มัลแวร์ Pegasus คืออะไร ? ทำไมถึงตกเป็นข่าวว่ารัฐบาล (ในบางประเทศ) ใช้สอดแนมประชาชนที่เห็นต่าง ?

"เพกาซัส" (Pegasus) มัลแวร์ที่ตกเป็นข่าวว่ารัฐบาลใช้สอดแนมประชาชน

เป็นเรื่องธรรมดาที่ใจจริงเราก็ไม่อยากให้มันเป็นเรื่องธรรมดาสักเท่าไหร่ กับการที่รัฐบาลจะมีการนำเทคโนโลยีต่าง ๆ มาใช้ในการสอดแนมประชาชนที่เห็นต่าง ภายใต้เหตุผลว่าเพื่อความมั่นคงของชาติ มันเป็นเรื่องที่เกิดขึ้นจริง โดยเฉพาะอย่างยิ่งในรัฐบาลของประเทศที่ใช้ระบอบเผด็จการในการปกครอง

มัลแวร์จารกรรมข้อมูลที่ นักเจาะระบบ หรือ แฮกเกอร์ (Hacker) ใช้ในการขโมยข้อมูลจากผู้ใช้ถือเป็นเครื่องมือสอดแนมชั้นดี เพราะเหยื่อจะแทบไม่รู้ตัวเลยว่าอุปกรณ์ที่ใช้งานอยู่ถูกเฝ้าจับตามองอยู่ ที่ผ่านมาตั้งแต่อดีตจวบจนถึงปัจจุบัน มีการค้นพบ มัลแวร์ (Malware) ที่มีรัฐบาลเกี่ยวข้องถูกเปิดเผยออกมาหลายครั้ง อย่าง มัลแวร์ Hermit ที่ทาง Google ได้ออกมาแฉไปเมื่อไม่นานมานี้

ข้อมูลเพิ่มเติม : Malware คืออะไร ? Malware มีกี่ประเภท ? และรูปแบบของมัลแวร์ชนิดต่างๆ ที่น่าจดจำ

ล่าสุดก็เป็นมัลแวร์ "เพกาซัส (Pegasus)" มัลแวร์ตัวใหม่ที่มีรัฐบาลหลายแห่งเป็นลูกค้า ซึ่งในประเทศไทยเอง ก็มีสื่ออย่าง iLaw (โครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน) ที่รายงานว่ารัฐบาลไทยก็มีการนำมัลแวร์ตัวนี้มาใช้เช่นกัน ทำให้หลายคนน่าจะมีความสนใจว่า มัลแวร์ "เพกาซัส" (Pegasus) คืออะไร ? มีความสามารถในการโจมตีแบบไหน ? แล้วเราจะป้องกันตัวเองจากมัลแวร์ตัวนี้ได้อย่างไร ?

มัลแวร์เพกาซัส คืออะไร ?
(What is Pegasus Malware ?)

เพกาซัส (Pegasus) ก็จัดอยู่ในหมวดหมู่ของมัลแวร์ชนิดหนึ่ง ที่อยู่ในรูปแบบของ สปายแวร์เชิงพาณิชย์ (Commercial Spyware) ในขณะที่มัลแวร์ส่วนใหญ่ที่เรารู้จักกัน จะถูกสร้างขึ้นมาโดยแฮกเกอร์ที่เป็นอาชญากรเพื่อใช้หาเงินเข้ากระเป๋าด้วยการขโมยข้อมูล หรือหลอกลวงเหยื่อ ไม่ว่าจะเป็น มัลแวร์เรียกค่าไถ่ (Ransomware) หรือการ ฟิชชิ่ง (Phishing) แต่ มัลแวร์ Pegasus นั้น ถูกสร้างขึ้นมาเพื่อสอดแนมเท่านั้นเลย

โดยเมื่อมัลแวร์ Pegasus สามารถลอบฝังตัวเองเข้าไปในสมาร์ทโฟนของเหยื่อได้แล้ว (ทั้ง iOS และ Android) มันจะเปลี่ยนสมาร์ทโฟนให้กลายเป็นอุปกรณ์เฝ้าระวังโดยสมบูรณ์ มันสามารถทำได้หลายอย่างมาก ดังต่อไปนี้

• เปิดอ่านข้อมูลในข้อความ SMS, อีเมล และแอปพลิเคชันแชทต่าง ๆ ไม่ว่าจะเป็น LINE, Facebook Messenger, iMessages ฯลฯ โดยที่สามารถเปิดอ่าน และคัดลอกข้อมูลออกไปได้
• บันทึกเสียงสนทนาทั้งการโทรเข้า และโทรออก
• ขโมยรูปภาพที่มีภายในเครื่อง
• สั่งเปิดไมโครโฟน หรือกล้อง เพื่อแอบดักฟังเสียง หรือดูภาพโดยรอบ

หากรวมความสามารถทั้งหมดที่ ตัวมัลแวร์ Pegasus นั้นสามารถทำได้แล้ว สามารถกล่าวได้ว่า ผู้สอดแนมสามารถรู้ความเคลื่อนไหวของเหยื่อได้เกือบทุกอย่าง หากรัฐบาลล็อกคุณเป็นเป้าหมายด้วยการใช้มัลแวร์ Pegasus และคุณเป็นคนที่ใช้งานสมาร์ทโฟนเป็นประจำ พกพกมันตลอดเวลา รัฐบาลจะรู้ความเคลื่อนไหวทั้งหมดที่คุณทำเกือบทั้งหมดเลยล่ะ

การค้นพบมัลแวร์ Pegasus ถูกตรวจพบเป็นครั้งแรก ต้องย้อนกลับไปถึงปี ค.ศ. 2016 (พ.ศ. 2559) มันจึงไม่ใช่มัลแวร์ตัวใหม่แต่อย่างใด อย่างไรก็ตาม คุณสมบัติ และความซับซ้อนของมันได้รับการพัฒนามาอย่างต่อเนื่อง

การป้องกันตัวเองด้วยการหมั่นอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดสม่ำเสมอ และการใช้ การเข้ารหัสแบบสองชั้น (2FA) สามารถช่วยปกป้องการโจมตีแฮกเกอร์ทั่วไปได้ แต่หากแฮกเกอร์ระดับมือพระกาศที่มีเงินสนับสนุนจำนวนมหาศาลต้องการจะโจมตีคุณให้ได้แล้วล่ะก็ ว่าตามตรงมันก็เป็นเรื่องยากที่จะป้องกันตัวเองได้

โดยการโจมตีของมัลแวร์ Pegasus นั้นจะเป็นการโจมตีแบบ "Zero Click" คือ มันสามารถทำงานได้ทันทีโดยที่เหยื่อไม่ต้องตอบสนอง เพื่อให้กับดักเริ่มทำงาน ผ่าน ช่องโหว่ Zero-day Vulnerability ที่แฮกเกอร์ค้นพบ โดยอาศัยช่องโหว่ในแอปพลิเคชันต่าง ๆ เช่น iMessagem, WhatsApp ฯลฯ ในการติดตั้งมัลแวร์

ความน่าสนใจของมัลแวร์ Pegasus คือมันไม่ใช่มัลแวร์ที่แพร่หลายโดยทั่วไป แฮกเกอร์ส่วนใหญ่ก็ไม่สามารถหามันมาใช้งานได้ แม้แต่ใน Dark web ก็ไม่มีวางจำหน่าย เพราะบริษัท NSO Group ผู้พัฒนามัลแวร์ Pegasus จะขายให้กับรัฐบาลเท่านั้น และมีราคาค่าบริการในการใช้หลายสิบล้านบาท

ด้วยเหตุนี้ เราจึงไม่ต้องกังวลว่ามัลแวร์ Pegasus จะตกอยู่ในเงื้อมมือของอาชญากรทั่วไปที่มีอยู่ดาษดื่น ตามคำกล่าวอ้างของ NSO Group เพราะว่ามัลแวร์ Pegasus ไม่ได้ถูกพัฒนาขึ้นมาใช้ในสงครามข้อมูลระหว่างรัฐบาล กับนักเคลื่อนไหว, สื่อ หรือแม้แต่นักการเมือง แต่อย่างใด โดยมันเป็นเพียงเครื่องมือสำหรับให้รัฐบาลใช้ในหน่วยงานข่าวกรอง หรือผู้รักษากฏหมายเพื่อต่อสู้กับผู้ก่อการร้าย และการก่ออาชญากรรมร้ายแรงเท่านั้น

ฟังดูยอดเยี่ยม แต่การที่มีรัฐบาลเป็นลูกค้า ไม่ได้หมายความว่ารัฐบาลจะเป็นคนดี มีคุณธรรมเสมอไป เราจะรู้ได้อย่างไรว่ารัฐบาลนำมัลแวร์ Pegasus มาใช้ในการแอบตรวจสอบสื่อ, ผู้บริหารธุรกิจ, ผู้นำศาสนา, นักวิชาการ, นักเคลื่อนไหวทางการเมือง ฯลฯ หรือใครก็ตามที่มีแนวโน้มที่จะสั่นคลอนอำนาจของรัฐบาลได้ด้วยหรือเปล่า ?

NSO Group คือใคร ?
(Who is NSO Group ?)

สำหรับ บริษัท NSO Group ผู้ผลิตมัลแวร์ Pegasus เป็นใคร มาจากไหน ? น่าจะเป็นคำถามที่หลายคนเกิดความสงสัย

NSO Group เป็นบริษัทบริการซอฟต์แวร์สอดแนมสัญชาติอิสราเอล (Israel) โดยลูกค้าที่สามารถซื้อบริการได้จะต้องเป็นเจ้าหน้าที่ของรัฐบาลเท่านั้น ทางบริษัทได้ระบุว่าซอฟต์แวร์เพกาซัสนั้นมีความเทพมาก เพราะเทคโนโลยีเข้ารหัสระดับสูงทำให้อาชญากร หรือผู้ก่อการร้ายที่ถูกสอดแนมนั้นมืดแปดด้านไม่รู้ว่าถูกใครโจมตี อีกทั้งตัวซอฟต์แวร์ยังสามารถซ่อนตัวบนสมาร์ทโฟน ทำให้ผู้ใช้สามารถจับตาความเคลื่อนไหวได้ทุกย่างก้าว

นอกจากนี้ ทาง NSO Group ยังมีให้บริการเครื่องมือจารกรรมข้อมูลอีกหลายตัว เช่น เครื่องมือค้นหาตำแหน่งว่าสมาร์ทโฟนถูกใช้งานที่ไหนบ้าง, ระบบต่อต้านโดรน (Anti Drone System) ฯลฯ

สำนักข่าว New Yorker เคยทำรายงานขุดคุ้ยบริษัท NSO Group เปิดเผยว่าบริษัทแห่งนี้มีความสัมพันธ์ที่เหนียวแน่นกับรัฐบาลอิสราเอล และมีแนวทางการทำธุรกิจเป็นโมเดลที่คล้ายคลึงกับการที่ผู้ผลิตยุทโธปกรณ์ส่งออกสินค้าไปให้กับประเทศที่ให้ความสนใจ

ที่ผ่านมา ทาง NSO Group ได้มีส่วนพัวพันกับคดีดังระดับโลกหลายครั้ง อย่างการแฮกข้อมูลเจฟฟ์ เบโซส (Jeff Bezos) ผู้ก่อตั้ง Amazon ในปี ค.ศ. 2018 (พ.ศ. 2561), ถูกฝ่ายค้านของซาอุดิอาราเบียฟ้องร้องในข้อหาแฮกข้อมูลของผู้สื่อข่าวญะมาล คอชุกญี (Jamal Khashoggi) ที่เสียชีวิตจากการสังหารภายในสถานทูตซาอุดิอาระเบียที่ประเทศตุรกี, บริษัท Apple และ Meta เคยฟ้องร้อง NSO Group เพื่อเรียกร้องข้อเสียหายจากการใช้ช่อง และเรียกร้องให้บริษัทลบข้อมูลของลูกค้าที่ถูกที่จารกรรมข้อมูลออกไป

ในขณะที่กรณีที่เกิดขึ้นในประเทศไทย ทาง NSO Group ไม่ได้แสดงความเห็นอย่างเจาะจง แต่ให้คำตอบต่อสื่อวอชิงตันโพสต์ (Washington Post) ว่า "องค์กรที่มีแรงจูงใจทางการเมือง พยายามอ้างถึง NSO Group โดยปราศจากหลักฐานที่ชัดเจน"

ภาพจาก : https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/

วิธีตรวจสอบว่าสมาร์ทโฟนของคุณมีมัลแวร์เพกาซัส อยู่หรือไม่ ?
(How to check Pegasus Malware existence of your smartphone ?)

เนื่องจากมัลแวร์ Pegasus นั้นโจมตีแบบล่องหน โดยที่ผู้ใช้ไม่ทันรู้ตัวว่าถูกโจมตีตั้งแต่ตอนไหน และตัวสมาร์ทโฟนที่ใช้ก็ยังทำงานปกติ เหมือนไม่มีอะไรเกิดขึ้นด้วย มีบางคนที่เพิ่งรู้ตัวเพราะทาง Apple มีการส่งอีเมลแจ้งเตือนไปยังผู้ที่ถูกมัลแวร์ Pegasus โจมตีให้รับทราบ อย่างไรก็ตาม มันก็พอมีวิธีตรวจสอบอยู่บ้าง 

โดยทางองค์การนิรโทษกรรมสากล (Amnesty International) ได้พัฒนา เครื่องมือแบบเปิดเผยซอร์สโค้ด (Open-Source Tool) ที่ชื่อว่า Mobile Verification Toolkit (MVT) ที่พัฒนาขึ้นมาเพื่อตรวจจับมัลแวร์ Pegasus โดยเฉพาะ 

Mobile Verification Toolkit (MVT)
ภาพจาก : https://youtu.be/2mzJEW4ZJ8g

Mobile Verification Toolkit (MVT) เป็น โปรแกรมสำหรับติดตั้งลงบนคอมพิวเตอร์ สำหรับใช้วิเคราะห์ข้อมูลในสมาร์ทโฟน รวมไปถึงไฟล์สำรองข้อมูลที่นำออกมาจาก มือถือ iPhone และ Android เพื่อตรวจหาว่ามีร่องรอยของมัลแวร์ Pegasus แฝงตัวอยู่หรือไม่ ?

Mobile Verification Toolkit (MVT) สามารถดาวน์โหลดได้ที่

• https://github.com/mvt-project/mvt