Google เผยรายงานใหม่ ว่าขณะนี้กลุ่มแฮกเกอร์เกาหลีเหนือ กำลังใช้เทคโนโลยี Blockchain สาธารณะเป็นเซฟเฮาส์หรือหลุมหลบภัยสำหรับซ่อนมัลแวร์ ที่แทบจะเป็นอมตะและทำลายไม่ได้
พูดง่ายๆ คือ พวกเขาใช้จุดแข็งที่สุดของบล็อกเชน ซึ่งปกติใช้เพื่อความปลอดภัยและความโปร่งใส มาเป็นอาวุธในการซ่อนและปล่อยโค้ดอันตราย โดยที่ไม่มีใครหรือหน่วยงานใดสามารถสั่งปิดหรือลบมันทิ้งได้
ทีมข่าวกรองภัยคุกคามของ Google เรียกเทคนิคนี้ว่า “EtherHiding” ซึ่งมันคือการยกระดับ “เซิร์ฟเวอร์กันกระสุน” ในยุคใหม่ จากเดิมที่แฮกเกอร์ต้องไปเช่าเซิร์ฟเวอร์ในต่างประเทศที่กฎหมายเข้าไม่ถึง เพื่อซ่อนตัวตน แต่ตอนนี้พวกเขาใช้ Blockchain เป็นที่ซ่อนแทน
แฮกเกอร์ ใช้วิธีฝังโค้ดมัลแวร์ลงไปใน Smart Contracts ซึ่งเป็นโปรแกรมที่ทำงานอัตโนมัติบนเครือข่าย Blockchain อย่าง Ethereum หรือ BNB Smart Chain
ด้วยคุณสมบัติสำคัญของบล็อกเชนที่ว่า ไม่สามารถแก้ไขย้อนหลังได้ พอมัลแวร์ถูกฝังเข้าไปแล้ว มันก็จะกลายเป็นถาวร และด้วย การกระจายศูนย์ (Decentralization) ก็ไม่มีใครเป็นเจ้าของเซิร์ฟเวอร์ที่จะไปสั่งปิดได้ ทำให้ มัลแวร์ เหล่านี้กลายเป็นอมตะไปโดยปริยาย
ทำไมแฮกเกอร์ถึงชอบวิธีนี้?
ราคาถูกมาก เพราะค่าธรรมเนียม หรือ Gas Fee ในการสร้างหรือแก้ไข Smart Contract อาจมีค่าใช้จ่ายไม่ถึง 2 ดอลลาร์ (ประมาณ 70-80 บาท) ต่อธุรกรรม ถูกกว่าการเช่าเซิร์ฟเวอร์เถื่อนมหาศาล อีกอย่างคือมันไร้ตัวตนและไร้ร่องรอย โดย Blockchain ช่วยปกปิดตัวตนของแฮกเกอร์ได้เป็นอย่างดี และการที่มัลแวร์ไปดึงข้อมูลเพย์โหลด หรือชุดคำสั่งโจมตีจาก Smart Contract ไม่ทิ้งหลักฐานใดๆ ไว้ในบันทึกธุรกรรมทำให้การติดตามเป็นไปได้ยากมาก
แฮกเกอร์เกาหลีเหนือ (กลุ่มที่ Google ติดตามในชื่อ UNC5342) โจมตีโดยการปลอมตัวเป็น HR หรือฝ่ายบุคคล ส่งอีเมลไปเสนองานให้แก่นักพัฒนาซอฟต์แวร์
เมื่อเหยื่อหลงเชื่อและดาวน์โหลดไฟล์ แบบทดสอบที่ส่งมาให้ ไฟล์นั้นก็จะแอบติดตั้งมัลแวร์ในด่านแรก จากนั้นมัลแวร์ตัวนี้จะค่อยๆ ไปดึงคำสั่งหรือมัลแวร์ด่านต่อไปที่ถูกซ่อนไว้ใน Smart Contracts บน Blockchain อีกที ซึ่งตอนนี้ Google ยังไม่ระบุวิธีป้อกกันออกมานะครับ ฉะนั้น ก่อนกดเมลอะไร เช็คให้ถี่ถ้วนกันก่อนนะ
ที่มา
