นักวิจัยพบ แฮกเกอร์โพสต์ขายข้อมูล Facebook, แรนซัมแวร์ และสมัครอาชญากรไซเบอร์โจ่งครึ่มในบอร์ดใต้ดิน

ผู้อ่านหลายรายอาจสงสัยว่า แฮกเกอร์นั้นในยามว่างไปสุมหัวกันที่ไหน ? ซื้ออุปกรณ์หรือข้อมูลจากที่ใด ? และหาสมัครพรรคพวกในแคมเปญการแฮก หรือ แคมเปญมัลแวร์กันอย่างไร ? ข่าวนี้อาจจะเป็นคำตอบ พร้อมทั้งเป็นเรื่องน่ากลัวไปในเวลาเดียวกัน

จากรายงานโดยเว็บไซต์ Socradar ได้กล่าวถึงการที่ทางทีม Dark Web Team ซึ่งเป็นทีมวิจัยของทางเว็บไซต์ซึ่งเน้นไปในการสืบข่าวจากอินเทอร์เน็ตใต้ดิน หรือ Dark Web ทำการรายงานถึงการตรวจพบเว็บบอร์ดใต้ดินซึ่งทำหน้าที่เป็นตลาดมืดของเหล่าแฮกเกอร์ไปในตัว โดยทางทีมวิจัยได้กล่าวว่า ตลาดมืดแห่งนี้คึกคักมากจากการที่มีกิจกรรมการซื้อขายแลกเปลี่ยน และรับสมัครคนเข้าร่วมทีมแฮกเกอร์กันอย่างหลากหลายมาก ซึ่งครอบคลุมถึงการซื้อขายมัลแวร์ และข้อมูลที่ขโมยได้มาอย่างหลากชนิด

สิ่งแรกที่ทางทีมวิจัยตรวจพบคือ ข้อมูลต่าง ๆ ของสมาชิกผู้ใช้งานโซเชียลมีเดียชื่อดัง Facebook จำนวนที่มากถึง 1,700 ล้านชุดข้อมูล ที่ประกอบด้วยข้อมูลสำคัญหลายอย่างเช่น หมายเลขผู้ใช้งาน (User ID), เพศ, วันเดือนปีเกิด, สถานที่, สถานะด้านความสัมพันธ์ และจำนวนเพื่อน นอกจากนั้นแล้ว ยังมีลิงก์สำหรับเข้าถึงบัญชีของผู้ใช้งานอีกด้วย โดยข้อมูลเหล่านี้จากการตรวจสอบนั้นผลออกมาคือ เป็นข้อมูลใหม่สด ที่ไม่เคยถูกเผยแพร่มาก่อน โดยข้อมูลเหล่านี้แฮกเกอร์อาจจะไม่สามารถเข้าใช้งานบัญชีของเหยื่อผู้ถูกขโมยได้แต่อาจเอาไปใช้ในการหลอกลวงเหยื่อเป้าหมายด้วยวิธีการทำวิศวกรรมทางสังคม (Social Engineering), การหลอกลวงด้วยวิธีการ Phishing, ไปจนถึงการขโมยตัวตน (Identity Theft) ในส่วนของราคาขายนั้นไม่ได้มีการระบุตัวเลขไว้แต่อย่างใด จึงคาดว่าแฮกเกอร์อาจจะขายให้ผู้ที่เสนอราคาที่สูงและน่าพอใจต่อผู้ชายที่สุด

บริการต่อมาที่ทางทีมวิจัยได้ตรวจพบนั่นคือ บริการการทำ KYC (Know-Your-Customer) ซึ่งตามปกติแล้วจะเป็นขั้นตอนที่ผู้ที่สมัครใช้งานบริการสำคัญ ๆ ต่าง ๆ เช่น บริการทางการเงิน นั้นจะต้องถูกบังคับให้ทำ มิเช่นนั้นบัญชีจะใช้งานไม่ได้ แต่บริการ KYC ที่ขายอยู่ในตลาดมืดนี้อ้างว่าจะสามารถช่วยให้ผู้คนในวงการใต้ดินสามารถทำขั้นตอนยืนยันตัวตนนี้เพื่อเปิดบัญชีสำหรับใช้งานบริการการเงินชื่อดังหลายแห่ง ไม่ว่าจะเป็น Wise, Revolut, Skrill, HSBC, Monzo, PayPal และ Binance ได้ โดยเสนอราคาให้บริการตั้งแต่ 50 ดอลลาร์สหรัฐ (1,620 บาท) ไปจนถึง 1,400 ดอลลาร์สหรัฐ (45,360 บาท) ขึ้นอยู่กับระดับขององค์กร นอกจากนั้นยังมีบริการ “เปลี่ยนชื่อตามต้องการ” (Custom Name) ให้บริการอีกด้วย

ในส่วนของการวางจำหน่ายมัลแวร์ ที่เรียกได้ว่าเป็นกลุ่มสินค้าหลักในวงการแฮกเกอร์นั้นก็มีมากมายหลากหลายตัว ซึ่งตัวที่ทางทีมวิจัยตรวจพบในรอบนี้ได้พบถึง 2 ตัวด้วยกัน โดยอย่างแรกนั้นจะเป็นมัลแวร์ประเภทเปลี่ยนของเหยื่อให้เป็นเครื่องซอมบี้สำหรับใช้ในการรุมยิงระบบที่ใหญ่กว่า หรือที่ถูกเรียกว่า Botnet โดยมัลแวร์ตัวนี้จะมีชื่อว่า Hook Android ซึ่งชัดเจนว่ามุ่งเน้นการเล่นงานกลุ่มผู้ใช้งานโทรศัพท์มือถือ หรือแท็บเล็ต ที่ใช้ระบบปฏิบัติการ Android โดยกลุ่มผู้พัฒนาได้ทำการขายแบบปล่อยเช่าในราคาที่สูงถึง 5,000 ดอลลาร์สหรัฐต่อเดือน (162,000 บาท) เลยทีเดียว ซึ่งผู้ที่สนใจนั้นทางทีมพัฒนาได้ขอให้ทำการติดต่อเพื่อตกลงเช่าผ่านทางข้อความส่วนตัวเท่านั้น

อีกตัวหนึ่งนั้นจะเป็นมัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomeware ที่มีชื่อว่า MonoLock เวอร์ชัน 1.0 ซึ่งทางผู้พัฒนาได้ประกาศว่าจะมีการปล่อยให้เช่าใช้งานในเร็ว ๆ นี้ พร้อมทั้งโอ้อวดสรรพคุณว่า ตัวมัลแวร์มีความสามารถที่มากมาย ไม่ว่าจะเป็นการเพิ่มความสามารถใหม่ ๆ ลงบนตัวมัลแวร์ได้ง่ายเนื่องจากตัวมัลแวร์นั้นมีการทำงานแบบโมดูล (Module) ซึ่งเอื้อต่อการดาวน์โหลดโมดูลใหม่ ๆ ลงมาเพิ่มเติมภายหลัง ซึ่งเบื้องต้นนั้นจะเป็นโมดูลที่ช่วยให้มัลแวร์สามารถติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ได้อย่างอัตโนมัติ และยังมีความสามารถอีกมากมายหลายประการ ไม่ว่าจะเป็น การเพิ่มสิทธิ์การเข้าถึงระบบของเหยื่อโดยที่ไม่ต้องเปลี่ยนแปลง Registry ด้วยการใช้เทคนิค Living-off-the-Land (การอาศัยโปรแกรมที่ติดตั้งอยู่บนระบบอยู่แล้ว), ความสามารถในการขโมยไฟล์ (Exfiltration) ได้อย่างว่องไวกว่าเจ้าอื่น, ทั้งการเข้ารหัสนั้นยังใช้ระบบการเข้ารหัสแบบลูกผสม (Hybrid) ChaCha20-Salsa20 อีกด้วย ที่ร้ายไปกว่านั้น ตัวมัลแวร์ยังมีความสามารถในการหลบเลี่ยงการถูกวิเคราะห์ (Anti-Analysis) ด้วยการใช้งานสภาวะจำลอง (Virtual Machine), เครื่องมือ Debugger, และ เครื่องมือตรวจสอบ (Forensic Tool) อื่น ๆ สร้างความยุ่งยากให้กลุ่มนักวิจัยในการหาทางรับมือ

ไม่เพียงเท่านั้น นักวิจัยยังได้พบกับการกระทำที่อุกอาจ นั่นคือ การรับสมัครพนักงานภายในบริษัทด้านการให้บริการเครือข่ายโทรศัพท์มือถือชื่อดังอย่าง AT&T และบริษัท อื่น ๆ เพื่อเข้าร่วมปฏิบัติการการ “สวมซิม” (Sim Swapping) เพื่อเอาเบอร์โทรศัพท์ของผู้อื่นไปใช้งานในการก่ออาชญากรรมไซเบอร์ เรียกได้ว่า เว็บบอร์ดใต้ดินที่ตรวจพบนี้ เป็นศูนย์รวมแห่งความชั่วร้ายที่รอการทลายเพียงอย่างเดียว