เอกสารลับล่าสุด แฉแผนสอดแนมด้วย 'มัลแวร์' กับคอมฯ หลายล้านเครื่อง

สำนักข่าวดิอินเตอร์เซปต์ อ้างอิงเอกสารลับที่ได้จากเอ็ดเวิร์ด สโนว์เดน เผยวีธีการสอดแนมและโจมตีทางข้อมูลในระดับที่ชวนให้กังวลอย่างการโปรแกรมไม่พึงประสงค์หรือ 'มัลแวร์' ในการแทรกซึมเครื่องคอมพิวเตอร์ทั้งในและนอกประเทศ

14 มี.ค.2557 เมื่อวันที่ 12 มี.ค. 2557 สำนักข่าวดิอินเตอร์เซปต์ รายงานโดยอ้างเอกสารลับล่าสุดว่า สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (NSA) มีแผนการลักลอบแฮ็กคอมพิวเตอร์เป็นวงกว้างด้วยโปรแกรมอัตโนมัติ ซึ่งเป็นการลดระดับการตรวจสอบของมนุษย์

เอกสารล่าสุดจากเอ็ดเวิร์ด สโนว์เดน อดีตผู้ทำงานให้กับ NSA ระบุถึงรายละเอียดการพัฒนาเทคโนโลยีสอดแนมขององค์กรโดยอาศัยวิธีการทำให้คอมพิวเตอร์ของผู้ใช้หลายล้านคนทั่วโลกติด "มัลแวร์" ซึ่งเป็นโปรแกรมรบกวนหรือสร้างความเสียหายต่อระบบ หมายรวมถึงไวรัส เวิร์ม และโทรจัน NSA ใช้วิธีนี้เพื่อดึงเอาข้อมูลจากระบบอินเทอร์เน็ตและเครือข่ายโทรศัพท์ของต่างประเทศ

เนื้อความในดิอินเตอร์เซปต์ ระบุถึงวิธีการที่ NSA ใช้เช่นการแฝงตัวเข้าไปในเฟซบุ๊ก ใช้โซเชียลมีเดียเป็นแหล่งแพร่ไวรัสไปสู่เครื่องของเป้าหมายและดึงข้อมูลจากฮาร์ดไดรฟ อีกวิธีการหนึ่งคือการส่งอีเมลข้อความรบกวนที่เรียกว่าสแปมซึ่งบรรจุด้วยมัลแวร์ ซึ่งมัลแวร์ของพวกเขามีความสามารถในการแอบบันทึกเสียงจากไมโครโฟนของคอมพิวเตอร์และถ่ายภาพด้วยเว็บแคม ระบบนี้ยังสามารถทำให้ NSA ดำเนินการโจมตีทางไซเบอร์โดยการทำให้ไฟล์ที่ดาวน์โหลดผ่านอินเทอร์เน็ตเสียหายหรือถูกยับยั้ง รวมถึงทำให้ไม่สามารถเข้าถึงเว็บไซต์บางเว็บได้

ก่อนหน้านี้ระบบการสอดแนมด้วยมัลแวร์นี้ถูกนำมาใช้กับการเข้าถึงเป้าหมายที่เข้าถึงยากจำนวนไม่กี่ร้อยเป้าหมายเท่านั้น เนื่องจากเป้าหมายเหล่านี้ไม่สามารถสอดแนมด้วยวิธีการทั่วไปได้ แต่จากเอกสารขององค์กรระบุว่ามีการพยายามสร้างระบบติดตั้งแฝงมัลแวร์อัตโนมัติที่เรียกว่า TURBINE ซึ่งสามารถติดตั้งเครือข่ายมัลแวร์ในวงกว้าง (หลายล้านการติดตั้ง) ด้วยระบบอัตโนมัติที่ฝังตัวมัลแวร์ทีเดียวหลายครั้งแทนการฝังตัวทีละครั้ง

NSA อธิบายไว้ในเอกสารการนำเสนอที่ระบุเดือน ส.ค. 2552 ถึงโครงสร้างพื้นฐานของโปรแกรมที่เรียกว่า "ระบบชำนาญการ" (Expert System) โดยอ้างว่าสามารถทำหน้าที่จัดการเรื่องการติดตั้งแฝงมัลแวร์ไว้ในระบบและตัดสินใจว่าจะใช้อุปกรณ์ชนิดใดในการดึงข้อมูลจากเครื่องที่ติดมัลแวร์

มิกโก ไฮป์โปเนน ผู้เชี่ยวชาญเรื่องมัลแวร์ผู้ทำงานเป็นหัวหน้าเจ้าหน้าที่วิจัยที่บริษัทความปลอดภัยของฟินแลนด์ชื่อ F-Secure กล่าวว่า เรื่องนี้เป็นเรื่องน่าวิตก และบอกว่าวิธีการสอดแนมของ NSA อาจบ่อนทำลายระบบความปลอดภัยของอินเทอร์เน็ตโดยไม่ได้ตั้งใจ

ไฮป์โปเนนกล่าวว่า เมื่อมีการใช้มัลแวร์เจาะระบบ ก็จะเป็นการสร้างภาวะเสี่ยงให้กับระบบ ทำให้สามารถถูกโจมตีจากกลุ่มบุคคลที่สามได้

อย่างไรก็ตามไฮป์โปเนนเสนอว่า รัฐบาลควรอนุญาตให้ใช้มัลแวร์ได้แต่เฉพาะกับกลุ่มเป้าหมายเล็กๆ โดยเจาะจงที่เป็นศัตรูเท่านั้น เพราะถ้าหากมีการฝังมัลแวร์ไว้จำนวนหลายล้านโดยอาศัยกระบวนการอัตโนมัติอาจจะทำให้เกิดภาวะควบคุมไม่ได้

ทาง NSA ปฏิเสธที่จะตอบคำถามของนักข่าวเกี่ยวกับแผนการวางมัลแวร์ แต่ก็ได้อ้างถึงการกำหนดแนวทางนโยบายของประธานาธิบดีบารัค โอบามา ที่แถลงไว้เมื่อวันที่ 17 ม.ค. ว่า "จะมีการเก็บข้อมูลข่าวกรองที่มาจากสัญญาณเฉพาะแค่เรื่องที่เกี่ยวข้องกับข่าวกรองต่างชาติหรือการต่อต้านข่าวกรอง เพื่อเป็นการสนับสนุนประเทศชาติและเป็นไปตามภารกิจของหน่วยงานเท่านั้น โดยไม่มีวัตถุประสงค์อื่น"

ดิอินเตอร์เซปต์ รายงานอีกว่า TURBINE ถูกออกแบบมาเพื่อให้แฮ็กเกอร์ของ NSA วางมัลแวร์ได้ง่ายขึ้น โดยลดบทบาทการตรวจสอบดูแลระบบของคนในองค์กร โดยจะมีการปรับแต่งโปรแกรม TURBINE ในเรื่องวิธีการทำงานก่อนเปิดทำงานอัตโนมัติ เรื่องนี้ถือเป็นการเปลี่ยนแปลงยุทธวิธีครั้งใหญ่ใน NSA ซึ่งทางองค์กรมองว่าเป็นพัฒนาการด้านการสอดแนมอีกขั้นหนึ่ง

เอกสารลับระบุอีกว่า TURBINE ประสบผลสำเร็จและนำมาใช้ได้ด้วยประสิทธิภาพมากพอสมควรตั้งแต่ในเดือน ก.ค. 2553 และมีบทบาทในปฏิบัติการแฮ็กข้อมูลของ NSA ในรายงานข่าวเกี่ยวกับเอกสารลับฉบับอื่นก่อนหน้านี้ระบุว่า NSA ได้วางโปรแกรมแทรกซึมคอมพิวเตอร์และเครือข่ายราว 85,000 ถึง 100,000 แห่งทั่วโลก และมีแผนการเพิ่มจำนวนแทรกซึมมากขึ้น

TURBINE ยังเป็นส่วนหนึ่งของโครงการ "ครอบครองอินเทอร์เน็ต" (Owning the Net) ซึ่งถูกจัดสรรงบประมาณลับปี 2556 ให้ถึง 67.6 ล้านบาท

ดิอินเตอร์เซปต์ระบุอีกว่าวิธีการฝังมัลแวร์ทำให้สามารถสอดแนมได้โดยไม่มีปัญหาเรื่องผู้ใช้อินเทอร์เน็ตใช้โปรแกรมเข้ารหัสที่ป้องกันความเป็นส่วนตัว เนื่องจากมัลแวร์ของ NSA สามารถเข้าถึงข้อมูลของคอมพิวเตอร์เป้าหมายก่อนที่จะเปิดใช้การป้องกันแล้ว

ประเภทของมัลแวร์ที่ใช้

ยังไม่ทราบแน่ชัดว่า NSA มีการฝังมัลแวร์จำนวนมากเท่าใดและมีจำนวนเท่าใดที่ยังคงทำงานอยู่ในคอมพิวเตอร์ทั่วโลก แต่มีรายงานข่าวฉบับหนึ่งของวอชิงตันโพสต์ที่ระบุว่า NSA ได้ทำงานร่วมกับอิสราเอลเพื่อพัฒนามัลแวร์ที่ชื่อ Stuxnet เพื่อใช้ในการก่อกวนโรงงานนิวเคลียร์ของอิหร่าน นอกจากนี้ยังมีความเป็นไปได้ว่าจะร่วมกับอิสราเอลในการใช้มัลแวร์ชื่อ Flame เพื่อแทรกซึมประเทศต่างๆ ในตะวันออกกลาง

ก่อนหน้านี้ สำนักข่าวเดอสปีเกลก็เคยรายงานเมื่อเดือน ก.ย. 2556 ว่าทางสำนักงานข่าวกรองอังกฤษ (GCHQ) ได้แฮ็กคอมพิวเตอร์ของวิศวกรเครือข่ายในบริษัท Belgacom ซึ่งเป็นบริษัทให้บริการโทรคมนาคมในเบลเยียม ภายใต้ภารกิจที่มีชื่อรหัสว่า "ปฏิบัติการสังคมนิยม" (Operation Socialist) ทาง GCHQ ระบุว่าพวกเขาสามารถสอดแนมโทรศัพท์ที่เชื่อมโยงกับเครือข่ายของ Belgacom ได้ทั้งหมด

ไม่เพียงแค่ใช้มัลแวร์เพื่อการแทรกซึมระบบเท่านั้น NSA ยังมีแผนการเจาะเครือข่ายของผู้ให้บริการอินเทอร์เน็ตในต่างประเทศ เพื่อสามารถสอดแนมการเข้าออกของข้อมูลอินเทอร์เน็ตรวมถึงบันทึกการเข้าเว็บและการสื่อสารระหว่างผู้ใช้ได้

มีมัลแวร์ 2 ตัวที่ NSA ใช้แทรกซึมเข้าไปในเครือข่ายชื่อ HAMMERCHANT และ HAMMERSTEIN มีความสามารถรับข้อมูลและโจมตีข้อมูลที่ส่งผ่านเครือข่ายเสมือนส่วนตัว (VPN) ซึ่งเป็นเครื่องมือเข้ารหัสเพื่อเสริมความปลอดภัย

มัลแวร์ที่แฝงเข้าไปในเครือข่ายจะสามารถดักข้อมูลการพูดคุยด้วยเสียงเช่น สไกป์ ทำให้ทราบผู้ใช้ที่คุยกัน อีกทั้งหากข้อมูลเสียงไม่ถูกเข้ารหัสก่อนส่งผ่านอินเทอร์เน็ต มัลแวร์ของพวกเขายังสามารถอัดเสียงแล้วส่งให้ NSA เพื่อการวิเคราะห์ข้อมูลได้

บางครั้งมัลแวร์ของ NSA ก็ไม่ได้ใช้ในการสอดแนม แต่ใช้ในการก่อกวน เช่น มัลแวร์ที่ชื่อ QUANTUMSKY พัฒนาในปี 2547 ใช้บล็อคไม่ให้เป้าหมายสามารถเข้าถึงบางเว็บไซต์ได้ ส่วนมัลแวร์ที่ชื่อ QUANTUMCOPPER ทดลองครั้งแรกในปี 2551 มีความสามารถทำให้ไฟล์ที่ดาวน์โหลดเสียหาย การโจมตีสองรูปแบบนี้ถูกรวมอยู่ในเครื่องมือแฮ็ก 9 ประเภทของ NSA ซึ่งมีอยู่ 6 ประเภทที่ใช้ในการเก็บข้อมูลข่าวกรอง มีอยู่ประเภทเดียวที่ใช้เพื่อการป้องกันคือใช้เพื่อคุ้มครองเครือข่ายของรัฐบาลสหรัฐฯ จากการบุกรุก

วิธีที่ทำให้เครื่องติดมัลแวร์

ในแง่วิธีการทำให้เครื่องติดมัลแวร์ เอกสารลับปี 2555 ระบุว่าองค์กรใช้วิธีการส่งสแปมอีเมลหลอกล่อให้เป้าหมายคลิกลิงก์อันตราย เมื่อกดคลิกแล้วมัลแวร์จะลักลอบแฝงตัวเข้าไปอยู่ในคอมพิวเตอร์เป้าหมายภายใน 8 วินาที

อย่างไรก็ตาม ดูเหมือนว่าเทคนิคนี้จะได้ผลน้อยลงเมื่อผู้ใช้อินเทอร์เน็ตเริ่มระวังอีเมลแปลกๆ และมีโอกาสน้อยลงที่จะคลิกสิ่งที่น่าสงสัย ทำให้ NSA ต้องเปลี่ยนยุทธวิธี ด้วยวิธีที่เรียกว่า "คนข้างสนาม" (man-on-the-side) ซึ่ง NSA ลักลอบสอดแนมการเข้าออกของข้อมูลเพื่อดูว่าเป้าหมายเข้าถึงเว็บใดบ้าง จากนั้นจึงลอบดักส่งข้อมูลมัลแวร์ใส่คอมพิวเตอร์ไอพีของเป้าหมายเมื่อเป้าหมายเข้าสู่เว็บไซต์ที่ดักไว้ในเวลาเสี้ยววินาที

ตัวอย่างหนึ่งของกลวิธีนี้มีชื่อเรียกว่า QUANTUMHAND ซึ่งองค์กร NSA จะแสร้งปลอมเป็นเซิร์ฟเวอร์ของเฟซบุ๊ก เมื่อเป้าหมายพยายามจะล็อกอินเข้าสู่เว็บโซเชียลมีเดีย NSA ก็จะทำการปล่อยข้อมูลมัลแวร์ใส่คอมพิวเตอร์เป้าหมายโดยหลอกเครื่องคอมพิวเตอร์ของเป้าหมายว่าเป็นสิ่งที่ถูกส่งมาจากเฟซบุ๊ก

แมตต์ เบลซ ผู้เชี่ยวชาญเรื่องการสอดแนมและการเข้ารหัสข้อมูลจากมหาวิทยาลัยเพนซิลเวเนียกล่าวว่า ดูเหมือนว่ากลวิธี QUANTUMHAND จะเน้นโจมตีเป้าหมายเดียว แต่ก็แสดงความกังวลว่ามันอาจจะถูกผนวกรวมอยู่กับระบบเครือข่ายอินเทอร์เน็ตซึ่งเป็นส่วนหนึ่งของระบบอัตโนมัติ TURBINE โดยตั้งคำถามว่าจะควบคุมมันอย่างไร

เจย์ แนนแคร์โรว์ โฆษกของเฟซบุ๊กกล่าวว่าพวกเขาไม่พบหลักฐานการกระทำดังกล่าวและบอกว่าทางเฟซบุ๊กใช้การเข้ารหัสข้อมูล HTTPS สำหรับผู้ใช้ตั้งแต่ปีที่แล้วทำให้การใช้เว็บมีความเสี่ยงต่อการถูกโจมตีด้วยมัลแวร์น้อยลง

แนนแคร์โรว์บอกอีกว่าอาจมีเว็บไซต์อื่นที่ถูก NSA นำกลวิธีนี้มาใช้โดยเฉพาะกับเว็บไซต์ที่ไม่มีการเข้ารหัส HTTP และมีเบี่ยงเบนทิศทางการเข้าถึงเว็บอย่างเห็นได้ชัด

มีการโจมตีอีกแบบหนึ่งที่เรียกว่า "คนกลาง" (man-in-the-middle) ที่คล้ายเทคนิควิธีของแฮ็กเกอร์อาชญากรในการหลอกลวงผู้คน คือความสามารถในการเฝ้าจับตาการเข้าเว็บ เบนทิศทางการเข้าถึงเว็บ และยังสามารถเปลี่ยนแปลงเนื้อหาที่ส่งผ่านระหว่างคอมพิวเตอร์ เช่นสามารถเปลี่ยนข้อความที่คนสองคนคุยกันผ่านอินเทอร์เน็ตโดยไม่ทราบว่ามีบุคคลที่สามเป็นผู้เปลี่ยนแปลงเนื้อหาอยู่

เบลซวิจารณ์ว่าการโจมตีด้วยกลวิธี "คนกลาง" (man-in-the-middle) ในระดับใหญ่เป็นวิธีที่น่ารังเกียจ โดยที่สามารถสอดส่องเครือข่ายอินเทอร์เน็ตได้ทั้งหมดโดยไม่เลือกเป้าหมาย

นอกจากนี้ NSA ยังพยายามหาจุดอ่อนในเบราเซอร์อินเทอร์เน็ตอย่างไฟร์ฟอกซ์หรืออินเทอร์เน็ตเอ็กพลอเรอร์ รวมถึงอาศัยซอฟต์แวร์ที่พ่วงกับเบราเซอร์อย่างเช่นแฟลชหรือจาวาเป็นตัวส่งมัลแวร์

ดิอินเตอร์เซปต์ ระบุอีกว่าการแทรกซึมด้วยมัลแวร์สามารถเล็ดรอดผ่านโปรแกรมแอนตี้ไวรัสได้ เช่น มัลแวร์ที่ชื่อ VALIDATOR ซึ่งใช้อัปโหลดหรือดาวน์โหลดข้อมูลจากเครื่องที่ติดมัลแวร์ถูกตั้งค่าให้สามารถทำลายตัวเองได้ โดยการลบตัวเองทิ้งจากเครื่องหลังเวลาผ่านไปครบกำหนด นอกจากนี้ระบบไฟร์วอลหรือมาตรการความปลอดภัยอื่นๆ ก็ดูไม่เป็นอุปสรรคมากนักสำหรับ NSA ซึ่งในเอกสารแฮ็กเกอร์ของ NSA ดูมั่นใจมากในความสามารถผ่านระบบความปลอดภัย

TURBINE ยังทำงานร่วมกับ "ตัวส่งสัญญาณ" ที่ใช้สอดแนมอื่นๆ ที่ทางองค์กรส่งไปตามที่ต่างๆ ทั่วโลก ตัวส่งสัญญาณที่ชื่อว่า TURMOIL จะทำหน้าที่ตรวจสอบข้อมูลและส่งให้ NSA วิเคราะห์ หลังจากที่ TURBINE ทำหน้าที่ดึงข้อมูลจากเครื่องเป้าหมายแล้ว และเมื่อมีการสื่อสารทางอินเทอร์เน็ต TURMOIL ยังคอยส่งสัญญาณให้ TURBINE ทำหน้าที่โจมตีด้วยมัลแวร์

NSA ยังมีการระบุเป้าหมายสอดแนมผ่านทางข้อมูลต่างๆ ของผู้ใช้ ทั้งข้อมูลภายใน เลขไอพี ข้อมูลส่วนตัวของเราใน 'คุกกี้' (cookies) เช่น ชื่อผู้ใช้ เวลาเข้าเว็บ นอกจากนี้ยังมีการนำข้อมูลจากตัวเก็บข้อมูลเพื่อการโฆษณาของกูเกิลที่ทำให้สามารถติดตามการเข้าเว็บของผู้ใช้ รวมถึงการเข้ารหัสเพื่อตรวจสอบประวัติการพิมพ์ของผู้ใช้เฉพาะบุคคลได้

ดิอินเตอร์เซปต์ระบุอีกว่า GCHQ มีบทบาทสำคัญในการช่วยพัฒนามัลแวร์ และเคยมีส่วนร่วมโจมตีด้วยการแฮ็ก แต่ดูเหมือนว่าหน่วยงาน GCHQ ไม่ค่อยอยากร่วมการใช้มัลแวร์เท่าใดนักเนื่องจากเกรงว่าจะเป็นการผิดกฎหมายของสหราชอาณาจักร ทาง GCHQ ยังได้ปฏิเสธในการให้สัมภาษณ์ต่อดิอินเตอร์เซปต์ ว่าไม่ได้มีส่วนเกี่ยวข้องกับปฏิบัติการแฮ็กข้อมูลใดๆ

อย่างไรก็ตาม อาจจะไม่เพียงแค่หน่วยงานความมั่นคงของอังกฤษและสหรัฐฯ เท่านั้นที่ใช้วิธีการมัลแวร์ ในเอกสารลับระบุเดือน ธ.ค. 2555 แสดงให้เห็นว่านักวิเคราะห์ของ NSA กำลังกังวลว่าประเทศอื่นก็กำลังพัฒนาระบบแบบเดียวกัน

 

เรียบเรียงจาก

How the NSA Plans to Infect ‘Millions’ of Computers with Malware, The Intercept, 12-03-2014
https://firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/

ร่วมบริจาค สนับสนุนการทำงานของ 'ประชาไท' ร่วมสร้างและรักษาสื่อเสรี Prachatai.com (ไม่มีขั้นต่ำ)

โอนเงิน บัญชีกรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM"

โอนเงิน PayPal / บัตรเครดิต https://PayPal.me/Prachatai (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

แสดงความคิดเห็น

ข่าวรอบวัน

พื้นที่ประชาสัมพันธ์