แฮกเกอร์ใช้ Blockchain เป็นฐานซ่อนมัลแวร์ที่ลบไม่ได้
นักวิจัยด้านความปลอดภัยจาก Google ได้เปิดเผยถึงภัยคุกคามรูปแบบใหม่ที่กำลังเป็นที่นิยมในหมู่แฮกเกอร์ โดยพบว่ากลุ่มอาชญากรไซเบอร์กำลังใช้ประโยชน์จากเทคโนโลยี blockchain สาธารณะเป็นที่เก็บข้อมูลและโฮสต์มัลแวร์ที่แทบจะเรียกได้ว่า “ไม่สามารถกำจัดได้” เนื่องจากธรรมชาติของ blockchain ที่ข้อมูลจะถูกเก็บไว้อย่างถาวรและกระจายอยู่ในระบบเครือข่ายแบบกระจายศูนย์
ช่องโหว่จากจุดแข็งของ Blockchain
Blockchain หรือเทคโนโลยีบัญชีแยกประเภทแบบกระจาย (Distributed Ledger Technology) ได้รับการออกแบบมาให้ข้อมูลที่บันทึกลงไปไม่สามารถแก้ไขหรือลบออกได้ และจะถูกจัดเก็บซ้ำกันในหลายพันโหนดทั่วโลก คุณสมบัติที่เป็นจุดแข็งสำหรับความโปร่งใสและความน่าเชื่อถือของระบบ กลับกลายเป็นช่องโหว่ที่แฮกเกอร์สามารถใช้ประโยชน์ได้
นักวิจัยพบว่าแฮกเกอร์กำลังฝังข้อมูลมัลแวร์ ที่อยู่ของเซิร์ฟเวอร์สั่งการและควบคุม (Command and Control Server) และโค้ดที่เป็นอันตรายลงในธุรกรรมหรือสมาร์ทคอนแทรคต์บน blockchain สาธารณะต่างๆ เช่น Ethereum, Bitcoin และ Binance Smart Chain เมื่อข้อมูลถูกบันทึกลงใน blockchain แล้ว จะไม่สามารถลบออกได้ และจะคงอยู่ตลอดไปตราบเท่าที่ blockchain นั้นยังมีอยู่
วิธีการทำงานของเทคนิคใหม่
แฮกเกอร์ใช้เทคนิคนี้ในหลายรูปแบบ รูปแบบหนึ่งคือการฝังข้อความที่เข้ารหัสไว้ในช่องข้อมูล (Data Field) ของธุรกรรม blockchain ซึ่งมัลแวร์ที่ติดไว้ในเครื่องเหยื่อจะค้นหาและอ่านข้อมูลเหล่านี้เพื่อรับคำสั่งหรือดาวน์โหลดโมดูลเพิ่มเติม
อีกรูปแบบหนึ่งคือการใช้สมาร์ทคอนแทรคต์เป็นที่เก็บโค้ดมัลแวร์ เนื่องจากสมาร์ทคอนแทรคต์สามารถเก็บโค้ดและข้อมูลได้ และทุกคนสามารถเรียกดูและเรียกใช้งานได้ ทำให้เป็นช่องทางที่สะดวกสำหรับการกระจายมัลแวร์
นอกจากนี้ บางกลุ่มยังใช้ Non-Fungible Token (NFT) ในการซ่อนข้อมูลมัลแวร์ โดยฝังโค้ดที่เป็นอันตรายไว้ในข้อมูลเมตาดาต้า (Metadata) ของ NFT หรือในไฟล์ที่เชื่อมโยงกับ NFT
ข้อดีสำหรับแฮกเกอร์
เทคนิคนี้มีข้อได้เปรียบหลายประการสำหรับแฮกเกอร์:
ไม่สามารถปิดกั้นได้: เนื่องจากข้อมูลถูกเก็บไว้ใน blockchain ซึ่งเป็นระบบกระจายศูนย์ที่ไม่มีใครเป็นเจ้าของเพียงคนเดียว หน่วยงานบังคับใช้กฎหมายหรือบริษัทด้านความปลอดภัยไม่สามารถสั่งปิดเซิร์ฟเวอร์หรือลบข้อมูลออกได้
ถาวรและเข้าถึงได้ตลอดเวลา: ข้อมูลบน blockchain จะคงอยู่ตลอดไป และสามารถเข้าถึงได้จากทุกที่ในโลกที่มีการเชื่อมต่ออินเทอร์เน็ต
น่าเชื่อถือและไม่ง่ายที่จะถูกสงสัย: การเข้าถึง blockchain เป็นกิจกรรมที่ถูกกฎหมายและเป็นปกติ ทำให้ยากต่อการตรวจจับว่ามัลแวร์กำลังติดต่อกับที่อยู่ที่เป็นอันตราย
ต้นทุนต่ำ: การบันทึกข้อมูลลง blockchain ต้องเสียค่าธรรมเนียม (Gas Fee) เพียงเล็กน้อย ซึ่งต่ำกว่าการเช่าเซิร์ฟเวอร์หรือใช้บริการโฮสติ้งมาก
ผลกระทบต่อภาคธุรกิจและผู้ใช้งาน
การค้นพบนี้สร้างความท้าทายใหม่ให้กับวงการความปลอดภัยไซเบอร์ เนื่องจากเครื่องมือป้องกันแบบดั้งเดิมที่พึ่งพาการบล็อก URL หรือ IP Address ที่เป็นอันตรายจะไม่สามารถทำงานได้ผลเท่าที่ควร เพราะ blockchain เป็นบริการที่ถูกกฎหมายและมีผู้ใช้งานจำนวนมาก
องค์กรต่างๆ ต้องปรับกลยุทธ์ด้านความปลอดภัยเพื่อรับมือกับภัยคุกคามรูปแบบใหม่นี้ การบล็อกการเข้าถึง blockchain ทั้งหมดไม่ใช่ทางเลือกที่เป็นไปได้ โดยเฉพาะสำหรับองค์กรที่ใช้เทคโนโลยี blockchain ในการดำเนินธุรกิจ
แนวทางป้องกัน
ผู้เชี่ยวชาญแนะนำแนวทางป้องกันหลายประการ:
การตรวจสอบพฤติกรรมที่ผิดปกติ: มุ่งเน้นที่การตรวจจับพฤติกรรมของมัลแวร์มากกว่าการบล็อก URL เช่น การตรวจสอบการเข้าถึง blockchain API บ่อยครั้งผิดปกติ หรือการทำธุรกรรมที่มีรูปแบบน่าสงสัย
การวิเคราะห์ข้อมูลในระดับลึก: ใช้เครื่องมือที่สามารถวิเคราะห์เนื้อหาของธุรกรรม blockchain และตรวจหารูปแบบที่เกี่ยวข้องกับมัลแวร์
การอัปเดตซอฟต์แวร์ความปลอดภัย: ให้แน่ใจว่าโซลูชันป้องกันมัลแวร์ได้รับการอัปเดตเพื่อรองรับการตรวจจับเทคนิคใหม่นี้
การฝึกอบรมพนักงาน: เพิ่มความตระหนักรู้เกี่ยวกับภัยคุกคามรูปแบบใหม่และวิธีการหลีกเลี่ยงการติดมัลแวร์ตั้งแต่ต้น
การแบ่งแยกเครือข่าย: จำกัดการเข้าถึง blockchain API เฉพาะระบบที่จำเป็นต้องใช้งานจริงเท่านั้น