Apple เตือนผู้ใช้ใน 92 ประเทศเรื่องการโจมตีด้วยสปายแวร์รับจ้าง
(techcrunch.com)- ภัยคุกคามจาก สปายแวร์รับจ้าง ที่มุ่งเป้าบุคคลความเสี่ยงสูงถูกยืนยันอีกครั้ง โดย Apple ได้แจ้งผู้ใช้ iPhone ใน 92 ประเทศถึงความเป็นไปได้ที่จะถูกโจมตีแบบเจาะจงเป้าหมาย
- การแจ้งเตือนครั้งนี้ระบุว่าตรวจพบความพยายามที่จะ เจาะระบบจากระยะไกล ไปยัง iPhone ที่เชื่อมโยงกับ Apple ID แต่ไม่ได้เปิดเผยตัวตนของผู้โจมตีหรือประเทศของผู้ตกเป็นเป้าหมาย
- Apple ระบุว่าการตรวจจับไม่อาจยืนยันได้อย่างแน่นอนสมบูรณ์ แต่ก็ชี้ว่าคำเตือนนี้เป็นการแจ้งเตือนที่มี ความเชื่อมั่นสูง และควรได้รับการพิจารณาอย่างจริงจัง
- นับตั้งแต่ปี 2021 Apple ได้ส่งการแจ้งเตือนลักษณะคล้ายกันให้ผู้ใช้ในกว่า 150 ประเทศ และเมื่อเดือนตุลาคมปีก่อนก็ได้ส่งคำเตือนประเภทเดียวกันนี้ไปยังนักข่าวและนักการเมืองในอินเดีย
- Apple เปลี่ยนคำเรียกจาก “state-sponsored” เป็น “mercenary spyware attacks” พร้อมแยกให้เห็นว่าการโจมตีอย่าง Pegasus มีความซับซ้อนและพบได้ยากกว่ามัลแวร์ทั่วไปมาก
การแจ้งเตือนภัยคุกคามที่ส่งถึงผู้ใช้ iPhone ใน 92 ประเทศ
- Apple ส่งการแจ้งเตือนภัยคุกคามให้กับ ผู้ใช้รายบุคคลใน 92 ประเทศ เมื่อวันพุธตอนเที่ยงตามเวลาแปซิฟิก
- การแจ้งเตือนดังกล่าวเป็นคำเตือนว่า iPhone ที่เชื่อมโยงกับ Apple ID อาจถูก โจมตีด้วยสปายแวร์รับจ้าง และถูกเจาะระบบจากระยะไกล
- การแจ้งเตือนที่ TechCrunch ตรวจสอบยืนยันไม่ได้เปิดเผยตัวตนของผู้โจมตีหรือประเทศที่ผู้ใช้ได้รับการแจ้งเตือน
- ใจความสำคัญที่ส่งถึงผู้ใช้มีดังนี้
- การโจมตีอาจเลือกผู้ใช้เป็น เป้าหมายเฉพาะราย เนื่องจากผู้ใช้นั้นเป็นใคร หรือทำอะไรอยู่
- การโจมตีลักษณะนี้ยากที่จะรับประกันความแน่นอนอย่างสมบูรณ์ในกระบวนการตรวจจับ
- Apple มีความเชื่อมั่นสูงต่อคำเตือนนี้ และผู้ใช้ควรรับมืออย่างจริงจัง
- Apple ระบุว่าไม่สามารถให้รายละเอียดเพิ่มเติมเกี่ยวกับสาเหตุที่ส่งการแจ้งเตือนได้ เพราะผู้โจมตีอาจเปลี่ยนวิธีการเพื่อหลบเลี่ยงการตรวจจับในอนาคต
การแจ้งเตือนซ้ำและการเปลี่ยนคำศัพท์
- Apple ส่งการแจ้งเตือนประเภทนี้ หลายครั้งต่อปี และระบุไว้ในหน้าสนับสนุนว่าตั้งแต่ปี 2021 เป็นต้นมา บริษัทได้แจ้งภัยคุกคามลักษณะคล้ายกันแก่ผู้ใช้ในกว่า 150 ประเทศ
- เมื่อเดือนตุลาคมปีก่อน คำเตือนแบบเดียวกันนี้ก็ถูกส่งไปยังนักข่าวและนักการเมืองหลายคนในอินเดีย
- หลังจากนั้น Amnesty International รายงานว่าพบสปายแวร์แบบแทรกซึม Pegasus ของ NSO Group บริษัทสปายแวร์จากอิสราเอล บน iPhone ของนักข่าวสื่อหลักในอินเดีย
- ผู้ที่ได้รับการแจ้งเตือนภัยคุกคามล่าสุดยังรวมถึงผู้ใช้ในอินเดียด้วย ตามคำบอกเล่าของแหล่งข่าวที่ทราบเรื่อง
- การแจ้งเตือนครั้งนี้มาถึงในช่วงที่หลายประเทศกำลังเตรียมการเลือกตั้ง
- เมื่อไม่นานมานี้ บริษัทเทคโนโลยีหลายแห่งได้เตือนถึงกิจกรรมที่ได้รับการสนับสนุนจากรัฐซึ่งเพิ่มขึ้น โดยมีเป้าหมายเพื่อมีอิทธิพลต่อผลการเลือกตั้งบางแห่ง
- ตัวการแจ้งเตือนของ Apple เองไม่ได้กล่าวถึงช่วงเวลาการส่ง
- ก่อนหน้านี้ Apple เคยเรียกผู้โจมตีว่า “state-sponsored” แต่ปัจจุบันได้เปลี่ยนถ้อยคำที่เกี่ยวข้องทั้งหมดเป็น “mercenary spyware attacks”
- การโจมตีด้วยสปายแวร์รับจ้างอย่าง Pegasus ถูกจัดอยู่ในประเภทที่ ซับซ้อนกว่ามาก และพบได้ยากเป็นพิเศษ เมื่อเทียบกับอาชญากรรมไซเบอร์ทั่วไปหรือมัลแวร์สำหรับผู้บริโภค
- Apple ระบุว่าใช้เพียง ข้อมูลข่าวกรองภัยคุกคามภายในและการสืบสวน ในการตรวจจับการโจมตีลักษณะนี้
- เอกสารที่เกี่ยวข้อง: เครื่องมือตรวจสอบว่า Pegasus ของ NSO เคยมุ่งเป้าไปที่โทรศัพท์ของคุณหรือไม่
1 ความคิดเห็น
ความเห็นจาก Hacker News
มีเธรดบน Reddit จากคนที่ได้รับคำเตือนแบบนี้: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
สิ่งที่น่าสนใจคือเจ้าตัวอ้างว่าตัวเองเป็นแค่ นักศึกษามหาวิทยาลัยธรรมดา แต่ถ้าเป็นสายลับตัวจริงก็คงไม่ไปถามใน Reddit เลยฟังดูพอเป็นไปได้อยู่
เลยสงสัยว่าแฮ็กเกอร์เลือกเป้าหมายจากเกณฑ์อย่างเบอร์โทรศัพท์หรือเปล่า ก็พอนึกภาพได้ว่านักศึกษาคนนั้นเพิ่งได้เบอร์ใหม่มาไม่นาน และเบอร์นั้นอาจเคยเชื่อมโยงกับเป้าหมายก่อนหน้านี้ แต่ก็น่าจะต้องมีวิธีเลิกใช้เบอร์ที่ถูกระบุว่าเป็นของเป้าหมายแล้วไม่ใช่หรือ
ถ้าสามารถควบคุมนักเคลื่อนไหวและทำลายความน่าเชื่อถือของพวกเขาได้ นั่นคือพลังมหาศาล คงไม่แปลกเลยถ้า backdoor ของ xz compression จะเป็นความพยายามของรัฐบาลบางแห่งที่จะได้ความสามารถในการโค่นล้มหรือทำให้ใครก็ตามที่ต่อต้านตนเองเสื่อมเสียได้
พอมองทั้ง Metaverse, สปายแวร์แบบรับจ้าง, การกำหนดเป้าหมายสงครามด้วย AI, ไปจนถึงโดรนสังหาร ก็อดสงสัยไม่ได้ว่าใครกันที่อ่าน Neuromancer แล้วคิดว่า “ช่างเป็นภาพอนาคตที่สดใสจริง ๆ! เราจะทำวิสัยทัศน์อนาคตอันยอดเยี่ยมนี้ให้เกิดขึ้นได้อย่างไร?”
บริษัทเทคโนโลยี: ในที่สุดเราก็สร้าง Torment Nexus จากนิยายไซไฟคลาสสิกเรื่อง “อย่าสร้าง Torment Nexus” ได้สำเร็จแล้ว
https://twitter.com/AlexBlechman/status/1457842724128833538
หรือไม่ก็เป็นคนที่ไม่เคยอ่าน 1984 เลย จึงไม่เข้าใจคำเตือนนั้น
แล้วสุดท้ายมันก็ไม่เคยถูกแก้ เราเหมือนยังคงเร่งให้เร็วขึ้น ถูกลงต่อไป ถ้าลดน้ำหนักไปเรื่อย ๆ อีกไม่นานก็คงต้องตัดแขนตัดขาแล้ว ถ้าข้าราชการหรือผู้จัดการที่เก่งก่อนหน้านี้ตัดส่วนเกินออกไปหมดแล้ว คนถัดไปก็แทบไม่เหลืออะไรให้ตัด แถมไขมันบางส่วนก็มีประโยชน์จริง ๆ
ที่นี่เองก็มีคนจำนวนมากที่เชื่อว่า “เทคโนโลยีเพื่อเทคโนโลยี” เป็นสิ่งที่ดี หรือเชื่อว่า เทคโนโลยี ใด ๆ ก็ตามล้วนเป็นความก้าวหน้าทางสังคมโดยเนื้อแท้ และความก้าวหน้า === ความดี
ถ้าได้รับข้อความอย่าง “Apple ตรวจพบว่าคุณกำลังตกเป็นเป้าหมายของ การโจมตีด้วยสปายแวร์แบบรับจ้าง ที่พยายามเจาะ iPhone ที่เชื่อมโยงกับ Apple ID -xxx- ของคุณจากระยะไกล” ฉันคงคิดว่าเป็นส่วนหนึ่งของการหลอกลวงแบบฟิชชิง
จะรู้ได้อย่างไรว่าสิ่งนี้เป็นของจริง? ยิ่งถ้ามันดูต่างจากข้อความอื่นที่ปกติได้รับ ก็ยิ่งมีแนวโน้มจะคิดว่าปลอม
มาทีหลังถึงรู้ว่าตามคอมเมนต์ด้านล่าง ถ้าไปล็อกอินที่ appleid.apple.com ก็จะตรวจสอบได้ แบบนั้นก็น่าเชื่อถือพอ
https://support.apple.com/en-lamr/102174
ถ้าธนาคารติดต่อมาเรื่องการฉ้อโกงบัตรเครดิต แล้วมีปุ่มใหญ่ ๆ ว่า “คลิกที่นี่เพื่อล็อกอิน” ฉันจะสงสัยมาก ตรงกันข้าม ถ้ามีแค่ข้อมูลและลงท้ายประมาณว่า “หากต้องการรายละเอียดเพิ่มเติม กรุณาติดต่อสาขาใกล้บ้าน” โดยไม่มีลิงก์หรือเบอร์โทร ก็จะน่าสงสัยน้อยกว่า
ไม่เข้าใจเลยว่าทำไม Pegasus กับ NSO ถึงยังได้รับอนุญาตให้มีอยู่ต่อไป รู้ว่าเป็นบริษัทอิสราเอล แต่ถึงอย่างนั้น รัฐบาลอิสราเอลเคยดำเนินการอะไรกับพวกเขาบ้างไหม? นี่แทบจะเป็นพฤติกรรมแบบ รัฐอันธพาล อยู่แล้ว
ผู้ใช้ Android อาจมีสถานการณ์ที่ร้ายแรงกว่ามาก เพียงแต่ Google ไม่เปิดเผย
พอเห็นเรื่องนี้ก็เริ่มคิดจะย้ายไป Apple อย่างจริงจัง ไม่ใช่เพราะ Apple ปลอดภัยกว่า แต่เพราะมี ความตั้งใจที่จะแจ้งให้ผู้ใช้ทราบ ถึงขนาดนี้
ความเป็นโอเพนซอร์สของ Android ทำให้มีโอกาสที่นักวิจัยด้านความปลอดภัยจะพบสิ่งเหล่านี้ก่อน อย่าลืมด้วยว่า Zerodium ยังจ่ายเงินให้กับ Android 0-day มากกว่า iOS 0-day
นอกจากนี้ยังมีความแตกต่างของอุปกรณ์ระหว่าง Samsung, Google, Moto, Huawei ฯลฯ มาก ทำให้ exploit เดียวสำเร็จได้ยากกว่าราวสามเท่า
หมายความว่าเมื่อพบการติดเชื้อในที่สุด Apple สามารถแยกจุดเริ่มต้นของช่องโหว่ออกมา แล้วสแกนอุปกรณ์ทั้งหมดอีกครั้งเพื่อตรวจหาเครื่องที่อาจตกเป็นเป้าของการโจมตีแบบเดียวกันได้
ในมุมมองระดับกลุ่ม การแฮชข้อมูลที่สามารถทำหน้าที่เป็นลายนิ้วมือก็ดูสมเหตุสมผล สุดโต่งหน่อยก็อาจเป็นอะไรเรียบง่ายอย่าง call stack หลังรับ iMessage
อีกอย่างก็ไม่คิดว่า Google จะต้องรับผิดชอบเฝ้าดูและแจ้งเตือนให้ถึงโทรศัพท์จากผู้ผลิตรายอื่นอย่าง Samsung หรือ Motorola ด้วย
“การโจมตีด้วยสปายแวร์รับจ้าง เช่นที่ใช้ Pegasus ของ NSO Group นั้นพบได้น้อยมาก และมีความซับซ้อนกว่าการก่ออาชญากรรมไซเบอร์ทั่วไปหรือมัลแวร์ผู้บริโภคมาก”
ถ้าอย่างนั้น การทำให้เป้าหมายได้รับ คำเตือนจาก Apple เองก็อาจเป็นส่วนหนึ่งของปฏิบัติการที่ซับซ้อน
เป้าหมายเหล่านี้จะตอบสนองในแบบใดแบบหนึ่ง หรือเลี่ยงไม่ตอบสนองไม่ได้ นี่คือการล่อคนที่ซ่อนตัวอยู่ให้ออกมา และทำให้เกิดปฏิกิริยาเพียงเพื่อเฝ้าดูพฤติกรรม
จากนั้นเป้าหมายจะทำอะไรต่อ? เปลี่ยนโทรศัพท์ไหม? เข้าใช้บริการดิจิทัลบางอย่างไหม? ส่งคำเตือนถึงเครือข่ายผ่านช่องทางสื่อสารปกติไหม? จากมุมมองของผู้สังเกตการณ์ก็น่าสนใจไม่น้อย
Apple: “หากคุณได้รับ Apple threat notification เราขอแนะนำอย่างยิ่งให้ขอความช่วยเหลือจากผู้เชี่ยวชาญ เช่น การสนับสนุนด้านความปลอดภัยฉุกเฉินแบบเร่งด่วนจาก Digital Security Helpline ขององค์กรไม่แสวงหากำไร Access Now ผู้ที่ได้รับ Apple threat notification สามารถติดต่อ Digital Security Helpline ได้ตลอด 24 ชั่วโมงทุกวันผ่านเว็บไซต์ขององค์กร หน่วยงานภายนอกไม่มีข้อมูลว่าเหตุใด Apple จึงส่ง threat notification แต่สามารถช่วยให้คำแนะนำด้านความปลอดภัยที่เหมาะกับผู้ใช้ที่ตกเป็นเป้าหมายได้”
https://support.apple.com/en-lamr/102174
Amnesty International: “Access Now Helpline และพันธมิตรภาคประชาสังคมอื่น ๆ ของ Security Lab ก็พร้อมสนับสนุนบุคคลที่ได้รับการแจ้งเตือนจาก Apple เช่นกัน”
https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
น่าประหลาดใจที่หลังจาก FBI เจาะ iPhone ได้ในปี 2018 แล้ว ยังมีคนเก็บความลับไว้ใน iPhone อีก
ถ้าอยากรู้ว่าข้อความจริงหน้าตาเป็นอย่างไร มีผู้ใช้ Reddit โพสต์ไว้พร้อมเวอร์ชันก่อนหน้าจากปี 2023 แม้จะไม่ครบทั้งหมด: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
สปายแวร์นี้เป็นไปได้เพราะ ข้อบกพร่องทางวิศวกรรม ของผลิตภัณฑ์ Apple หรือไม่?
แต่ซอฟต์แวร์ที่มีความหมายและไม่มีข้อบกพร่องแบบนี้เลยไม่เคยมีอยู่จริง พูดอีกอย่างคือ สำหรับการโจมตีประเภทนี้ iOS น่าจะดีกว่าแพลตฟอร์มอื่นส่วนใหญ่
https://darknetdiaries.com/episode/100/
ฟังดูเหมือนจะครอบคลุมแทบทุกประเทศอยู่แล้ว เลยสงสัยว่าทำไมถึงแจ้งไปเพียง 92 ประเทศ
ไม่ได้ระบุว่าเป็น 92 ประเทศ ไหนบ้าง