปต์ที่ใช้ AI สามารถวิเคราะห์สภาพแวดล้อมเป้าหมายได้เช่นกัน เข้าใจลักษณะของระบบ และเลือกตัวเลือกที่เหมาะสมที่สุดสำหรับการเรียกใช้สคริปต์หรือคำสั่งที่เป็นอันตราย วิศวกรรมทางโซเชียลที่ผลักดันด้วย AI นั้นยังสามารถเพิ่มโอกาสให้ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตราย ซึ่งเพิ่มความสำเร็จในขั้นตอนการดำเนินการได้อีกทางหนึ่ง" นูชิน อธิบาย
เหนืออื่นใด โลกรู้กันดีว่ากลุ่ม APT นั้นมีเทคนิคที่ซับซ้อนในการซ่อนตัวเข้าไปซุ่มเงียบในระบบเน็ตเวิร์ก โดยไม่ถูกจับได้ เทคนิคที่พบบ่อยที่สุดในผู้ก่อภัยคุกคาม APT ในภูมิภาคเอเชียแปซิฟิกในการบรรลุเป้าหมายการซุ่มซ่อนคืองานที่ตั้งเวลาล่วงหน้า หรืองานที่กำหนดเวลา กระบวนการที่ทำให้โปรแกรมหรือการเริ่มต้นทำงานอัตโนมัติ เมื่อระบบคอมพิวเตอร์ถูกเปิดหรือผู้ใช้เข้าสู่ระบบ
ในขั้นตอนนี้ AI สามารถสร้างสคริปต์ที่เหมาะสมที่สุดในการเรียกใช้มัลแวร์ให้เข้ากับผลการวิเคราะห์พฤติกรรมของผู้ใช้และสามารถพัฒนามัลแวร์โดยใช้ AI ให้ปรับกลไกการทำงานได้อัตโนมัติไปตามการเปลี่ยนแปลงใดๆ ในสภาพแวดล้อมเป้าหมาย
ขณะที่กลไกการเฝ้าดูด้วย AI สามารถแกะรอยการเปลี่ยนแปลงในระบบและปรับวิธีในการซุ่มซ่อนได้ตามนั้น และยังมีเทคนิคที่สามารถปรับแก้เอ็นทรีส์ Windows Registry เพื่ออัปเดตคีย์ในทะเบียน เพื่อหลบเลี่ยงการูกตรวจจับได้
"AI ยังสามารถช่วยในขั้นตอนการส่งข้อมูลที่ถูกขโมยออกนอกระบบได้อย่างแนบเนียนและมีประสิทธิภาพ AI สามารถวิเคราะห์รูปแบบการจราจรในเน็ตเวิร์กเพื่อให้กลมกลืนไปกับพฤติกรรมทั่วไปได้ดี และหาช่องทางการสื่อสารที่เหมาะสมที่สุดในการส่งข้อมูลออกนอกระบบสำหรับแต่ละเหยื่อ และยังสามารถปรับการปกปิดตัวตน การบีบอัด และการเข้ารหัสข้อมูลที่ถูกขโมย เพื่อหลีกเลี่ยงการตรวจจับการจราจรที่ผิดปกติ" นูชิน กล่าว
ที่สุดแล้ว แคสเปอร์สกี้มองว่า AI ที่อาจผลกระทบจากการโจมตีได้อย่างมาก มีโอกาสถูกแก้ไขได้ด้วยการใช้งานโซลูชันด้านความปลอดภัยขั้นสูง เนื่องจากการติดตั้งระบบโซลูชันความปลอดภัยที่ใช้วิธีการขั้นสูงในการตรวจสอบ สอดส่องพฤติกรรมของผู้ใช้และระบบ จะช่วยระบุการเปลี่ยนแปลงจากแบบแผนปกติที่อาจเป็นสัญญาณของกิจกรรมที่เป็นอันตรายได้
ร่วมกับการอัปเดตซอฟต์แวร์เป็นประจำ โดยควรใช้งานรุ่นล่าสุดของซอฟต์แวร์ แอปพลิเคชัน และระบบปฏิบัติการเสมอเพื่อลดความเสี่ยงจากช่องโหว่ที่ผู้โจมตีอาจใช้เป็นโอกาสได้ ร่วมกับการฝึกอบรมและเพิ่มความตระหนักรู้ในการใช้งาน ให้พนักงานเข้าใจหลักการที่ดีที่สุดในด้านความปลอดภัยทางไซเบอร์ รวมถึงการรู้จักและป้องกันการโจมตีด้วยที่ใช้เทคนิควิศวกรรมโซเชียล และความพยายามขโมยข้อมูลผ่านฟิชชิ่งอีเมล พร้อมกับรับรองตัวตนแบบหลายชั้น (Multi-Factor Authentication - MFA) โดยบังคับใช้ระบบรับรองตัวตนแบบหลายชั้นสำหรับการเข้าถึงระบบและแอปพลิเคชันที่มีความสำคัญสูง ลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาต แม้จะมีการรั่วไหลข้อมูลรับรองตัวตนก็ตาม
