เป็นเวลาหลายเดือนแล้ว หลังเกิดเหตุการณ์แฮกบรรลือโลกของบริษัทชื่อ NSO Group ซึ่งเป็นบริษัทที่ขายมัลแวร์ชื่อว่า Pegasus ให้กับรัฐบาลเผด็จการเพื่อใช้สอดแนมนักข่าว นักเคลื่อนไหว นักการเมือง เจ้าหน้าที่รัฐ หรือใครก็ตามที่อาจตกเป็นเหยื่อ ซึ่งส่วนใหญ่มักจะพัวพันกับเรื่องอื้อฉาวของรัฐบาล
.
สิ่งนี้ทำให้หลายคนสงสัยว่า แม้แต่อุปกรณ์ที่ตัวเองคิดว่าปลอดภัยที่สุดก็ยังมีช่องโหว่ได้ และตอนนั้น ยังไม่มีใครเปิดเผยข้อมูลว่ามัลแวร์ Pegasus ใช้วิธีอะไรในการเข้าสู่ระบบของ iOS เพราะมัลแวร์ส่วนใหญ่จะทำงานก็ต่อเมื่อผู้ใช้ต้องกดหรือเปิดไฟล์ แต่มัลแวร์ของ Pegasus สามารถทำงานได้ เพียงแค่ส่งมันไปที่เหยื่อผ่านการส่งข้อความ แฮกเกอร์จะอาศัยเพียงแค่ ต้องรู้เบอร์โทรศัพท์หรือ Apple ID ของเหยื่อเท่านั้น
.
เมื่อไม่นานมานี้ นักวิจัยจาก Project Zero ของ Google Lab ได้เปิดเผยความลับดำมืดของ NSO Group ที่ใช้ประโยชน์จากช่องโหว่ “FORCEDENTRY” ซึ่งเป็นช่องโหว่ Zero-click บน iOS และทำให้เกิดการส่งมัลแวร์เข้าไปบน iOS
.
วิธีการคือ แฮกเกอร์จะส่งไฟล์ที่ดูเหมือนไฟล์ GIF ไปยังโทรศัพท์ของเหยื่อผ่าน iMessage แต่ทั้งที่ควรจะเป็นไฟล์ GIF แต่ไฟล์ดังกล่าวเป็นไฟล์ PDF ที่มีการแปลงนามสกุลไฟล์ให้เป็น GIF โดยภายในไฟล์จะมี Payload หรือโค้ดที่เป็นอันตรายซับซ้อนสูงที่จะเข้าไปจี้จุดอ่อนในซอฟต์แวร์ประมวลผลภาพของ Apple จากนั้นจะเข้าควบคุมทรัพยกรต่าง ๆ ภายในอุปกรณ์ของเป้าหมายอย่างรวดเร็ว โดยผู้รับไม่จำเป็นต้องคลิกที่ภาพ หรือกดยินยอมสิทธิในการเข้าถึงส่วนต่าง ๆ ซึ่งมันจะทำให้ผู้ใช้ไม่สามารถสังเกตได้เลยว่า มีมัลแวร์มาเกาะในเครื่องตอนไหน
.
ในทางเทคนิค FORCEDENTRY คือการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ภายใน CoreGraphics ที่ใช้ในการเรนเดอร์ภาพของ Apple ซึ่งเป็นซอฟต์แวร์ที่ iOS ใช้ในการประมวลผลภาพและสื่อในอุปกรณ์ ช่องโหว่ดังกล่าว มีชื่ออย่างเป็นทางการว่า CVE-2021-30860 ซึ่งเกี่ยวข้องกับโค้ดโอเพนซอร์ซที่ iOS ใช้เพื่อเข้ารหัสและถอดรหัสไฟล์ PDF ครับ
.
เมื่อสามารถเข้าไปในเครื่องเป้าหมายได้แล้ว มัลแวร์จะไปที่แรมของโทรศัพท์เพื่อสร้างคอมพิวเตอร์เสมือนหรือ Virtual maching ขึ้นมาอีกเครื่องหนึ่งบนมือถือของเหยื่อ จากจุดนั้น เครื่องที่สร้างขึ้นใหม่ จะบูสมัลแวร์ Pegasus ของ NSO จากภายใน และส่งต่อข้อมูลกลับไปยังแฮกเกอร์ที่ใช้ประโยชน์จากช่องโหว่นี้
เมื่อแฮกเกอร์ได้สัญญาณที่ส่งกลับบมา ก็จะบังคับให้เครื่องเสมือนนี้เรียกใช้โค้ดอันตรายที่สามารถเข้าถึงหน่วยความจำอื่น ๆ ของ iPhone ที่ถูกโจมตีได้ นั่นแปลว่า แฮกเกอร์จะสามารถรู้ข้อมูลต่าง ๆ ทีอยู่ในเครื่องได้แทบจะตลอดเวลา
ณ ตอนนั้น ทำให้ Apple ต้องออกแพทซ์แก้ไขเพื่อปิดช่องโหว่อย่างเร่งด่วน ซึ่งตอนนี้ก็นับว่าได้เข้าสู่เหตุการณ์ปกติแล้ว แต่ต้องมาลุ้นอีกแหละหว่า จะมีช่องโหว่ Zeo – Day ที่มีการค้นพบใหม่อีกไหมครับ
.
อ่านบทความ เหตุการณ์แฮกบรรลือโลกก่อนหน้านี้ คลิก https://www.techhub.in.th/ios-malware-pegasus-project/
.
แหล่งข้อมูลจาก
https://gizmodo.com/how-nso-groups-iphone-hacking-malware-works-1848223337
