Telegram ทวีความนิยมในการเป็นตลาดมืดซื้อขายมัลแวร์ และข้อมูลที่ถูกขโมยมาแบบโจ๋งครึ่ม

Telegram นั้นอาจจะเป็นแอปพลิเคชันแชทที่คุ้นเคยกันดีสำหรับผู้ใช้งานที่ต้องการความปลอดภัย เนื่องจากระบบการเข้ารหัสที่ดีกว่าเจ้าอื่น ทว่า ด้วยการที่เป็นความลับก็ทำให้แฮกเกอร์หันมาใช้งานมากขึ้นเช่นเดียวกัน และเหมือนความนิยมของการใช้งานนั้นจะมากกว่าที่หลายคนเคยคาดการณ์ไว้

จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงรายงานของทีมวิจัยจาก Cyfirma บริษัทผู้เชี่ยวชาญด้านการตรวจสอบภัยไซเบอร์ ถึงการตรวจพบความเปลี่ยนแปลงของแฮกเกอร์กลุ่มต่าง ๆ ที่เริ่มย้ายที่ทำการหลัก จากแต่เดิมที่อาศัยการอยู่ในเครือข่ายอินเทอร์เน็ตใต้ดินอย่าง Dark Web ที่มีวิธีการเข้าถึงที่ยุ่งยาก เนื่องจากต้องใช้งานผ่านเว็บเบราว์เซอร์เฉพาะทาง เช่น Tor และต้องมีความรู้ในการใช้งานพอสมควร รวมทั้งมักจะตกเป็นที่เพ่งเล็งของหน่วยงานสืบสวนสอบสวนด้านอาชญากรรมไซเบอร์ อันนำไปสู่การถูกจับกุมได้ในที่สุด หรือถ้าไม่ถูกจับกุมแต่ถ้าเว็บบอร์ดใต้ดินที่ตั้งอยู่บนเว็บไซต์ภายใน Dark Web ถูกปิดตัวลง แฮกเกอร์ก็จะสูญเสียทรัพยากรต่าง ๆ แทบหมดเช่นเดียวกัน ทำให้กลุ่มแฮกเกอร์ขึ้นมาอยู่ในบริการแชทที่เข้าถึงได้ง่ายอย่าง Telegram ที่มีความปลอดภัยมากกว่า และยังคงความสามารถในการรักษาความลับแทน

ภาพจาก : https://hackread.com/telegram-used-sell-access-malware-stolen-logs/

ซึ่งการย้ายด้วยเหตุผลดังกล่าวนั้นทางทีมวิจัยได้ระบุว่า มีกรณีศึกษาให้เห็นอย่างเช่น การที่แฮกเกอร์กลุ่ม IndoHaxSec ได้มีการสร้างช่อง (Channel) สำรองบน Telegram หลาย ๆ ช่อง เพื่อที่ถ้าช่องใดช่องหนึ่งถูกปิดตัวลง ก็จะทำการย้ายที่ทำการมาที่ช่องสำรองแทน ทำให้การที่ตำรวจจะทำการปิดช่องเพื่อปิดทางการทำงานอย่างถาวรนั้น แทบจะทำไม่ได้เลย

ในส่วนของตลาดมืดของแฮกเกอร์บนระบบ Telegram นั้น ก็มีสินค้า และบริการหลากหลายให้แฮกเกอร์สามารถเลือกซื้อหาใช้งานได้ ไม่ว่าจะเป็น

• Initial Access (จุดการเข้าถึงระบบโดยตรง) ซึ่งแฮกเกอร์จะขายช่องทางในการเข้าถึงระบบของบริษัทใหญ่ ๆ ต่าง ๆ โดยตรง โดยแหล่งวางขายนั้นไม่ได้มาด้วยคำโฆษณาเท่านั้น แต่มาพร้อมกับภาพบันทึกหน้าจอการเข้าถึงเครือข่ายส่วนตัวเสมือน (VPN หรือ Virtual Private Network) หรือแผงควบคุมระบบรวม (Dashboard) ของระบบ Azure และ AWS cloud ที่บริษัทที่ถูกกล่าวอ้างใช้งานอยู่
• MaaS หรือ Malware-as-a-Service (มัลแวร์สำหรับเช่าใช้งาน) มีมัลแวร์นานาชนิด รวมทั้งเครื่องมือที่เกี่ยวข้อง และอัปเดตใหม่ ๆ ให้ซื้อ หรือ เช่าใช้งานจำนวนมาก
• Log Cloud (บันทึกบนระบบคลาวด์) เป็นฐานข้อมูลขนาดใหญ่ที่มีการบันทึกข้อมูลสำคัญที่ถูกขโมยมาโดยมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ซึ่งครอบคลุมถึงข้อมูลสำคัญเช่น ชื่อผู้ใช้งาน (Username) และ รหัสผ่าน (Password)
• แฮกเกอร์กลุ่มที่ใช้งานมัลแวร์เรียกค่าไถ่ หรือ Ransomware ยังใช้ช่องทางนี้ในการโพสต์ข้อมูลที่ถูกขโมยมา พร้อมตัวนับเวลาถอยหลัง เพื่อบีบให้บริษัทที่ตกเป็นเหยื่อเร่งทำการจ่ายค่าไถ่อีกด้วย

นอกจากผลิตภัณฑ์ และบริการหลักแล้ว ทางทีมวิจัยยังพบว่ามีแฮกเกอร์ที่เน้นการโจมตีเป้าหมายด้วยการรุมยิงระบบจนใช้งานไม่ได้ หรือ DDoS (Distributed Denial of Service) เช่น NoName057 และ Cyber Fattah ได้มีการใช้งานช่องทาง Telegram ในการเกณฑ์ทหารดิจิทัล (Digital Soldiers) เพื่อเข้าร่วมแคมเปญรุมโจมตีดังกล่าว

ความนิยมในการใช้งานช่องทาง Telegram ของกลุ่มอาชญากรไซเบอร์นั้นยังคงมีมากขึ้นเรื่อย ๆ ถึงแม้ทางผู้ให้บริการ Telegram เองจะให้ความร่วมมือกับทางผู้บังคับใช้กฎหมายด้วยการแบ่งปันข้อมูลที่เกี่ยวข้องกับกลุ่มอาชญากร เช่น หมายเลขไอพี และเบอร์โทรศัพท์ ซึ่งเป็นข้อมูลที่สามารถระบุตัวตนได้ โดยในประเทศสหรัฐอเมริกานั้น ทางผู้ให้บริการ ได้ทำการตอบสนองคำขอของหน่วยงานดังกล่าวไปมากกว่า 900 คำขอ ซึ่งมีความเกี่ยวข้องกับผู้ใช้งานมากถึง 2,200 ราย ในขณะที่ในประเทศสหราชอาณาจักร (อังกฤษ) นั้นทางผู้ให้บริการ ได้ให้ข้อมูลกับทางตำรวจมาถึง 142 เคส โดยเคสดังกล่าวเกี่ยวข้องกับผู้ใช้งานถึง 293 ราย แต่ก็ไม่อาจหยุด หรือชะลอกระแสการใช้งานนี้ได้อยู่ดี