เมื่อช่วงต้นปีนี้ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team - ทีม GReAT) ได้เปิดโปงขบวนการภัยคุกคามทางไซเบอร์หลายกลุ่ม แต่ละกลุ่มล้วนมีความซับซ้อน ใช้ทูลและเทคนิคขั้นสูง เช่น Slingshot, OlympicDestroyer, Sofacy, PlugX Pharma, Crouching Yeti, ZooPark และล่าสุด Roaming Mantis เป็นต้น

Slingshot จัดเป็นภัยไซเบอร์ที่มีความซับซ้อนใช้ในการจารกรรมทางไซเบอร์ในแถบตะวันออกกลางและแอฟริกาอย่างน้อยน่าจะเริ่มตั้งแต่ช่วงปี 2012 จนกระทั่งกุมภาพันธ์ 2018 โดยตัวมัลแวร์จะทำการโจมตีปล่อยเชื้อใส่เหยื่อผ่านเราเตอร์ที่มีช่องโหว่ และทำงานอยู่ในเคอร์เนลโหมด (kernel mode) สามารถเข้าควบคุมอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์

OlympicDestroyer เป็นมัลแวร์ที่ใช้เทคนิคสร้างความเข้าใจผิด (false flag) โดยฝังมาในเวิร์ม ล่อให้ตัวตรวจจับหลงทางพลาดเป้าหมายมัลแวร์ตัวจริง ดังที่เป็นข่าวใหญ่โตในช่วงโอลิมปิกฤดูหนาวที่เพิ่งผ่านมา

Sofacy หรือ APT28 หรือ Fancy Bear เป็นกลุ่มก่อการจารกรรมไซเบอร์ที่ออกปฏิบัติการก่อกวนอยู่เนืองๆ ได้ปรับเปลี่ยนเป้าหมายมายังตะวันออกไกล หันเหความสนใจมายังองค์กรด้านการทหารและป้องกันประเทศ ด้านการทูต นอกเหนือไปจากเป้าหมายที่มักเกี่ยวโยงกับองค์การนาโต้

PlugX เป็นมัลแวร์เกี่ยวกับทูลในการทำรีโมทแอคเซส (RAT) เป็นที่รู้จักดี เมื่อเร็วๆ นี้ถูกตรวจพบในองค์กรด้านเวชภัณฑ์ที่เวียดนาม มุ่งหวังโจรกรรมสูตรยาที่มีค่ายิ่งและข้อมูลด้านธุรกิจ ประเทศไทยเองก็ถูกจัดอันดับเป็นหนึ่งในสามที่องค์กรธุรกิจด้านเวชภัณฑ์ถูกโจมตีมากที่สุด

Crouching Yeti เป็นกลุ่ม APT ใช้ภาษารัสเซียที่ถูกตามรอยมาตั้งแต่ปี 2010 เป้าหมายอยู่ที่ธุรกิจอุตสาหกรรมทั่วโลก โดยมุ่งเน้นไปที่ด้านพลังงาน เทคนิคการโจมตีที่พบใช้งานแพร่หลายได้แก่ บ่อน้ำ (watering hole)

ZooPark เป็นเคมเปญจารกรรมไซเบอร์ เหยื่อเป้าหมายคือผู้ที่ใช้แอนดรอยด์ดีไวซ์ในแถบประเทศตะวันออกกลาง อาศัยแพร่กระจายเชื้อร้ายผ่านทางเว็บไซต์ยอดนิยมที่มียอดผู้เข้าใช้งานสูง น่าจะเป็นเคมเปญที่มีรัฐบาลประเทศใดประเทศหนึ่งหนุนหลัง เน้นโจมตีองค์กรการเมืองหรือนักรณรงค์ทางการเมืองในภูมิภาคนี้

Roaming Mantis เป็นแอนดรอยด์มัลแวร์ล่าสุด แพร่กระจายด้วยการจี้ปล้นระบบโดเมนเนม (DNS) และพุ่งเป้าหมายไปที่สมาร์ทโฟนส่วนมากในเอเชีย และยังคงออกอาละวาดก่อกวนอย่างต่อเนื่อง ออกแบบมาเพื่อโจรกรรมข้อมูลของผู้ใช้ จากนั้นเข้าควบคุมแอนดรอยด์ดีไวซ์นั้น ระหว่างเดือนกุมภาพันธ์และเมษายนปี 2018 นักวิจัยได้ตรวจับมัลแวร์นี้ได้จาก 150 ยูสเซอร์เน็ตเวิร์ก เช่น เกาหลีใต้ บังคลาเทศ และญี่ปุ่น

ยิ่งไปกว่านั้น นักวิจัยจากแคสเปอร์สกี้ แลปยังได้ค้นพบกิจกรรม APT จำนวนมากในแถบเอเชีย โดยรายงานต่างๆ ในไตรมาสแรกของแคสเปอร์สกี้ แลป ได้ระบุถึงปฏิบัติการภัยไซเบอร์ในภูมิภาคนี้มากกว่า 30% พบกิจกรรมที่ใช้เทคนิคใหม่ในประเทศแถบตะวันออกกลาง เช่น StrongPity APT ที่ปล่อย Man-in-the-Middle (MiTM) ออกมาโจมตีเน็ตเวิร์กของผู้ให้บริการอินเทอร์เน็ต (ISP) หลายครั้ง และผู้ก่ออาชญากรรมไซเบอร์ที่มากด้วยทักษะอีกกลุ่มหนึ่ง ได้แก่ Desert Falcons ได้วกกลับมาก่อกวนแอนดรอยด์ดีไวซ์ด้วยการปล่อยมัลแวร์ที่เคยใช้งานเมื่อปี 2014 นักวิจัยยังพบด้วยว่าหลายกลุ่มยังคงปล่อยเคมเปญเน้นเป้าหมายการโจมตีไปที่เราเตอร์และอุปกรณ์ที่ใช้กับเน็ตเวิร์ก ซึ่งเป็นวิธีที่ใช้กันมาหลายปี เช่น Regin และ CloudAtlas เป็นต้น จากข้อมูลของผู้เชี่ยวชาญชี้ว่า เราเตอร์จะยังคงเป็นเป้าหมายโจมตีอยู่เช่นนี้เพราะเป็นช่องทางเข้ายึดโครงสร้างระบบของเหยื่อได้อย่างดี

“ช่วงครึ่งแรกของปีพบกลุ่มคุกคามไซเบอร์ที่มีทักษะมีความซับซ้อนทางเทคนิคในระดับต่างๆ เกิดขึ้นใหม่หลายกลุ่ม แต่โดยรวมแล้ว กล่าวได้ว่า ต่างก็ใช้มัลแวร์ทูลที่มีอยู่แล้วทั่วไป ในขณะเดียวกัน กลับไม่พบความเคลื่อนไหวสำคัญใดจากกลุ่มดังๆ บางตัว ทำให้เราเชื่อว่าพวกนี้อาจจะกำลังคิดวางกลยุทธ์และจัดวางทีมใหม่เพื่อปฏิบัติการในอนาคต” วิเซนเต้ ดีแอซ นักวิจัยด้านความปลอดภัยอาวุโส ทีม GReAT แคสเปอร์สกี้ แลป กล่าว

คาดการณ์ช่วงครึ่งหลังของปี 2018

1.มีการโจมตีซัพพลายเชนมากขึ้น แคสเปอร์สกี้ แลปตามแกะรอยกลุ่ม APT (advanced persistent threat) และปฏิบัติการของพวกนี้ได้ถึง 100 ครั้ง บางครั้งมีความซับซ้อนเหลือเชื่อ มีหลุมพรางมากมายที่ซ่อน zero-day exploits และ fileless attack tools พร้อมด้วยเทคนิคการแฮคแบบดั้งเดิม ที่ส่งต่อให้กับทีมที่เก่งเทคนิคเพื่อโจรกรรมข้อมูล เราจะเห็นว่ามีหลายกรณีที่แอคเตอร์พยายามเจาะเข้าเป้าหมายมาเป็นเวลานาน แต่ก็ไม่ประสบความสำเร็จ อาจเป็นเพราะเป้าหมายที่ถูกโจมตีนั้นใช้ซอฟต์แวร์เพื่อความปลอดภัยอินเทอร์เน็ตที่แข็งแกร่ง จัดอบรมให้ความรู้พนักงาน จึงไม่ตกเป็นเหยื่อผ่านวิศวกรรมสังคม หรือปฏิบัติตามแนวทาง DSD TOP35 ลดความเสี่ยงจาก APT (Australian DSD TOP35 mitigation strategies) อย่างเคร่งครัด โดยทั่วไปแล้ว แอคเตอร์ที่จัดว่าอยู่ในขั้นสูงและมีความมุมานะจะไม่ยอมเลิกลาไปง่ายๆ แต่จะคอยตามแหย่หาจุดอ่อนอยู่จนกว่าจะหาทางเจาะเข้ามาได้

จากการประเมินของเราพบว่าการเข้าโจมตีซัพพลายเชนเพิ่มจำนวนขึ้น และเช่นกันในปี 2018 เราคาดว่าจะมีการใช้ประโยชน์จากจุดอ่อนเพื่อเจาะเข้าระบบ รวมทั้งการเข้าโจมตีโดยตัวของมันเอง มีการใช้ซอฟต์แวร์เพื่อสร้างโทรจัน ซึ่งพบได้ในบางภูมิภาคหรือบางกลุ่ม ก็จะกลายมาเป็นวิธีการที่พบได้ เฉกเช่นเดียวกับ เทคนิคบ่อน้ำ (waterhole) ที่เจาะจงเลือกไซต์อย่างแยบยล เพื่อล้วงลึกเจาะเข้ากล่องหัวใจสำคัญของเหยื่อเป้าหมายนั้นจะเป็นวิธีที่ต้องตาต้องใจผู้ร้ายไซเบอร์บางประเภทแน่นอน

2.มีโมบายมัลแวร์ระดับไฮเอนด์เพิ่มขึ้น เนื่องจาก iOS เป็นระบบปฏิบัติการที่ไม่สามารถเข้าตรวจสอบได้ จึงค่อนข้างลำบากสำหรับยูสเซอร์ที่จะเช็คเครื่องว่าติดเชื้อหรือไม่ ขณะที่แอนดรอยด์ แม้จะพบช่องโหว่อยู่ไม่น้อย แต่มีโอกาสมากกว่าที่จะใช้โซลูชั่น เช่น Kaspersky AntiVirus for Android ในการตรวจสอบดีไวซ์

จากการประเมินพบว่า จำนวนโมบายมัลแวร์ที่มีอยู่จริงๆ นั้นน่าจะสูงกว่าจำนวนที่รายงานอยู่มาก เนื่องมาจากข้อบกพร่องที่มีอยู่ในกระบวนการตรวจสอบ ยิ่งทำให้การระบุชี้และกำจัดยากยิ่งขึ้น เราคาดว่า ในปี 2018 จะพบ APT มัลแวร์สำหรับโมบายเพิ่มขึ้น อันเนื่องมาจากจำนวนการโจมตีที่เพิ่มขึ้น และมีพัฒนาการของเทคโนโลยีด้านความปลอดภัยที่ออกแบบมาเพื่อไล่ล่ามัลแวร์พวกนี้

3.มีจุดอ่อนแบบ BeEF เพิ่มจำนวนขึ้นเพื่อคอยเก็บข้อมูล เนื่องจากระบบปฏิบัติการปัจจุบันให้ความสำคัญและใช้เทคโนโลยีความปลอดภัยและบรรเทาความเสียหายที่มีศักยภาพดีขึ้น ทำให้สนนราคาของ zero-day exploits ได้ถีบตัวสูงขึ้นในช่วง 2016 และ 2017 เทคนิคการรวบรวมข้อมูลเหล่านี้สอดคล้องกับกลุ่ม APT เช่น Turla และ Sofacy และ Newsbeef (รู้จักในชื่อ Newscaster, Ajax hacking team หรือ ‘Charming Kitten’) และกลุ่ม APT อีกกลุ่มก็มีวิธีการรวมข้อมูลที่รู้จักกันดี เช่น Scanbox เมื่อพิจารณาวิธีการทำงานเหล่านี้ผนวกกับความจำเป็นในการป้องกันทูลที่มีราคาแพง คาดว่าการใช้ ทูลคิทในการเก็บข้อมูล เช่น ‘BeEF‘ จะเพิ่มจำนวนขึ้นในปี 2018 เพราะหลายกลุ่มได้หันมาประยุกต์ใช้หรือพัฒนาขึ้นมาใช้เอง

4.การโจมตี UEFI และ BIOS อินเทอร์เฟซแบบ Unified Extensible Firmware Interface (UEFI) คือซอฟต์แวร์อินเทอร์เฟซที่เป็นตัวกลางระหว่างเฟิร์มแวร์และระบบปฏิบัติการบนเครื่องคอมพิวเตอร์ เกิดขึ้นเมื่อปี 2005 โดยพันธมิตรผู้พัฒนาฮาร์ดแวร์ซอฟต์แวร์ชั้นนำ รวมทั้งอินเทล ตอนนี้ล้ำหน้า BIOS มาตรฐานไปอย่างรวดเร็ว คุณสมบัติที่ทำให้ UEFI เป็นแพลตฟอร์มที่น่าสนใจนั้นกลับเปิดช่องโหว่ที่ไม่เคยมีมาก่อนในยุค BIOS ก่อนหน้านี้ เช่น การรัน (run) โมดูล executable ที่ปรับแต่งได้เองนั้น เป็นการเปิดทางให้สร้างมัลแวร์ และ UEFI สามารถปล่อยกระจายได้โดยตรงก่อนที่จะถูกตรวจจับหรือสะกัดกั้นด้วยแอนตี้มัลแวร์โซลูชั่น หรือแม้แต่ตัวระบบปฏิบัติการจะได้ทันไหวตัวเสียอีก

มัลแวร์ UEFI มีไว้ซื้อขายนั้นเป็นที่รู้กันมาตั้งแต่ปี 2015 เมื่อ Hacking team UEFI modules ถูกเปิดโปง เป็นที่น่าแปลกใจว่าไม่ปรากฏมัลแวร์ UEFI น่าจะมาจากความยากที่จะตรวจจับ คาดว่าปี 2018 เราน่าจะได้พบมัลแวร์แบบ UEFI มากขึ้น

5.การโจมตีทำลายล้างดำเนินต่อไป ตั้งแต่พฤศจิกายน 2016 แคสเปอร์สกี้ แลปสังเกตพบคลื่นลูกใหม่ของ wiper มุ่งโจมตีเป้าหมายหลายแห่งแถบตะวันออกกลาง มัลแวร์ที่ตรวจพบเป็นค่าตัวแปรของเวิร์ม Shamoon ที่เคยตั้งเป้าไปที่ Saudi Aramco และ Rasgas เมื่อปี 2012 นอกเหนือไปจาก Shamoon และ Stonedrill แล้ว พบว่าปี 2017 เป็นปีสุดโหดของการโจมตีทำลายล้าง ด้วย ExPetr/NotPetya ซึ่งตอนแรกคิดว่าเป็นแรนซั่มแวร์นั้น แท้จริงคือการอำพรางตัวอย่างชาญฉลาดของ wiper โดยที่ ExPetr นั้นจะตามติดมาด้วยคลื่นการโจมตีของ ‘แรนซั่มแวร์’ เหยื่อแทบจะไม่เหลือโอกาสกู้ข้อมูลคืนมาได้เลย ผู้ร้ายตัวจริงถูกอำพรางมิดชิดให้เข้าใจว่าเป็น ‘wipers as ransomware’ ซึ่งเคยมีการโจมตีเช่นนี้เมื่อปี 2016 จาก CloudAtlas APT ดูเผินๆ แล้วเหมือนจะเป็น ‘wipers as ransomware’ เป้าหมายที่สถาบันการเงินในรัสเซีย

ปี 2018 คาดว่าการโจมตีทำลายล้างเช่นนี้จะเพิ่มจำนวนขึ้น เกาะกระแสภาพลักษณ์ในบทบาทของการเป็นสงครามไซเบอร์ (cyberwarfare)

6.มี cryptography เวอร์ชั่นย่อยเพิ่มขึ้น ย้อนไปเมื่อปี 2013 สำนักข่าวรอยเตอร์สมีรายงานข่าวว่า NSA จ่ายเงินให้ RSA เป็นจำนวน 10 ล้านเหรียญเพื่อให้ใส่อัลกอริธึ่มช่องโหว่ลงในโปรดักส์เพื่อให้เป็นวิธีทำลายการเข้ารหัส แม้จะมีการค้นพบความเป็นไปได้ของการใช้แบคดอร์เมื่อปี 2007 แต่ก็ยังมีหลายบริษัท (รวมทั้งจูนิเปอร์) ที่ยังคงใช้ต่อไป แต่เป็นคอนสแตนท์เซ็ตที่ต่างออกไป ซึ่งเชื่อว่าจะปลอดภัย ในเชิงทฤษฎี พบว่าเรื่องนี้ทำให้แอคเตอร์ APT บางกลุ่มไม่พอใจและว่าจ้างให้ดำเนินการแฮคเข้าจูนิเปอร์ เปลี่ยนคอนสแตนท์มาเป็นเซ็ตที่ตนเองสามารถเข้าควบคุม และปลดรหัสการเชื่อมต่อแบบ VPN ได้

การกระทำเช่นนี้ถูกจับได้ และในเดือนกันยายนปี 2017 กลุ่มผู้เชี่ยวชาญ cryptography จากหลายประเทศได้ร่วมกันกดดันให้ NSA ล้มเลิกความพยายามในการผลักดันให้อัลกอริธึ่มการเข้ารหัสตัวใหม่อีกสองตัวเป็นมาตรฐานอุตสาหกรรม

เมื่อเดือนตุลาคมปี 2017 รายงานข่าวพบข้อบกพร่องใน cryptographic library ที่ Infineon ใช้ในฮาร์ดแวร์ชิปสำหรับการสร้าง RSA primes แม้ข้อบกพร่องที่พบนี้จะดูเหมือนไม่ได้ตั้งใจ แต่ก่อให้เกิดข้อกังขาเกี่ยวกับความปลอดภัยของเทคโนโลยีเข้ารหัสที่ใช้กันอยู่ในชีวิตประจำวัน ไม่ว่าจะเป็นสมาร์ทการ์ด เน็ตเวิร์กไร้สาย หรือเว็บทราฟฟิกแบบเข้ารหัส ปี 2018 เราคาดว่าจะได้พบช่องโหว่ cryptographic ที่รุนแรงอันตรายกว่าเดิม และหวังว่าจะได้รับการแพทช์แก้ไข ไม่ว่าจะเป็นการแก้ไขที่ตัวมาตรฐานเองหรือที่การติดตั้งใช้งาน

7.ข้อมูลเฉพาะบุคคลในธุรกิจอีคอมเมิร์ซเผชิญวิกฤต หลายปีที่ผ่านมานั้น เราเผชิญวิกฤตเกี่ยวโยงกับการละเมิดข้อมูลส่วนบุคคล personally identifiable information (PII) และล่าสุดพบ Equifax ที่สะเทือนผู้คนชาวอเมริกันถึงกว่า 145.5 ล้านคน ทั้งปลอมแปลงหรือโจรกรรมข้อมูลส่วนบุคคลเป็นปัญหาต่อเนื่องมายาวนาน แต่อะไรจะเกิดขึ้นเมื่อข้อมูลพื้นฐานในการระบุตัวตนนั้นถูกเผยแพร่ทั่วไปจนไม่น่าวางใจอีกต่อไป? องค์กรธุรกิจหรือหน่วยงานภาครัฐต้องเผชิญตัวเลือกระหว่างลดขนาดการทำงานด้วยอินเทอร์เน็ตที่แสนสะดวกสบาย หรือลดการใช้โซลูชั่นแบบมัลติแฟคเตอร์ ทางออกที่ดูน่าจะเป็นไปได้ เช่น ApplePay อาจจะเข้ามาเป็นตัวเลือกที่น่าสนใจ เพราะเป็นอีกหนึ่งวิธีการยอดนิยมในการป้องกันข้อมูลส่วนตัวและธุรกรรมออนไลน์ และเราก็อาจจะได้เห็นการลดบทบาทการใช้อินเทอร์เน็ตเข้ามาสร้างความทันสมัยรื้อความอุ้ยอ้ายในการทำงานและลดค่าใช้จ่ายปฏิบัติการลง

8.มีการแฮคเข้าเราเตอร์และโมเด็มเพิ่มขึ้น ช่องโหว่ที่ถูกละเลยมองข้ามคือช่องโหว่ในเราเตอร์และโมเด็ม ซึ่งที่จริงแล้วมีความสำคัญต่อการปฏิบัติงานประจำวัน และโดยมากมักใช้ซอฟต์แวร์เฉพาะของตัว ที่ไม่ถูกแพทช์หรือดูแล ท้ายที่สุด คอมพิวเตอร์จิ๋วเหล่านี้นับเป็นอุปกรณ์ต่อเชื่อมอินเทอร์เน็ตโดยการออกแบบ ดังนั้นจึงเป็นจุดเชื่อมโยงที่มีความอ่อนไหวเหมาะสำหรับที่ผู้ไม่ประสงค์ดีจะอาศัยเป็นช่องทางแฝงเข้ามาในเน็ตเวิร์กได้ ยิ่งไปกว่านั้น ในบางกรณี ผู้ร้ายสามารถปลอมแปลงตนเป็นผู้ใช้อินเทอร์เน็ต ทำให้มีทางที่จะแอบเข้าไปยังแอดเดรสอื่นที่ต่อเชื่อมอยู่ได้ ช่วงนี้เป็นช่วงเทคนิคการสร้างความเข้าใจผิดหรือลวงให้ผิดทาง (misdirection and false flags) กำลังเป็นที่สนใจนั้น การเข้าโจมตีดเราเตอร์ โมเด็มนี้ย่อมไม่ใช่เรื่องเล็ก หากทำการศึกษาวิจัยลงลึก จะได้พบข้อมูลที่น่าสนใจมากขึ้นอย่างแน่นอน

9.ตัวกลางสำหรับความโกลาหลในวงโซเชียลมีเดีย สื่อสังคมโซเชียลมีบทบาทต่อความคิดเห็นต่างๆ ของผู้คนมากมายเกินกว่าที่เราเคยคาดคิด ไม่ว่าจะถูกนำมาใช้เพื่อเสี้ยมหรือก่อกระแส หลายคนก็เริ่มที่จะเรียกร้องให้มีการตรวจสอบยูสเซอร์และบอตที่ส่งอิทธิพลต่อกระแสสังคมหมู่มาก น่าเศร้าที่ว่าเน็ตเวิร์กเหล่านี้มิได้สนใจที่จะตรวจสอบกลุ่มผู้ใช้บอตของตน แม้จะชัดเจนถึงความไม่เหมาะสมของบางบอตส์ และนักวิจัยอิสระก็มีความสามารถติดตามแกะรอยได้ก็ตาม แต่ก็มิได้ดำเนินการใดๆ คาดว่าการกระทำเช่นนี้จะยังคงดำเนินต่อไป และเน็ตเวิร์กของบอตก็จะถูกใช้ประโยชน์กันมากขึ้นจากหลายฝ่ายเพื่อความประสงค์ทางการเมืองหรือการจูงใจ ส่งอิทธิพลทางความคิด ที่จะส่งผลต่อผู้ใช้โซเชียลมีเดีย และเริ่มมองหาทางเลือก นอกเหนือจากผู้ให้บริการปัจจุบัน ที่คอยมุ่งเก็บเกี่ยวผลประโยชน์จากการคลิกของผู้คนเท่านั้น

เบญจมาศ จุฑาพิพัฒน์ ผู้จัดการประจำประเทศไทยของแคสเปอร์สกี้ แลป กล่าวว่า “ในปี 2018 เราคาดว่าแอคเตอร์ภัยไซเบอร์จะขยับระดับความแข็งแกร่ง งัดทูลใหม่ออกมาก่อกวน และส่งความรุนแรงเพิ่มขึ้น แนวทางหลักและทิศทางในแต่ละปีนั้น ไม่ควรที่จะแยกออกจากกัน ต่างต้องพึ่งพากันเพื่อเสริมความแข็งแกร่งให้แก่กันและกัน เพื่อช่วยเหลือสนับสนุนยูสเซอร์ที่ต้องเผชิญกับปัญหาภัยไซเบอร์ต่างๆ ไม่ว่าจะเป็นระดับบุคคล เอ็นเทอร์ไพรซ์ หรือรัฐบาล สิ่งสำคัญคือการแชร์ข้อมูลเชิงวิเคราะห์เกี่ยวกับภัยไซเบอร์นั่นเอง”