ใครปล่อยของ? รายงานพบซอฟต์แวร์สอดแนมใน iPhone ของนักเคลื่อนไหวทางการเมืองในไทย

มีรายงานจาก Citizen Labs เผยการค้นพบซอฟต์แวร์สอดแนมเลื่องชื่อ ‘Pegasus’ ในมือถือ iPhone ของผู้เคลื่อนไหวทางการเมืองในไทยหลายสิบราย

Pegasus เป็น Spyware ระดับโลกตัวหนึ่งจากบริษัทในอิสราเอลที่ชื่อ NSO Group โดยมีรายงานหลายแห่งชี้ว่า Pegasus ได้ถูกขายหรือเกี่ยวข้องกับรัฐบาลในหลายประเทศ ซึ่งวันนี้หลักฐานได้ถูกค้นพบกับนักเคลื่อนไหวทางการเมืองของไทยหลายสิบรายจากรายงานของ Citizen Labs

อันที่จริงแล้วเหยื่อเหล่านี้ได้รับคำเตือนจาก Apple ช่วงพฤษจิกายนปี 2021 มาแล้วว่าไอโฟนหรือไอคลาวด์ของพวกเขาเหล่านั้นอาจกำลังตกเป็นเหยื่อของการโจมตี ในทางเทคนิคแล้วหลังจากได้รับความร่วมมือจากเหยื่อในการเก็บข้อมูลต่างๆเพื่อนำมาวิเคราะห์และผู้เชี่ยวชาญพบกับความจริงที่น่าตกใจคือมีเหยื่อราว 30 คนในหลายบทบาท ทั้งนักเคลื่อนไหวทางการเมือง ทนาย พนักงานของ NGO หรือคนในภาคสถาบันการศึกษา ซึ่งการติดมัลแวร์เกิดขึ้นในช่วงตุลาคม 2020 ถึง พฤษจิกายน 2021

การพิสูจน์ทราบทางเทคนิค

  1. เก็บข้อมูลจากไอโฟนด้วยเทคนิค Snowball-sampling ด้วยความร่วมมือจากเหยื่อและผู้ที่อาจจะตกเป็นเหยื่อรายอื่นๆ โดยเฉพาะหลักฐานจากบุคคลที่ได้รับการแจ้งเตือนจาก Apple
  2. ค้นหาหลักฐานที่เชื่อมโยงกับไบนารีของ Pegasus พร้อมประมวลจากหลักฐานอื่นร่วมและ Log จากไอโฟน โดยผู้เชี่ยวชาญได้มองหาปัจจัยจากประสบการณ์การติดตามซอฟต์แวร์สอดแนมตัวนี้มากกว่า 6 ปี เช่น ตัวอย่างโค้ดต่างๆ ในบางกรณีหลักฐานสามารถบ่งชี้ถึงช่วงเวลาที่ถูกโจมตีเข้ามาได้หรือพอประเมินช่วงเวลาได้คร่าวๆ
  3. เมื่อพบผลชัดเจนว่าเหยื่อมีหลักฐานแน่นอนที่บ่งชี้ถึง Pegasus แล้วทีมงาน เพื่อความชัวร์และความเป็นกลาง ยังได้ส่งผลไปยืนยันกับ Amnesty International’s Security Lab ที่มีผลงานพัฒนากระบวนการตรวจจับ Pegasus อย่างเครื่องมือ Mobile Verification Toolkit (MVT)
  4. Amnesty ยืนยันผลลัพธ์สอดคล้องกันว่าพบการติดมัลแวร์ Pegasus
  5. จากข้อมูลทั้งหมดพบชุดเจาะระบบที่สามารถใช้ได้แบบไม่ต้องให้เหยื่อคลิกหรือช่วยเหลือ (Zero-click) 2 รูปแบบคือ
  • KISMET – เป็นชุดเจาะแบบ Zero-click ที่พบการใช้งานช่วงปี 2020 ระหว่างเดือนกรกฏาคมถึงธันวาคม โดยการโจมตีเกิดขึ้นกับเหยื่อชาวไทยรุ่นเก่าซึ่ง KISMET เป็นการอาศัยช่อง Zero-days ของ iOS เวอร์ชัน 13.5.1 และ 13.7.0 แต่จะไม่ได้ผลกับ iOS 14 เนื่องจากมีการป้องกันเพิ่มขึ้น แม้พฤติกรรมที่แน่ชัดยังไม่สามารถอธิบายได้แต่ดูเหมือนว่าคนร้ายได้ใช้รูปภาพอันตรายมาหาเหยื่อเพื่อ Hijack การทำงานของ IMTranscoderAgent
  • FORCEDENTRY – เป็นชุดเจาะแบบ Zero-click ต่อ iMessage ที่พบการใช้งานเริ่มต้นในเหยื่อผู้ใช้งานไอโฟนไทยราวกุมภาพันธ์ 2021 ถึงพฤศจิกายน ซึ่งคนร้ายได้ส่ง PDF อันตรายด้วยการเข้ารหัสแบบ JBIG2 ภายใต้ไฟล์แบบ .gif หลังจากนั้น IMTranscoderAgent จะมีการประมวลผล PDF อัตโนมัติ นำไปสู่การที่คนร้ายสามารถหลุดออกจาก Sandbox และดาวน์โหลด payload อื่นเข้ามาต่อไป โดย FORCEDENTRY ใช้ได้กับ iOS เวอร์ชัน 14.4, 14.6 และ 14.7.1 ซึ่งได้รับการอุดช่องโหว่ใน 14.8.0 

จากข้อมูลเซิร์ฟเวอร์ของการปฏิบัติการด้วย Pegasus ในประเทศไทยด้วยข้อมูลชื่อโดเมนภาษาไทยและโซนเวลา GMT+7 ในรายงานชี้ว่าอาจมีการเริ่มต้นตั้งแต่พฤษภาคม 2014 แล้วรวมถึงไทม์ไลน์การปรากฏตัวอยู่เรื่อยๆในปี 2016 และ 2018 อย่างไรก็ดีรายงานกล่าวว่าตนไม่สามารถยืนยันความเกี่ยวข้องของหน่วยงานรัฐบาล..

ทั้งนี้ประเด็นสำคัญของเรื่องนี้คือซอฟต์แวร์สอดแนมระดับโลกนี้ปรากฏตัวอยู่ในกลุ่มผู้มีชื่อเสียงนักเคลื่อนไหวต่างๆ เราจะต่อกรกับภัยคุกคามนี้อย่างไร? จะเห็นได้ว่า Apple และหน่วยงานของสหรัฐฯเองได้แสดงจุดยืนที่จะคว่ำบาตรต่อการกระทำละเมิดสิทธิ์เหล่านี้ พยายามแพตช์ให้ทันเตือนให้เหยื่อรู้ ในขณะที่ผู้ใช้งานเองก็ต้องตระหนักถึงความสำคัญของการแพตช์และรู้ไว้ว่าภัยคุกคามใกล้กับท่านกว่าที่คิด ขนาดไอโฟนที่ขึ้นชื่อเรื่องความปลอดภัยยังหลุดได้ โดยในเวอร์ชัน 16 ล่าสุดฟังก์ชัน Lock Down ก็ออกมาเพื่อช่วยเหลือผู้ตกเป็นเป้าเหล่านี้โดยเฉพาะ https://www.techtalkthai.com/apple-lock-down-protect-goverment-spyware/

ที่มา : https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/ และ https://www.securityweek.com/researchers-say-thai-pro-democracy-activists-hit-spyware


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

6 เทรนด์ Cybersecurity ปี 2024 โดย Gartner

ในโลกที่ Generative AI เฟื่องฟู การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้ ติดตามอ่านกันได้ในบทความนี้

Tenable ออกโซลูชันใหม่ Tenable One for OT/IoT

IT ไม่ใช่ช่องทางเดียวที่จะถูกโจมตีได้ แต่ยังมีธุรกิจอีกจำนวนมากที่ต้องพึ่งพาระบบ OT และ IoT ในการปฏิบัติการ ด้วยเหตุนี้เองการรู้จักช่องโหว่ที่เป็นความเสี่ยงจึงเป็นเรื่องสำคัญไม่น้อยไปกว่าระบบ IT ล่าสุด Tenable ผู้เชี่ยวชาญด้านการบริหารจัดการช่องโหว่ได้ขยายความสามารถใหม่ให้แพลตฟอร์ม Tenable One รองรับการบริหารจัดการช่องโหว่สำหรับ …