xs
xsm
sm
md
lg

กูเกิลแฉยับ สปายแวร์เจาะลึกไอโฟน ปล้นรหัสคริปโตเกลี้ยงพอร์ต!! โยงเครื่องมือลับรัฐบาลสหรัฐฯ

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



ทีมข่าวกรองภัยคุกคามทางไซเบอร์ของกูเกิลสร้างแรงสั่นสะเทือนครั้งใหญ่ หลังออกมาเปิดโปงเครือข่ายอาชญากรรมไซเบอร์ที่ใช้ชุดเครื่องมือเจาะระบบไอโฟน หรือ เอ็กซ์พลอยต์คิต นามว่า โคโรนา ซึ่งถูกออกแบบมาอย่างแยบยลเพื่อปล้นวลีฟื้นฟูรหัสผ่านกระเป๋าเงินคริปโตและข้อมูลทางการเงินโดยเฉพาะ ความน่าสะพรึงกลัวของมัลแวร์ตัวนี้คือการแฝงตัวผ่านเว็บไซต์ปลอมที่ดูน่าเชื่อถือ ก่อนเจาะลึกทะลวงระบบปฏิบัติการไอโอเอส ท่ามกลางข้อกังขาจากผู้เชี่ยวชาญด้านความปลอดภัยระดับโลกว่า อาวุธไซเบอร์อานุภาพทำลายล้างสูงชิ้นนี้ อาจมีต้นกำเนิดมาจากเครื่องมือลับของรัฐบาลสหรัฐฯ ที่หลุดรอดไปตกอยู่ในมือของเครือข่ายมิจฉาชีพ

ทีมวิจัยด้านภัยคุกคามจาก กูเกิล ได้ออกมาเปิดเผยข้อมูลที่สร้างความตื่นตระหนกให้กับผู้ใช้งานสมาร์ทโฟนทั่วโลก โดยระบุว่าพบชุดเครื่องมือเจาะระบบชนิดใหม่ที่พุ่งเป้าโจมตีผู้ใช้งานโทรศัพท์มือถือ แอปเปิล ไอโฟน โดยมีเป้าหมายหลักในการขโมยวลีฟื้นฟู ซึ่งเป็นรหัสผ่านขั้นสูงสุดของกระเป๋าเงินคริปโต

ชุดเครื่องมือมฤตยูไซเบอร์ดังกล่าว ถูกตั้งชื่อโดยกลุ่มผู้พัฒนาว่า โคโรนา มุ่งโจมตีเจาะจงไปที่ระบบปฏิบัติการ ไอโอเอส ตั้งแต่เวอร์ชัน 13.0 ไปจนถึง 17.2.1 กลุ่มงานข่าวกรองภัยคุกคามของกูเกิล หรือ จีทีไอจี ได้ระบุในรายงานที่เผยแพร่เมื่อวันพุธที่ผ่านมาว่า เครื่องมือนี้ประกอบไปด้วยห่วงโซ่การเจาะระบบไอโอเอสแบบเต็มรูปแบบถึง 5 ชุด และมีช่องโหว่ที่ถูกใช้ในการโจมตีรวมทั้งสิ้น 23 รายการ ซึ่งรวมถึงช่องโหว่ร้ายแรงที่ไม่เคยเป็นที่รู้จักต่อสาธารณชนมาก่อน

กลุ่มงานข่าวกรองฯ ระบุเพิ่มเติมว่า ได้ค้นพบร่องรอยของชุดเครื่องมือนี้เป็นครั้งแรกเมื่อเดือนกุมภาพันธ์ปี 2568 และนับตั้งแต่นั้นมาก็ได้ติดตามพฤติกรรมการใช้งานอย่างใกล้ชิด จนพบว่ามันถูกนำไปใช้โดยกลุ่มจารกรรมที่ต้องสงสัยว่าเป็นเครือข่ายจากประเทศรัสเซีย เพื่อพุ่งเป้าโจมตีชาวยูเครน และในเวลาต่อมายังพบว่าชุดเครื่องมือเดียวกันนี้ ได้ถูกนำไปฝังไว้บนเว็บไซต์คริปโตปลอมสัญชาติจีน เพื่อหลอกลวงและขโมยสินทรัพย์ดิจิทัล

เพื่อเป็นการรับมือกับภัยคุกคาม จีทีไอจี ได้ออกโรงเตือนผู้ใช้งานไอโฟนให้เร่งอัปเดตอุปกรณ์ของตนให้เป็นซอฟต์แวร์เวอร์ชันล่าสุดโดยด่วน เนื่องจากชุดเครื่องมือเจาะระบบนี้ไม่สามารถทำงานได้บนไอโอเอสเวอร์ชันใหม่ล่าสุด และในกรณีที่ไม่สามารถอัปเดตได้ ผู้ใช้งานควรเปิดใช้งาน โหมดล็อกดาวน์ ซึ่งทางแอปเปิลยืนยันว่าเป็นมาตรการรักษาความปลอดภัยขั้นสูงสุดที่สามารถรับมือกับการโจมตีทางไซเบอร์ที่มีความซับซ้อนระดับนี้ได้

ที่มา : Mandiant
เจาะลึกกลวิธีเหยื่อเว็บไซต์ปลอมสูบเงินคริปโต
จีทีไอจี เปิดเผยรายละเอียดเชิงลึกว่า ในเดือนกุมภาพันธ์ปี 2568 ทีมวิจัยได้บังเอิญค้นพบชิ้นส่วนของการเจาะระบบไอโอเอส ซึ่งลูกค้าของบริษัทพัฒนาซอฟต์แวร์สอดแนมแห่งหนึ่ง ได้ใช้สคริปต์จาวาสคริปต์ ในการตรวจสอบและระบุลายนิ้วมือดิจิทัลของอุปกรณ์ เพื่อส่งมอบชุดคำสั่งเจาะระบบที่ตรงกับเป้าหมายได้อย่างแม่นยำ

ช่วงปลายปีเดียวกัน ทีมวิจัยพบว่าโครงสร้างจาวาสคริปต์แบบเดียวกันนี้ ได้ถูกนำไปซุกซ่อนไว้อย่างแนบเนียนบนเว็บไซต์ของยูเครนหลายแห่งที่ถูกแฮกเกอร์ยึดครอง โดยระบบจะถูกตั้งค่าให้ส่งมัลแวร์นี้ไปยังเป้าหมายที่เป็นผู้ใช้งานไอโฟนที่อยู่ในพื้นที่ทางภูมิศาสตร์ที่กำหนดไว้เท่านั้น

ความเลวร้ายยิ่งทวีความรุนแรงขึ้น เมื่อ จีทีไอจี ตรวจพบโครงสร้างดังกล่าวอีกครั้งในเดือนธันวาคม บนเครือข่ายเว็บไซต์ปลอมสัญชาติจีนขนาดใหญ่ ซึ่งส่วนใหญ่ออกแบบมาให้ดูเหมือนแพลตฟอร์มทางการเงินที่น่าเชื่อถือ รวมถึงการทำหน้าเว็บเลียนแบบกระดานเทรดคริปโตชื่อดังอย่าง วีเอ็กซ์

กลไกการทำงานของมันคือ เมื่อผู้ใช้งานหลงกลเข้าถึงเว็บไซต์เหล่านี้ผ่านอุปกรณ์ไอโอเอส โครงสร้างระบบจะแอบส่งชุดเครื่องมือเจาะระบบเข้าไปฝังตัวและเริ่มปฏิบัติการสแกนหาข้อมูลทางการเงินทันที โดยมันจะสแกนและวิเคราะห์ข้อความต่างๆ ภายในเครื่องเพื่อค้นหาวลีฟื้นฟู และคำสำคัญอื่นๆ อาทิ วลีสำรองข้อมูล หรือ บัญชีธนาคาร

นอกจากนี้ ชุดเครื่องมือดังกล่าวยังจะพุ่งเป้าไปที่แอปพลิเคชันคริปโตยอดนิยม ไม่ว่าจะเป็น ยูนิสวอป และ เมตามาสก์ เพื่อดูดเอาสินทรัพย์ดิจิทัลหรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนออกไป

ข้อกังขาถึงต้นกำเนิด โยงใยเครื่องมือข่าวกรองสหรัฐฯ

แม้ว่า จีทีไอจี จะไม่ได้ระบุชื่อลูกค้าของบริษัทสอดแนมที่เป็นต้นตอของชุดเครื่องมือเจาะระบบนี้ แต่ความซับซ้อนของมันได้จุดประกายให้เกิดการวิพากษ์วิจารณ์ในวงกว้าง โดยบริษัทรักษาความปลอดภัยบนมือถืออย่าง ไอเวอริฟาย ได้ให้สัมภาษณ์กับสำนักข่าว ไวร์ด อย่างตรงไปตรงมาว่า อาวุธไซเบอร์ชิ้นนี้อาจถูกสร้างขึ้นหรือจัดซื้อโดยรัฐบาลสหรัฐอเมริกา

ร็อกกี โคล ผู้ร่วมก่อตั้ง ไอเวอริฟาย ได้ให้ทรรศนะเชิงลึกกับ ไวร์ด ว่า ชุดเครื่องมือนี้มีความซับซ้อนในระดับสูงมาก ต้องใช้เม็ดเงินหลายล้านดอลลาร์ในการพัฒนา และที่สำคัญคือมันมีร่องรอยเอกลักษณ์ที่คล้ายคลึงกับโมดูลอื่นๆ ซึ่งเคยถูกเปิดเผยต่อสาธารณะแล้วว่าเป็นผลงานของรัฐบาลสหรัฐฯ

นี่ถือเป็นกรณีศึกษาแรกที่เราได้เห็นเครื่องมือที่น่าจะเป็นของรัฐบาลสหรัฐฯ ซึ่งประเมินจากสิ่งที่โค้ดบอกเรา กำลังหลุดลอยออกจากการควบคุม และถูกนำไปใช้โดยทั้งฝ่ายตรงข้ามและกลุ่มอาชญากรทางไซเบอร์ โคล กล่าว

อย่างไรก็ตาม หัวหน้านักวิจัยด้านความปลอดภัยจาก แคสเปอร์สกี้ ได้ออกมาแย้งข้อมูลดังกล่าวผ่านสำนักข่าว เดอะรีจิสเตอร์ โดยระบุว่า บริษัทรักษาความปลอดภัยทางไซเบอร์แห่งนี้ ไม่พบหลักฐานการนำโค้ดกลับมาใช้ใหม่ในรายงานที่ถูกตีพิมพ์ ซึ่งจะสามารถนำมาสนับสนุนข้อกล่าวอ้างที่ว่า โคโรนา ถูกสร้างขึ้นโดยผู้พัฒนาหรือกลุ่มเดียวกันกับเครื่องมือของสหรัฐฯ แต่อย่างใด

กูเกิลแฉยับ สปายแวร์เจาะลึกไอโฟน ปล้นรหัสคริปโตเกลี้ยงพอร์ต!! โยงเครื่องมือลับรัฐบาลสหรัฐฯ
ที่มา : Mandiant