Thursday, November 21, 2024
ArticlesColumnistSansiri Sirisantakupt

องค์กรควรระวังเกี่ยวกับการโจมตีทางไซเบอร์ของเฟิร์มแวร์

ถึงเวลาแล้วที่องค์กรต่างๆควรให้ความใส่ใจกับการรักษาความปลอดภัยของฮาร์ดแวร์แม้การโจมตีทางไซเบอร์ไปที่เฟิร์มแวร์ไม่ใช่เรื่องปกติที่เกิดขึ้นในแต่ละวัน แต่มีความซับซ้อนในการดำเนินงานที่มากกว่าการโจมตีทางไซเบอร์ประเภทอื่นๆและสร้างความเสียหายได้มหาศาลเช่นกัน

มโครซอฟท์ยักษ์ใหญ่ด้านคอมพิวเตอร์ได้ออกรายงานโดยอ้างว่าองค์กรทั่วโลกกำลังละเลยประเด็นสำคัญของการรักษาความปลอดภัยไซเบอร์ (Cybersecurity) คือ ความจำเป็นในการปกป้องคุ้มครองคอมพิวเตอร์ เซิร์ฟเวอร์ และอุปกรณ์อื่นๆ จากการโจมตีทางไซเบอร์ของเฟิร์มแวร์ (Firmware)

ผลสำรวจผู้มีอำนาจตัดสินใจด้าน Cybersecurity จำนวนหนึ่งพันคนในองค์กรต่างๆ หลายอุตสาหกรรม ณ สหราชอาณาจักร สหรัฐอเมริกา เยอรมนี ญี่ปุ่น และจีน ที่เปิดเผยว่า 80% ขององค์กรนั้นมีประสบการณ์ในการถูกโจมตีจากเฟิร์มแวร์อย่างน้อยหนึ่งครั้งในช่วง 2 ปีที่ผ่านมา ซึ่งได้มีการจัดสรรงบประมาณด้านความปลอดภัยไว้เพียง 29% สำหรับการปกป้องคุ้มครองเฟิร์มแวร์

อย่างไรก็ตามรายงานใหม่ที่ออกมานั้นมีความเกี่ยวข้องกับช่องโหว่ความปลอดภัยที่มีผลต่อระบบแลกเปลี่ยนอีเมล์ของไมโครซอฟท์ (Microsoft Exchange email system) ที่ใช้กันอย่างแพร่หลายผลที่ติดตามมาไมโครซอฟท์ยักษ์ใหญ่ด้านคอมพิวเตอร์ได้เปิดตัวคอมพิวเตอร์ Windows 10 ที่มีความปลอดภัยเป็นพิเศษในปีที่แล้วที่สำคัญได้ระบุไว้จะป้องกันไม่ให้เฟิร์มแวร์ถูกดัดแปลง

สิ่งนี้เป็นเพียงแค่ความพยายามที่จะเบี่ยงเบนในความสนใจและเพิ่มยอดขายเครื่องคอมพิวเตอร์ให้มากขึ้นหรือจะเป็นการสร้างความระวังที่มากขึ้นให้แก่องค์กรต่างๆเกี่ยวกับการโจมตีทางไซเบอร์ของเฟิร์มแวร์โดยบทความในฉบับมีมุมมองและรายละเอียดที่น่าสนใจดังนี้

การโจมตีของเฟิร์มแวร์ทำได้อย่างไร
ผู้เขียน: น.อ.สรรสิริ สิริสันตคุปต์ นักวิชาการกองทัพอากาศ กรมเทคโนโลยีสารสนเทศและการสื่อสารทหารอากาศ เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ การสื่อสาร และการรักษาความมั่นคงปลอดภัย ด้านอวกาศและไซเบอร์

เฟิร์มแวร์ (Firmware) คือ โปรแกรมถาวรประเภทหนึ่งที่ใช้ในการควบคุมส่วนประกอบของฮาร์ดแวร์แต่ละชิ้นในเครื่องคอมพิวเตอร์ (PC) ปัจจุบันมีแนวโน้มเพิ่มขึ้นที่อาชญากรไซเบอร์กำลังออกแบบให้มัลแวร์ (Malware) สามารถดัดแปลงเฟิร์มแวร์ในเมนบอร์ดได้ (Motherboard) ซึ่งสั่งให้เครื่องคอมพิวเตอร์เริ่มต้นระบบ (Start up) หรือสามารถดัดแปลงเฟิร์มแวร์ในตัวไดรเวอร์ (Hardware driver) ซึ่งสั่งให้อุปกรณ์ต่างๆภายในเครื่องคอมพิวเตอร์เชื่อมต่อได้อย่างมีประสิทธิภาพ

และนี่เป็นวิธีหลบหลีกในการข้ามผ่านระบบปฏิบัติการของคอมพิวเตอร์หรือซอฟต์แวร์ใดๆ ที่ถูกออกแบบมาเพื่อตรวจจับมัลแวร์เนื่องจากโปรแกรมถาวรเฟิร์มแวร์ในฮาร์ดแวร์นั้นเป็นส่วนที่อยู่ด้านล่างของระบบปฏิบัติการ (OS) ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยได้กล่าวกับ BBC ไว้

แม้ว่าแผนกไอทีจะปฏิบัติตามแนวทางปฏิบัติที่ดีสุด (Best practices) ด้านความปลอดภัยทางไซเบอร์อย่างเช่นการแก้ไขช่องโหว่ด้านความปลอดภัยบนซอฟต์แวร์ หรือการปกป้องเครือข่ายขององค์กรจากการบุกรุกที่เป็นอันตรายแต่หลายๆ องค์กรนั้นก็ยังคงลืมเกี่ยวกับเฟิร์มแวร์อยู่ดี

โรเบิร์ต พอตเตอร์ นักวิจัยด้านความปลอดภัยทางไซเบอร์ชาวออสเตรเลียได้อธิบายไว้ว่า”ผู้คนไม่คิดเกี่ยวกับเรื่องนี้ในแง่ของการปิดรอยรั่ว(Patching)ด้วยมักไม่ค่อยมีการอัปเดตและเมื่อเหตุเกิดขึ้นบางครั้งผลมันก็ทำลายสิ่งต่างๆ”

ในเวลาที่ผ่านมาโรเบิร์ตพอตเตอร์ ได้สร้างศูนย์ปฏิบัติการด้านความปลอดภัยทางไซเบอร์ให้แก่วอชิงตันโพสต์และปัจจุบันยังคงให้คำแนะนำแก่รัฐบาลออสเตรเลียในเรื่องการรักษาความปลอดภัยทางไซเบอร์ในมุมมองการปิดรอยรั่วเฟิร์มแวร์ในบางครั้งอาจเป็นเรื่องที่ยุ่งยากดังนั้นก็คงไม่แปลกสำหรับหลายๆ องค์กรที่กลายเป็นเรื่องที่มองข้ามไป

ด้วยช่วงสองปีที่ผ่านมามีการค้นพบการโจมตีของเฟิร์มแวร์ที่สำคัญอาทิ RobbinHood เป็นแรนซั่มแวร์ (Ransomware) ใช้เฟิร์มแวร์ที่ถูกดัดแปลงผ่านไดรเวอร์เพื่อควบคุมเครื่อง PC ให้ก้าวข้ามระบบรักษาความปลอดภัยที่มีอยู่พร้อมกับปิดโปรเซสของซอฟต์แวร์รักษาความปลอดภัยไปพร้อมกัน

ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลในคอมพิวเตอร์ของผู้ใช้ หลังจากนั้นเข้ารหัสไฟล์ทั้งหมดจนกว่าผู้เป็นเจ้าของข้อมูลจะมาจ่ายค่าไถ่เป็น Bitcoin นักวิจัยจาก Sophos ได้ระบุว่า ครั้งนี้เป็นครั้งแรกที่เห็นแรนซั่มแวร์ใช้วิธีผ่านไดรเวอร์ บวกกับมัลแวร์ในแบบนี้เกิดขึ้นในหลายๆเมืองของรัฐบาลสหรัฐอเมริกาช่วงเดือนพฤษภาคม ค.ศ.2019

อย่างรัฐบาลเมืองบัลติมอร์ของสหรัฐฯประสบปัญหาความผิดปกติมายาวนานกับการโจมตีของแรนซั่มแวร์ที่ทำให้ระบบของพวกเขาพิการมานานกว่าสองสัปดาห์ แฮกเกอร์ละเมิดเซิร์ฟเวอร์เข้าถึงข้อมูลของเมืองแมริแลนด์เมื่อวันที่ 7 พฤษภาคม ค.ศ.2019 บล็อกบัญชีอีเมล์ของรัฐบาลและปิดการใช้งานการชำระเงินออนไลน์ของหน่วยงานในเมือง แฮกเกอร์เรียกร้องให้จ่าย Bitcoin มูลค่า หนึ่งแสนดอลลาร์เป็นค่าไถ่สำหรับข้อมูล

อีกหนึ่งตัวอย่างการโจมตีที่เรียกว่า Thunderspy เป็นการโจมตีที่ใช้ฟังก์ชันในการเข้าถึงหน่วยความจำโดยตรง (DMA: Direct memory access) ที่ส่วนประกอบฮาร์ดแวร์ของเครื่อง PC นั้นใช้ติดต่อสื่อสารกันซึ่งการโจมตีแบบนี้มีความลับมากจนแฮกเกอร์สามารถอ่านและคัดลอกข้อมูลทั้งหมดในเครื่องคอมพิวเตอร์ได้โดยไม่ทิ้งร่องรอย

ที่สำคัญก็คือ การโจมตีดังกล่าวเกิดขึ้นได้แม้ว่าฮาร์ดไดรฟ์จะเข้ารหัสคอมพิวเตอร์จะถูกล็อคหรือตั้งค่าให้เข้าสู่โหมด Sleep ก็ตามคริส บอยด์นักวิเคราะห์ข่าวกรองมัลแวร์ของบริษัทรักษาความปลอดภัย Malwarebytes ได้กล่าวว่า”หากเฟิร์มแวร์ไม่มีการป้องกันผลที่ได้รับจากการโจมตีของเฟิร์มแวร์นั้นร้ายแรงและอาจมองไม่เห็นซึ่งแฮกเกอร์สามารถเข้าไปทำการโจรกรรมข้อมูลทำความเสียหายให้แก่ระบบทำการสอดแนมและอื่นๆ”

องค์กรขนาดใหญ่ควรระวัง

ข่าวที่ดีของ กาเบรียล เซอร์ริง นักวิจัยในด้านความปลอดภัยของบริษัทรักษาความปลอดภัยไซเบอร์สหรัฐฯ Human (เดิมชื่อ White Ops) ก็คือ การโจมตีของเฟิร์มแวร์มีโอกาสน้อย ที่จะกำหนดเป้าหมายไปสู่ผู้ใช้ (Users) ซึ่งองค์กรขนาดใหญ่นั้นควรระวัง การโจมตีของเฟิร์มแวร์ใช้ได้กับองค์กรขนาดใหญ่เท่านั้นเพราะต้องมีการกำหนดเป้าหมายไปที่เมนบอร์ดและเฟิร์มแวร์ประเภทใดประเภทหนึ่ง

โดยปกติอาชญากรไซเบอร์มักจะโจมตีระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับความนิยมเพราะเป็นวิธีที่จะทำเงินได้ต่อเมื่อส่งผลกระทบไปยังผู้ใช้ปลายทางในจำนวนที่มาก การโจมตีของเฟิร์มแวร์นั้นพบได้น้อยกว่า แต่จะมีความซับซ้อนในการดำเนินงานที่มากกว่าการโจมตีทางไซเบอร์ประเภทอื่นๆ

ที่สำคัญการแพร่ระบาดของไวรัส COVID-19 นั้นถือเป็นตัวเร่งให้เกิดการโจมตีของเฟิร์มแวร์อนึ่ง National Institute of Standards and Technology (NIST) เป็นหน่วยงานภายใต้กระทรวงพาณิชย์ของสหรัฐฯได้อัปเดตฐานข้อมูลช่องโหว่แห่งชาติ (National Vulnerability Database: NVD) อย่างต่อเนื่องโดยพบกับข้อมูลใหม่ในด้านการรักษาความปลอดภัย ซึ่งฐานข้อมูลดังกล่าวได้บันทึกการโจมตีของเฟิร์มแวร์เพิ่มขึ้นห้าเท่าในช่วงสี่ปีที่ผ่านมา

ผลจากการ Lockdown ในหลายประเทศนั้นทำให้พนักงานหลายคนต้องใช้คอมพิวเตอร์รวมทั้งอุปกรณ์พกพาทำงานจากที่บ้าน และเชื่อมต่อจากระยะไกลไปยังเซิร์ฟเวอร์ที่ทำงาน แต่ละเครื่องล้วนตกเป็นเป้าหมายในการโจมตี กาเบรียล เซอร์ริง กล่าวไว้ว่า

“การโจมตีของเฟิร์มแวร์อาจมีความซับซ้อนหากผู้โจมตีสามารถขโมยข้อมูลที่สำคัญจาก Notebook ของผู้บริหารได้อย่างเงียบๆเช่นรหัสผ่านก็สามารถใช้มันเพื่อแทรกซึมเข้าสู่เครือข่ายขององค์กรและขโมยข้อมูลได้ มากขึ้นซึ่งแฮกเกอร์ในประเทศมักจะใช้การโจมตีดังกล่าวมากที่สุดนี่เป็นปฏิบัติการครั้งใหญ่ที่มีการจ่ายเงินให้ในจำนวนมาก ไม่ใช่สิ่งที่อาชญากรไซเบอร์ในกลุ่มเล็กๆ จะทำได้”

ข้อคิดที่ฝากไว้

แม้ว่าการโจมตีทางไซเบอร์ของเฟิร์มแวร์นั้น ไม่แพร่หลายเช่นเดียวกับฟิชชิ่งมัลแวร์ หรืออื่นๆแต่มุมมองของเหล่าผู้เชี่ยวชาญด้านการรักษาความปลอดภัยบนโลกไซเบอร์ได้บอกเราว่า”ตอนนี้ก็ถึงเวลาแล้วที่องค์กรต่างๆ ควรให้ความใส่ใจกับการรักษาความปลอดภัยของฮาร์ดแวร์ซึ่งการโจมตีทางไซเบอร์ของเฟิร์มแวร์ไม่ใช่เรื่องปกติที่เกิดขึ้นในแต่ละวัน แต่นั่นเป็นเพราะผู้คนไม่ทราบว่าพวกเขากำลังติดไวรัสจากการโจมตีดังกล่าว”

บริษัทไมโครซอฟท์ ได้ยกเรื่อง นี้ขึ้นเป็นประเด็นหลัก เพราะจำเป็นที่ต้องนำนักออกแบบเฟิร์มแวร์และเทคโนโลยีที่ต้องใช้สำหรับ การดำเนินงานเพื่อก้าวไปสู่ความปลอดภัยบนโลกไซเบอร์ ด้วยในปัจจุบันนั้นเราเชื่อมต่อสิ่งต่างๆ กับอินเทอร์เน็ตมากขึ้น และเรากำลังเชื่อมต่อกับอุปกรณ์จำนวนมากที่ไม่ได้รับการออกแบบโดยคำนึงถึงความปลอดภัยบนโลกไซเบอร์ ซึ่งถ้าหากแนวโน้มยังคงดำเนินต่อไปในแบบนี้ผู้ไม่หวังดี ก็จะคืบคลานเข้าไปสู่องค์กรอย่างแน่นอน