ใครปล่อยของ? รายงานพบซอฟต์แวร์สอดแนมใน iPhone ของนักเคลื่อนไหวทางการเมืองในไทย

มีรายงานจาก Citizen Labs เผยการค้นพบซอฟต์แวร์สอดแนมเลื่องชื่อ ‘Pegasus’ ในมือถือ iPhone ของผู้เคลื่อนไหวทางการเมืองในไทยหลายสิบราย

Pegasus เป็น Spyware ระดับโลกตัวหนึ่งจากบริษัทในอิสราเอลที่ชื่อ NSO Group โดยมีรายงานหลายแห่งชี้ว่า Pegasus ได้ถูกขายหรือเกี่ยวข้องกับรัฐบาลในหลายประเทศ ซึ่งวันนี้หลักฐานได้ถูกค้นพบกับนักเคลื่อนไหวทางการเมืองของไทยหลายสิบรายจากรายงานของ Citizen Labs

อันที่จริงแล้วเหยื่อเหล่านี้ได้รับคำเตือนจาก Apple ช่วงพฤษจิกายนปี 2021 มาแล้วว่าไอโฟนหรือไอคลาวด์ของพวกเขาเหล่านั้นอาจกำลังตกเป็นเหยื่อของการโจมตี ในทางเทคนิคแล้วหลังจากได้รับความร่วมมือจากเหยื่อในการเก็บข้อมูลต่างๆเพื่อนำมาวิเคราะห์และผู้เชี่ยวชาญพบกับความจริงที่น่าตกใจคือมีเหยื่อราว 30 คนในหลายบทบาท ทั้งนักเคลื่อนไหวทางการเมือง ทนาย พนักงานของ NGO หรือคนในภาคสถาบันการศึกษา ซึ่งการติดมัลแวร์เกิดขึ้นในช่วงตุลาคม 2020 ถึง พฤษจิกายน 2021

การพิสูจน์ทราบทางเทคนิค

1. เก็บข้อมูลจากไอโฟนด้วยเทคนิค Snowball-sampling ด้วยความร่วมมือจากเหยื่อและผู้ที่อาจจะตกเป็นเหยื่อรายอื่นๆ โดยเฉพาะหลักฐานจากบุคคลที่ได้รับการแจ้งเตือนจาก Apple
2. ค้นหาหลักฐานที่เชื่อมโยงกับไบนารีของ Pegasus พร้อมประมวลจากหลักฐานอื่นร่วมและ Log จากไอโฟน โดยผู้เชี่ยวชาญได้มองหาปัจจัยจากประสบการณ์การติดตามซอฟต์แวร์สอดแนมตัวนี้มากกว่า 6 ปี เช่น ตัวอย่างโค้ดต่างๆ ในบางกรณีหลักฐานสามารถบ่งชี้ถึงช่วงเวลาที่ถูกโจมตีเข้ามาได้หรือพอประเมินช่วงเวลาได้คร่าวๆ
3. เมื่อพบผลชัดเจนว่าเหยื่อมีหลักฐานแน่นอนที่บ่งชี้ถึง Pegasus แล้วทีมงาน เพื่อความชัวร์และความเป็นกลาง ยังได้ส่งผลไปยืนยันกับ Amnesty International’s Security Lab ที่มีผลงานพัฒนากระบวนการตรวจจับ Pegasus อย่างเครื่องมือ Mobile Verification Toolkit (MVT)
4. Amnesty ยืนยันผลลัพธ์สอดคล้องกันว่าพบการติดมัลแวร์ Pegasus
5. จากข้อมูลทั้งหมดพบชุดเจาะระบบที่สามารถใช้ได้แบบไม่ต้องให้เหยื่อคลิกหรือช่วยเหลือ (Zero-click) 2 รูปแบบคือ

• KISMET – เป็นชุดเจาะแบบ Zero-click ที่พบการใช้งานช่วงปี 2020 ระหว่างเดือนกรกฏาคมถึงธันวาคม โดยการโจมตีเกิดขึ้นกับเหยื่อชาวไทยรุ่นเก่าซึ่ง KISMET เป็นการอาศัยช่อง Zero-days ของ iOS เวอร์ชัน 13.5.1 และ 13.7.0 แต่จะไม่ได้ผลกับ iOS 14 เนื่องจากมีการป้องกันเพิ่มขึ้น แม้พฤติกรรมที่แน่ชัดยังไม่สามารถอธิบายได้แต่ดูเหมือนว่าคนร้ายได้ใช้รูปภาพอันตรายมาหาเหยื่อเพื่อ Hijack การทำงานของ IMTranscoderAgent
• FORCEDENTRY – เป็นชุดเจาะแบบ Zero-click ต่อ iMessage ที่พบการใช้งานเริ่มต้นในเหยื่อผู้ใช้งานไอโฟนไทยราวกุมภาพันธ์ 2021 ถึงพฤศจิกายน ซึ่งคนร้ายได้ส่ง PDF อันตรายด้วยการเข้ารหัสแบบ JBIG2 ภายใต้ไฟล์แบบ .gif หลังจากนั้น IMTranscoderAgent จะมีการประมวลผล PDF อัตโนมัติ นำไปสู่การที่คนร้ายสามารถหลุดออกจาก Sandbox และดาวน์โหลด payload อื่นเข้ามาต่อไป โดย FORCEDENTRY ใช้ได้กับ iOS เวอร์ชัน 14.4, 14.6 และ 14.7.1 ซึ่งได้รับการอุดช่องโหว่ใน 14.8.0 

จากข้อมูลเซิร์ฟเวอร์ของการปฏิบัติการด้วย Pegasus ในประเทศไทยด้วยข้อมูลชื่อโดเมนภาษาไทยและโซนเวลา GMT+7 ในรายงานชี้ว่าอาจมีการเริ่มต้นตั้งแต่พฤษภาคม 2014 แล้วรวมถึงไทม์ไลน์การปรากฏตัวอยู่เรื่อยๆในปี 2016 และ 2018 อย่างไรก็ดีรายงานกล่าวว่าตนไม่สามารถยืนยันความเกี่ยวข้องของหน่วยงานรัฐบาล..

ทั้งนี้ประเด็นสำคัญของเรื่องนี้คือซอฟต์แวร์สอดแนมระดับโลกนี้ปรากฏตัวอยู่ในกลุ่มผู้มีชื่อเสียงนักเคลื่อนไหวต่างๆ เราจะต่อกรกับภัยคุกคามนี้อย่างไร? จะเห็นได้ว่า Apple และหน่วยงานของสหรัฐฯเองได้แสดงจุดยืนที่จะคว่ำบาตรต่อการกระทำละเมิดสิทธิ์เหล่านี้ พยายามแพตช์ให้ทันเตือนให้เหยื่อรู้ ในขณะที่ผู้ใช้งานเองก็ต้องตระหนักถึงความสำคัญของการแพตช์และรู้ไว้ว่าภัยคุกคามใกล้กับท่านกว่าที่คิด ขนาดไอโฟนที่ขึ้นชื่อเรื่องความปลอดภัยยังหลุดได้ โดยในเวอร์ชัน 16 ล่าสุดฟังก์ชัน Lock Down ก็ออกมาเพื่อช่วยเหลือผู้ตกเป็นเป้าเหล่านี้โดยเฉพาะ https://www.techtalkthai.com/apple-lock-down-protect-goverment-spyware/

ที่มา : https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/ และ https://www.securityweek.com/researchers-say-thai-pro-democracy-activists-hit-spyware