WannaCry เมื่อเราถูกลักพาตัวโดยไม่รู้ตัว - เพจวันนี้ชั้นติ่งอะไร

ไม่กี่เดือนที่ผ่านมา ณ งานสัมนาของกระทรวงใหญ่แห่งหนึ่ง ผู้บริหารระดับสูงยอมรับผ่านเลคเชอร์สั้นๆเกี่ยวกับโลกแห่งอนาคตว่า เมื่อ 2 ปีที่แล้วมา พวกเราโดนโจรไซเบอร์ปล้น

ทว่าผู้ร่วมงานส่วนใหญ่ยังงุนงง และคงไม่ทราบว่า เรื่องนี้นั้นร้ายแรงเพียงใด

2 ปีก่อน คือช่วงเวลาที่ “WannaCry” กำลังคุกคามเสถียรภาพของมนุษยชาติทั่วโลกนั่นเอง

พวกเราทุกคนอาจ “ถูกลักพาตัวโดยไม่รู้ตัว”

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

กลางปี 2017 ระบบของโรงพยาบาลต่างๆในประเทศอังกฤษล่มพร้อมกัน การรักษาพยาบาล แม้ฟังดูเหมือนไม่เกี่ยวกับคอมพิวเตอร์นัก แต่มีสิ่งใดในโลกขณะนี้ไม่เกี่ยวกับคอมพิวเตอร์ เจ้าหน้าที่ไม่สามารถรับผู้ป่วยเข้าระบบได้ ไม่สามารถดูแลให้การรักษาใดๆที่ต้องใช้ระบบคอมพิวเตอร์เข้ามาเกี่ยวข้องได้ เกิดความโกลาหลวุ่นวาย ผู้ป่วยหลายรายสูญเสียโอกาสการรักษาอย่างไม่มีวันหวนคืน

สิ่งนี้มิได้เกิดเฉพาะกับระบบการรักษา และมิได้เกิดเฉพาะกับอังกฤษ แต่เกิดกับระบบการผลิตการค้าการคลัง ตลอดจนข้อมูลความลับของประชาชนอันเปราะบาง จากประเทศต่างๆทั่วโลก

เกิดอะไรขึ้นกันแน่ในคืนนั้น ..

ย้อนกลับไปต้นปี 2017 องค์กรเพื่อความมั่นคงของสหรัฐฯออกมายอมรับ พวกเขาพัฒนาซอฟต์แวร์เล็กๆชิ้นหนึ่ง ซึ่งสามารถโจมตีช่องโหว่ที่ซ่อนอยู่ของระบบปฏิบัติการ Windows ได้ ชื่อของมันคือ EternalBlue

เพื่อการใดไม่อาจทราบได้ EternalBlue ถูกเก็บเป็นความลับล้ำค่าของสหรัฐฯมาโดยตลอด จวบจน Shadow Broker แฮกเกอร์กลุ่มหนึ่งได้มันไปอย่างไม่คาดฝัน สหรัฐฯก็ร้อนรนขึ้นทันที

Windows อัพเดท patch ครั้งใหญ่เพื่ออุดช่องโหว่ แต่ผู้คนจำนวนมากไม่ทราบเหตุการณ์ที่เกิดขึ้น ต่างใช้ชีวิตตามปกติ และกดปิดคำเตือนเมื่อระบบแนะนำให้อัพเดทซอฟต์แวร์

แล้ว “WannaCry” malware ที่ได้ชื่อว่าร้ายกาจที่สุดก็ปรากฏตัวขึ้น

12 พฤษภาคม 2017 Wannacry เริ่มระบาดไปตามเนตเวิร์กต่างๆ มันเข้าไปล็อกข้อมูลของเครื่องนั้นๆ และแพร่กระจายการติดเชื้อสู่คอมพิวเตอร์ตัวอื่นในระบบอย่างรวดเร็ว เพียงชั่วข้ามคืนเดียว มีคอมพิวเตอร์ถูกล็อกกว่า 230,000 เครื่อง กระจายไปกว่า 150 ประเทศทั่วโลก

“ส่งเงินในสกุล Bitcoin มา” Wannacry ยื่นคำขาด เรียกค่าไถ่จำนวนหนึ่งเพื่อปลดล็อกระบบที่ติดเชื้อ

มีประกาศเตือนออกมามากมาย รัฐบาลต่างๆพยายามให้ความมั่นใจว่าเหตุนี้จะถูกจัดการ แต่ในตอนท้ายของเหตุการณ์ กลับมีองค์กรมากมายยอมเสียค่าไถ่ กระทั่งราคา Bitcoin พุ่งทะยานทะลุฟ้า

เหตุการณ์นี้เขย่าโลกอย่างแท้จริง 

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 

แล้วการต่อสู้ก็เริ่มขึ้น

บ่ายวันนั้น Marcus Hutchins และ Jamie Hankins สองหนุ่มจากบริษัทไซเบอร์แห่งหนึ่ง รับว่าจ้างให้หาทางแก้ไข พวกเขาพบบางสิ่งโดยบังเอิญ

ในตัวของ WannaCry มีจุดตายซ่อนอยู่

ผู้สร้างกำหนดให้ WannaCry ต้องทำการเชื่อมต่อกับ domain หนึ่งก่อนเริ่มงาน (สำหรับท่านที่งง เราอาจมองว่ามันคล้ายการเชื่อมต่อเว็บไซต์ก็ได้ค่ะ) หากเชื่อมต่อได้ WannaCry จะหยุดทำงาน แต่หากเชื่อมต่อไม่ได้ มันจะทำการล็อกคอมพิวเตอร์ และแบ่งตัวแพร่กระจายในทันที

เงื่อนไขดังกล่าวแม้ฟังดูย้อนแย้ง แต่เป็นจริงตามนั้น แม้ในปัจจุบัน ก็ยังไม่มีใครทราบเบื้องหลังของเงื่อนไขดังกล่าวเลย

Domain ดังกล่าวเดิมทีไม่มีผู้จดทะเบียนใช้จริง เมื่อ WannaCry ส่งสัญญาณเชื่อมต่อ จึงต่อไม่ได้

ทันทีที่ทราบ Marcus ตัดสินใจจ่ายเงินราว ๆ 400 บาท ลงทะเบียน domain นั้นให้มีขึ้นจริง ให้ WannaCry เชื่อมต่อได้จริง

ด้วยวิธีการนี้ WannaCry ทั่วโลกจึงหยุดทำงานทันที!

แต่ทุกสิ่งมิได้จบลงง่ายดายปานนั้น

เมื่อฝ่ายเราตอบโต้ ศัตรูย่อมตีโต้คืน

ไม่นานเซิร์ฟเวอร์ที่ Marcus และ Jamie ใช้บริการลงทะเบียน domain ถูกถล่มด้วยสัญญาณขอเชื่อมต่อมหาศาล ศัตรูหวังจะฟลัชเซิร์ฟเวอร์ดังกล่าวจนล่ม เพื่อให้ WannaCry เชื่อมต่อไม่ได้และเริ่มทำงาน พวกเขาจึงปรับกลยุทธ์และย้าย domain ดังกล่าว ไปอยู่ในการดูแลของบริษัทใหญ่ที่ชื่อ Cloudflare

เหตุการณ์ขณะนั้นตึงเครียด ราวกับออกมาจากหนัง Sci-Fi ชั่วเสี้ยววินาทีที่คลาดสายตาไป WannaCry อาจแพร่กระจายเกินยับยั้งได้ในชั่วพริบตา

เมื่อ Marcus และ Jamie เริ่มอ่อนล้า การต่อสู้ครั้งสุดท้าย(?)ก็มาถึง

ฝ่าย WannaCry ใช้ Mirai ถล่มเซิร์ฟเวอร์ของพวกเขาในที่สุด

Mirai เป็นเครื่องมือชิ้นหนึ่ง ที่ใช้สร้างสัญญาณปริมาณมหาศาล เพื่อถล่มเป้าหมายทางไซเบอร์ มันทรงพลังถึงขั้นเคยล่มประเทศไลบีเรียทั้งประเทศมาแล้วอย่างง่ายดาย

แต่เมื่อโลกทั้งใบวางอยู่ในอุ้งมือ

พวกเขาจึงแพ้ไม่ได้

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

ในตอนท้าย เราทราบว่าพวกเขาปรับระบบการรองรับสัญญาณของ domain เสียใหม่ และชนะในศึกสุดท้ายนี้แต่นั่นอาจไม่ใช่ชัยชนะที่ยืนยง

แท้จริงแล้ว เราเพียงหยุดการทำงานของ WannaCry แต่มิได้ทำลาย WannaCry

คอมพิวเตอร์ที่ติดเชื้อ ยังคงมี WannaCry ฝังอยู่ภายใน หากแต่ไม่อาจทำงานได้ ด้วยเพราะ domain ได้รับการเชื่อมต่อ โดยที่เจ้าของเครื่อง อาจไม่เคยรู้เลยก็ตามที

ตลอด 2 ปีที่ผ่านมา ยังคงมีสัญญาณจาก WannaCry ส่งหา domain อยู่เสมอ

24 มิถุนายน 2019 ที่สุดแล้ว Cloudflare ก็ล่ม

เช้าวันนั้นเกิดความโกลาหล ด้วยทุกคนทราบดี Cloudflare คือที่อยู่ของ domain ของ WannaCry

หาก Cloudflare ล่ม domain ย่อมออฟไลน์

เมื่อสัญญาณเชื่อมต่อไม่ได้

WannaCry จะกลับมาอาละวาดอีกครั้ง!!

แต่โชคดี Cloudflare ล่มด้วยเหตุบางอย่างที่ต่างไป พวกเขาปกป้อง domain ไว้ได้ ผี WannaCry ยังถูกกักขังไว้ดังเดิม

รอจนวันหนึ่ง ที่เสถียรภาพของโลกมีช่องโหว่ สงครามไซเบอร์จะปะทุอีกครั้ง

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

กลางเดือนพฤษภาคมปีนั้น ระบบโรงพยาบาลขนาดใหญ่ 2-3 แห่งในกรุงเทพฯล่มไล่เลี่ยกัน และใช้เวลาซ่อมแซมนานกว่าปกติ จนเกิดความวุ่นวาย

เจ้าหน้าที่บางส่วนตื่นตระหนก มีการตั้งข้อสงสัยในโซเชียล ว่าเราอาจติด WannaCry

อย่างไรก็ตามเช้าวันถัดมา ส่วนกลางแจ้งว่าไฟตก และทุกอย่างกลับคืนสู่ความสงบในที่สุด

เรื่องนี้ไม่ทราบจริงเท็จแค่ไหน แต่ดูเหมือนเสถียรภาพทางไซเบอร์ของประเทศเรา ยังคงมีปัญหาในหลายๆแง่มุม

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

พูดคุย:

ปัจจุบันนี้ โลกก้าวหน้าไปเร็วมากเลยค่ะ อย่างคนเขียนเกิดในยุคอนาล็อก รู้สึกเลยว่า ถ้าไม่ติดตามข่าวสารดีๆ รู้ตัวอีกที ก็ยืนงงในดงป้าแก่ไปแล้วค่า T^T

ติดตามบทความจากเพจวันนี้ชั้นติ่งอะไร ได้ทุกวันอังคารที่ 2 และ 4 ของทุกเดือน บน LINE TODAY เท่านั้น

อ้างอิง:

Wittaker, Z. (2019). The sinkhole that saved the internet – TechCrunch. [online] TechCrunch. Available at: https://techcrunch.com/2019/07/08/the-wannacry-sinkhole/?fbclid=IwAR1Krm6iNyDC0vO9sbrxulctpWwPRvMaw_wjINZxHB1xD52f1VdDUYdm1NA [Accessed 3 Aug. 2019].

En.wikipedia.org. (2019). WannaCry ransomware attack. [online] Available at: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack [Accessed 3 Aug. 2019].

ขอขอบพระคุณ คุณลงท้ายจดหมาย ผู้ช่วยตรวจสอบข้อมูล