Google เปิดเผยล่าสุดเกี่ยวกับ DarkSword ซึ่งเป็นสายโจมตีบน iOS ไม่ใช่เพียงแค่เหตุการณ์ด้านความปลอดภัยไซเบอร์ธรรมดา แต่ยังอาจส่งผลโดยตรงต่อความปลอดภัยของทรัพย์สินของผู้ใช้คริปโตเคอร์เรนซี เครื่องมือโจมตีนี้สร้างขึ้นจากช่องโหว่ Zero-day หลายรายการ ซึ่งได้รับการใช้งานอย่างแพร่หลายโดยซอฟต์แวร์สอดแนมเชิงพาณิชย์และกลุ่มแฮกเกอร์ระดับชาติ แม้แต่สามารถควบคุม iPhone ได้อย่างสมบูรณ์ เข้าถึงกระเป๋าเงินและข้อมูลสำคัญต่าง ๆ ได้
เนื่องจากอุปกรณ์เคลื่อนที่กลายเป็นทางเข้าแกนหลักของ Web3 การโจมตีขั้นสูงเช่นนี้บน iOS จึงทำให้ผู้ใช้ในวงการคริปโตเผชิญกับความเสี่ยงในระดับที่ไม่เคยมีมาก่อน
DarkSword คืออะไร? การเชื่อมต่อช่องโหว่หลายรายการเพื่อสร้างสายโจมตี “การบุกรุกสมบูรณ์”
จากการวิเคราะห์ของ Google Threat Intelligence Group (GTIG) DarkSword ไม่ใช่เพียงโปรแกรมอันตรายเดียว แต่เป็นสายโจมตีบน iOS ที่มีโมดูลหลายชั้นและเป็นระบบสูง ผู้โจมตีสามารถเชื่อมต่อช่องโหว่หลายรายการ (รวมถึง Zero-day) เริ่มจากการคลิกลิงก์อันตรายของผู้ใช้ ค่อย ๆ เจาะทะลุระบบความปลอดภัยของ iPhone ไปทีละขั้น
ลักษณะการทำงานของ “สายช่องโหว่ (exploit chain)” นี้คือการใช้ช่องโหว่หลายรายการร่วมกัน เริ่มจากการได้สิทธิ์เบื้องต้น แล้วค่อย ๆ ยกระดับสิทธิ์ไปยังระดับเคอร์เนลของระบบ สุดท้ายคือการควบคุมอุปกรณ์อย่างสมบูรณ์
การวิจัยชี้ให้เห็นว่า DarkSword สามารถข้ามกลไก sandbox และข้อจำกัดด้านสิทธิ์ของ iOS ได้ ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลและฟังก์ชันทั้งหมดของอุปกรณ์ในเวลาสั้น ๆ
ไม่ใช่แค่การสอดแนม: กระเป๋าเงินคริปโตและคีย์ส่วนตัวก็อาจรั่วไหลได้
แตกต่างจากซอฟต์แวร์สอดแนมแบบเดิม ๆ ความเสี่ยงของ DarkSword ได้ขยายไปสู่พื้นที่ของทรัพย์สินดิจิทัลอย่างเต็มที่
จากการสังเกตการณ์จริง แฮกเกอร์สามารถเข้าถึง:
- เนื้อหาข้อความและข้อมูลเข้าสู่ระบบบัญชี
- ประวัติการท่องเว็บและข้อมูลการยืนยันตัวตน
- ตำแหน่ง GPS และกิจกรรมบนอุปกรณ์
- ข้อมูลจากไมโครโฟนและเซ็นเซอร์
- ข้อมูลและใบรับรองของกระเป๋าเงินคริปโต
นั่นหมายความว่า หากผู้ใช้ใช้ Web3 Wallet หรือเก็บคีย์ส่วนตัวและรหัสเมโมรีบนมือถือ เมื่ออุปกรณ์ถูกโจมตี ทรัพย์สินอาจถูกโอนออกไปโดยไม่รู้ตัว
บางเวอร์ชัน (เช่น GhostKnife) ยังสามารถรับคำสั่งจากระยะไกลได้อย่างต่อเนื่อง เพื่อเฝ้าระวังและรอจังหวะโจรกรรมทรัพย์สิน
อุตสาหกรรมโจมตี: บริษัทซอฟต์แวร์สอดแนมและแฮกเกอร์ใช้เครื่องมือร่วมกัน
ลักษณะสำคัญอีกประการของ DarkSword คือระดับของการ “อาวุธและเชิงพาณิชย์” ที่สูงมาก Google ระบุว่าสายโจมตีนี้ได้รับการนำไปใช้โดยหลายองค์กร รวมถึงบริษัทด้านการตรวจสอบเชิงพาณิชย์และกลุ่มแฮกเกอร์ที่สงสัยว่ามีการสนับสนุนจากรัฐ กลุ่มเหล่านี้พัฒนารุ่นต่าง ๆ ของโมดูลอันตราย เช่น GhostSaber, GhostKnife ฯลฯ
รูปแบบนี้แสดงให้เห็นว่าเทคนิคการแฮกขั้นสูงกำลังถูกปล่อยออกมาจากกลุ่มรัฐเพียงไม่กี่กลุ่ม ไปสู่การเป็น “สินค้าด้านความปลอดภัยไซเบอร์” ที่สามารถซื้อขายและใช้งานได้โดยหลายฝ่าย
สำหรับวงการคริปโต นี่หมายความว่าขั้นตอนการโจมตีลดลง โอกาสและกลุ่มเป้าหมายที่อาจถูกโจมตีเพิ่มขึ้นอย่างมาก
ความเสี่ยงของ iPhone กว่าร้อยล้านเครื่องและผู้ใช้ Web3 ควรระวังมากขึ้น
การศึกษาคาดการณ์ว่าจำนวน iPhone ที่เสี่ยงต่อการถูกโจมตีอาจสูงถึง 220 ล้านถึง 270 ล้านเครื่อง ซึ่งครอบคลุมกลุ่มผู้ใช้ที่ใช้เวอร์ชัน iOS เฉพาะบางรุ่น
เนื่องจากหลายคนไม่ได้อัปเดตระบบทันที ทำให้ช่องโหว่ยังคงถูกใช้ประโยชน์ต่อเนื่องหลังจากการแพทช์ ซึ่งเป็นปัญหา “ความล่าช้าในการแพทช์” อย่างชัดเจน
ขณะนี้พบกิจกรรมโจมตีในหลายภูมิภาค และบางส่วนแพร่กระจายผ่านเว็บไซต์อันตรายหรือหน้าเพจปลอม ผู้ใช้ทั่วไปอาจถูกโจมตีโดยไม่รู้ตัว
สำหรับผู้ใช้ที่ทำธุรกรรม DeFi, NFT หรือการซื้อขายบนมือถือ ความเสี่ยงนี้ยิ่งรุนแรงขึ้น
Apple ได้แก้ไขแล้ว แต่ “ความเสี่ยงของกระเป๋าเงิน” ยังคงอยู่
Apple ได้ปล่อยอัปเดตด้านความปลอดภัยเพื่อปิดช่องโหว่และบล็อกแหล่งที่มาที่เป็นอันตรายบางส่วนแล้ว แต่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ส่วนใหญ่มองว่ายังไม่สามารถกำจัดความเสี่ยงได้อย่างสมบูรณ์
สาเหตุคือ การโจมตีแบบ DarkSword มีความสามารถในการสร้างสำเนาและเวอร์ชันต่าง ๆ ได้สูง หากเทคโนโลยีรั่วไหล อาจถูกนำไปใช้ใหม่โดยแฮกเกอร์จำนวนมาก
นอกจากนี้ ตลาดใต้ดินยังมีความต้องการเครื่องมือ exploit เพิ่มขึ้นอย่างต่อเนื่อง ทำให้การแพร่กระจายของการโจมตีเหล่านี้ง่ายขึ้น
บทความนี้ “iPhone เปิดเผยช่องโหว่รุนแรง ‘DarkSword’: แฮกเกอร์สามารถขโมยกระเป๋าเงินคริปโตและคีย์ส่วนตัว, ผู้ใช้ในวงการคริปโตกลายเป็นเหยื่อรายใหม่” เผยแพร่ครั้งแรกใน Chain News ABMedia
