Pegasus Spyware สุดโหด ภัยร้ายที่มองไม่เห็น แต่มีอยู่จริง

เมื่อไม่นานมานี้มีรายงานจาก iLaw ร่วมกับ Citizen Lab ได้รายงานว่ามีประชาชนเราอย่างน้อย 30 คน ที่เป็นเหยื่อของ Spyware ที่ชื่อว่า Pegasus ใน iPhone ระหว่างปี 2020 ถึงปลายปี 2021 วันนี้เราจะมาทำความรู้จักกันดีกว่าว่า Pegasus มันคืออะไร และ มันทำอะไรได้บ้าง

Pegasus คืออะไร ?

Pegasus เป็น Malware ประเภทหนึ่งที่เราเรียกว่า Spyware หรือ Software ที่ทำหน้าที่เป็น Spy เพื่อล้วงข้อมูลของเหยื่อที่ต้องการ ซึ่งถูกพัฒนาขึ้นมาโดยกลุ่มที่ชื่อว่า NSO Group ถ้าเราเข้าไปดูในเว็บของเขา เขาบอกว่า เขาทำเพื่อ Global Security และ Stability อะ โอเค ดูดีย์ใช่มั้ย

แต่เอาเข้าจริง Product ที่เรียกได้ว่าเป็น Best-Seller ของ NSO Group เลยก็คือ Pegasus นั่นเอง โดยที่เขาบอกเองเลยนะว่า เป็น Software ที่ไม่ได้ขายให้ทุกคนด้วยนะ แต่เขาขายให้รัฐบาลเท่านั้น โดยเมื่อหลายปีก่อนก็มีข้อมูลลูกค้าของ NSO Group ที่ใช้งาน Pegasus หลุดออกมา พบว่าก็มีหลาย ๆ ประเทศเลือกใช้ Pegasus กัน

NSO Group แถลงปฎิเสธรายชื่อเหยื่อมัลแวร์ Pegasus ระบุลูกค้าดำเนินการเองแต่ต้องส่งข้อมูลให้

NSO Group ออกแถลงการณ์บนเว็บไซต์ ระบุว่ารายการอุปกรณ์มากกว่า 50,000 รายที่มีร่องรอยถูกโจมตีด้วยมัลแวร์ Pegasus นั้นไม่เป็นความจริง และรายการ

Blognone

จน NSO ก็ต้องอกมาแลถงการณ์ว่า ทางรัฐบาลจะเป็นคนใช้งานตัว Pegasus ด้วยตัวเอง ทาง NSO รู้แค่ว่าใครคือลูกค้าบ้าง และ รายชื่อของอุปกรณ์ที่ต้องการจะโจมตีเท่านั้น และพบว่า ไม่ได้มีอะไรที่เป็นการใช้งานที่ไม่ถูกต้อง (สำหรับเขาอะนะ) โดยที่ Pegasus นั้น บอกเลยว่า ไม่ได้ถูกเลยนะ เรากำลังพูดถึงเงินหลายล้าน USD เลยทีเดียว

Pegasus เอาข้อมูลอะไรไปได้บ้าง ?

ความชิบหายของ Pegasus ที่ทำให้เรื่องมันใหญ่ขึ้นมา เป็นเพราะสิ่งที่มันทำได้เลย โดยที่มันสามารถที่จะดึงข้อมูลทุกอย่างออกจากอุปกรณ์ได้หมดเลย โดยที่มันจะสามารถติดได้ในทั้ง Android และ iOS ดังนั้น เรียกว่า มันกินเหยื่อได้เยอะมาก ๆ เลยทีเดียว

มันสามารถดึง ข้อความจากทุก ๆ App รายการโทร ตำแหน่งการเดินทางของเรา Keychain ที่ใช้เก็บ Credential สำหรับเข้า Account ของเรา หรือกระทั่งสามารถที่จะ เปิด Microphone และกล้อง ในโทรศัพท์ของเราแล้วนั่งดูแบบ Real-time ได้เลยทีเดียว แค่อ่านก็รู้สึกว่า สั่นกลัวแล้วใช่มั้ย

ความชิบหายยังไม่หมดด้วยนะ เพราะวิธีการที่เราจะติด Pegasus ได้ เมื่อก่อนตอนสักปี 2016 โอเคง่ายมาก ๆ แค่เราเปิดลิงค์ที่อาจจะมาจากแหล่งบางอย่างก็ทำให้เราติดได้ (ดู Demo ได้จากวีดีโอด้านบน ในช่วงนาทีที่ 0:47 - 1:33) แต่เดี๋ยวนี้ มันมีความสามารถในการทำ Zero-Click Infection ได้ด้วย กล่าวคือ เราไม่ต้องกดอะไรทั้งนั้น เราก็สามารถติดได้

ไปให้สุดคือ เรื่องทั้งหมดที่เราว่ามา มันเกิดขึ้นโดยที่เราไม่รู้เลย เครื่องจะไม่แสดง Prompt อะไรให้เรากดทั้งนั้น ไม่มี Permission ให้เรากด Allow ทำให้สิ่งที่น่ากลัวที่สุด หนักกว่าโควิดอีกคือ กูติดยังวะ อย่างน้อยโควิด เราตรวจ ATK ได้ แต่ Pegasus เราไม่มีทางรู้เลย เราไม่รู้เลยว่า เราจะโดนดักฟัง หรือเปิดกล้องเราดู หรืออ่านข้อมูลของเราเมื่อไหร่อย่างไร นี่แหละความน่ากลัวของ Pegasus ยิ่ง NSO Group บอกว่า เป็น Product ที่ขายให้ รัฐบาล ด้วย มันเลยกลายเป็นเรื่อง Wide-State Surveillance ไป เป็นเรื่องที่น่ากลัวมาก ๆ นะ

Pegasus ทำงานอย่างไร ?

ต้องทำความเข้าใจก่อนว่า OS ใหม่ ๆ เดี๋ยวนี้อย่างเช่น iOS หรือ Android เองก็มีการออกแบบระบบรักษาความปลอดภัยขึ้นมาเพื่อป้องกันการเข้าถึงข้อมูลส่วนอื่น ๆ ของเครื่อง เช่นตอนที่เราติดตั้ง App บางตัว เข้าใช้งานครั้งแรก ระบบก็อาจจะถามเราว่า App นี้ต้องการเข้าถึงไฟล์ในเครื่องเรานะ ต้องการเข้าถึงข้อมูลในเครื่องเรานะ ถ้าเรากดไม่อนุญาติ ตัว OS เองก็จะไม่อนุญาติให้เข้าถึงข้อมูลเหล่านั้น

แต่เอาเข้าจริง มันจะมีคน ๆ นึงที่สามารถเข้าถึงข้อมูลอะไรก็ได้ ทำอะไรก็ได้ในเครื่องเลย สำหรับคนที่เรียนพวก Linux อะไรมา เราจะรู้จักกับ root คนนี้แหละมันเป็นคนที่ต้องมี เป็นผู้ใช้ที่ทำอะไรก็ได้ในเครื่องของเราเลย เข้าถึงข้อมูลส่วนไหนก็ได้ในเครื่องของเรา

แต่ความปลอดภัยของ OS สมัยใหม่คือมันมีระบบอย่าง UAP (User Account Permissions)  ที่ทำให้ผู้ดูแล สามารถจำกัดสิทธิ์การเข้าถึงข้อมูล หรือ Service บางอย่างในเครื่องได้ ซึ่งเขาก็จะให้สิทธิ์เท่าที่ต้องใช้เท่านั้น ทำให้เมื่อ Malware พวกนี้มันเข้ามาติดในเครื่องของเรา มันก็จะทำอะไรไม่ได้ ก็ถือว่าเป็น กลไก นึงในการป้องกัน

เพื่อที่ Malware เหล่านี้มันสามารถที่จะโลดแล่นได้ มันจะต้องมีสิทธิ์เพียงพอที่จะทำสิ่งที่มันถูกสั่งมาให้ทำ มันเลยจำเป็นที่จะต้องทำสิ่งที่เรียกว่า Privilege Escalation หรือการเลื่อนสิทธิ์ให้มันนั่นเอง

ตัวอย่างของการทำ Privilege Escalation จริง ๆ ที่เราทำกันเองเลย โดยเฉพาะในฝั่งของผู้ใช้ iOS เอง นั่นก็คือการ Jailbreak นั่นแหละ มันเป็นการทำให้ Application บางอย่างสามารถเข้าถึง root ได้ ทำให้เราสามารถติดตั้ง Software บางอย่างที่ก่อนหน้านี้เราทำไม่ได้ก็ได้นั่นเอง หลักการเดียวกันเลย

หลังจากที่มันเข้าถึงเครื่องของเราได้อย่างอิสระแล้ว มันก็ทำอะไรก็ได้แล้ว มันจะดูดข้อมูล ทำอะไรได้หมดเลย หรือกระทั่งซ่อนตัวเองในส่วนต่าง ๆ ของ Memory ได้อย่างอิสระเลย สิ่งที่มันควรจะทำก็คือ มันก็จะเข้าไปเกาะกับ App ที่สนใจ (เราเรียกว่า hook) ตัวอย่างเช่น ตอนเรา Jailbreak สมัยก่อนที่มันจะมีเหมือนสูตรเกมนี่แหละคือตัวอย่างของ Hook ที่เขาไปเกาะกับเกมของเราแล้วทำในสิ่งที่เราต้องการได้ ถ้าแก่ ๆ หน่อยก็ Trainer เกมสมัยก่อนอะแหละ และ ทำการเชื่อมต่อกลับไปที่ผู้ใช้ของมันนั่นเอง

แล้ว Apple และ Google ไม่ทำอะไรบ้างเหรอ ?

อ่านมาขนาดนี้แล้ว หลาย ๆ คนอาจจะถามว่า แล้ว Apple และ Google ที่เป็นผู้ผลิต iOS และ Android ไม่ทำอะไรเหรอ เอาจริง ๆ ก็คือ เขาทำตลอดนะ เพราะเขามีพวก Bounty Program ที่ ถ้าใครเจอช่องโหว่ด้านความปลอดภัยใน Software ก็เอาเงินไปเลย และบริษัทพวกนี้เขาก็มีทีมที่จัดการเรื่องพวกนี้อยู่แล้วด้วย จะบอกว่า เขาไม่ทำอะไรก็ไม่ใช่เหมือนกัน

แต่ ๆ พวกช่องโหว่ที่ทำให้เกิดเรื่องพวกนี้มันก็มาจากเหล่า Hacker ทั้งหลายที่พยายามหาช่องโหว่อยู่ตลอดเวลานั่นเอง ช่องโหว่บางตัว ก็ถูกค้นพบโดยคนที่ดี พวกนี้เขาก็จะทำการแจ้งให้กับผู้พัฒนา Software รับทราบ เพื่อให้ทำการแก้ไข้ และออก CVE ออกมาเพื่อเป็น Record ไว้

แต่แน่นอนว่า ก็มี Hacker บางคนที่ไม่ได้คิดแบบน้ี พวกนี้ก็จะเก็บเอาไว้ ไม่ได้แจ้งให้กับผู้พัฒนา จากนั้นก็อาจจะเก็บช่องโหว่นี้ไว้ ไม่ก็เอาไปลงขาย หนึ่งในสินค้าที่ขายกันใน Dark Web นอกจากค้ามนุษย์ ค้ายา ก็มีนี่แหละ ช่องโหว่ของ Software ต่าง ๆ มากมาย โดยเฉพาะ Software ที่มีคนใช้หลายล้านเครื่องในโลกคิดเหรอว่า จะไม่มีขายเพื่อใช้เป็นเครื่องมือในการโจมตี

พอช่องโหว่เหล่านี้แหละ ถูกนำมาใช้เป็นครั้งแรก ผู้พัฒนาไม่รู้มาก่อนว่ามีช่องโหว่นี้ ทำให้มีโอกาสสูงมากที่ช่องโหว่นี้จะใช้งานได้สำเร็จ เราเรียกการโจมตีที่ใช้ช่องโหว่พวกนี้ว่า Zero-Day Attack นั่นเอง

ดังนั้น จริง ๆ แล้ว Apple และ Google ก็พยายามที่จะแก้ช่องโหว่ที่เกิดขึ้นนี่แหละ แต่มันก็จะมีช่องโหว่ที่ไม่รู้มาก่อน ไม่มีใครแจ้งมาก่อน วันนึงพอช่องโหว่ที่ Pegasus ใช้มันโดนแก้ไป เขาก็ไปหาช่องโหว่ใหม่มา ไม่รู้นะว่า เขาหาเอง หรือซื้อมา แล้วก็ Update ต่อไป ทำให้ Pegasus มันอยู่ได้ยาว ๆ นั่นเอง เพราะมันมีคนคอย Update ให้มันเลย

เราจะป้องกันอย่างไรได้บ้าง ?

เราต้องบอกเลยว่า มันไม่มีการป้องกันอะไรที่ทำได้ 100% หรอกนะ เราทำได้แค่ลดโอกาสเสี่ยงที่อาจจะเกิดขึ้นได้ละกัน โดยที่ในการที่จะป้องกัน Pegasus เอง เราแนะนำอยู่ 2 เรื่องด้วยกัน

เรื่องแรกคือ การ Update OS และ Software ของเราให้เป็น Version ล่าสุดอยู่เสมอ เพราะผู้ผลิตเอง ก็อาจจะได้รับการแจ้ง หรือค้นพบช่องโหว่ด้วยตัวเอง พวกนี้เขาก็จะออก Patch หรือ Update ออกมาแก้ปัญหา ทำให้ถ้าเรา Update OS และ Software ทุกอย่างเป็น Version ล่าสุด เราก็จะมั่นใจได้ว่า เราได้รับการป้องกันที่ใหม่ที่สุดเท่าที่เขาจะให้เราได้แล้ว

อีกอย่างคือ อย่าคลิกลิงค์มั่วซั่ว โดยเฉพาะลิงค์ที่เราไม่รู้ว่ามันมาจากไหน หรือมาจากแหล่งที่เราไม่รู้จัก เพราะมันก็เป็นวิธีหนึ่งที่เมื่อก่อน Pegasus ใช้ในการติดตั้งบนเครื่องของเรา เราไม่รู้เลยว่า มันจะมีช่องโหว่ใหม่ ๆ ที่อาจจะทำให้เราติดจากการเข้าลิงค์อยู่มั้ย ดังนั้นเพื่อความปลอดภัย ก็เข้าเฉพาะลิงค์ที่เรารู้ที่มาของมันเท่านั้น

สรุป

การสอดส่องข้อมูลผ่านอุปกรณ์ต่าง ๆ ในสเกลขนาดใหญ่ ไม่ได้อยู่ในแค่นิยายอีกต่อไปแล้ว เทคโนโลยีนี้มันเกิดขึ้นแล้ว มันมีอยู่จริง มันมีการค้นพบการโจมตีเป็นจำนวนมากแล้ว ความแน่กว่านั้นคือ มันทำกันเป็นธุรกิจ ที่แย่ที่สุดคือ ลูกค้า ก็อาจจะเป็นรัฐบาลของประเทศเราเองก็เป็นได้ คนที่ควรจะดูแลเราให้ปลอดภัย กลับกลายเป็นคนที่เข้ามาสอดส่องข้อมูลแบบ Invasive มาก ๆ ซะงั้น โดยเฉพาะรายงานฉบับล่าสุดที่เจอในนักเคลื่อนไหวทางการเมืองหลาย ๆ คน และบุคคลอีกหลาย ๆ คนในประเทศไทยเอง เราก็ไม่รู้เลยนะว่า เราจะโดนมั้ย จะโดนเมื่อไหร่ หรือกระทั่งโดนหรือยังด้วยซ้ำ