วลี "บัญชี iCloud ของคุณกำลังถูกโจมตี" มันไม่ได้เป็นเพียงแค่คำเตือนทั่วไปอีกต่อไปแล้ว แต่กลายเป็นเพียงส่วนเล็กๆ ของภูเขาน้ำแข็งในปฏิบัติการจารกรรมทางดิจิทัลขนาดใหญ่ การสืบสวนล่าสุดได้เปิดเผยว่าเครือข่ายอาชญากรไซเบอร์ใช้ประโยชน์จากการเข้าถึงข้อมูลสำรอง iCloud เพื่อสอดแนมโปรไฟล์ที่มีความเสี่ยงเป็นพิเศษ
นี่ไม่ใช่เหตุการณ์โจมตีที่เกิดขึ้นเพียงครั้งเดียว แต่เรากำลังพูดถึงเหตุการณ์ที่เกิดขึ้นกับ... ปฏิบัติการแฮ็กที่ได้รับมอบหมาย การโจมตีเหล่านี้มุ่งเป้าไปที่นักข่าว นักกิจกรรม และเจ้าหน้าที่ของรัฐในภูมิภาคต่างๆ ทั่วโลก รวมถึงยุโรป กลุ่มเหล่านี้ผสมผสานการขโมยข้อมูลประจำตัว Apple ID และการเข้าถึง iCloud เข้ากับการติดตั้งสปายแวร์บนโทรศัพท์ Android ทำให้พวกเขาสามารถควบคุมชีวิตดิจิทัลของเหยื่อได้อย่างเกือบสมบูรณ์
แนวรบใหม่: เมื่อการแจ้งเตือน iCloud ซ่อนความพยายามในการสอดแนม
ข้อความที่ บัญชี iCloud ของคุณกำลังถูกโจมตี โดยปกติแล้วมันจะมาถึงในรูปแบบที่ปลอมตัวมา อีเมลหรือข้อความ ข้อความเหล่านี้ดูน่าเชื่อถือมาก ออกแบบมาให้ดูเหมือนข้อความจาก Apple จริงๆ เป้าหมายนั้นง่ายมาก คือหลอกให้ผู้ใช้ป้อน Apple ID และรหัสผ่านลงในหน้าเว็บปลอมที่ผู้โจมตีควบคุมอยู่
จากนั้น กลุ่มก็มีอิสระที่จะดำเนินการได้ เข้าถึงข้อมูลสำรอง iCloudนี่คือที่เก็บข้อมูลส่วนใหญ่ของ iPhone หรือ iPad ได้แก่ รูปภาพ รายชื่อติดต่อ ประวัติการโทร ข้อความ เอกสาร และในหลายกรณี ข้อมูลแอปพลิเคชันส่งข้อความ วิธีการโจมตีนี้ได้กลายเป็นทางเลือกที่ประหยัดกว่าการใช้สปายแวร์ที่ซับซ้อนสำหรับ iOS
นักวิจัยจากองค์กรด้านสิทธิดิจิทัล เช่น Access Now และ SMEX รวมถึงบริษัทด้านความปลอดภัยทางไซเบอร์ Lookout ได้บันทึกเหตุการณ์หลายครั้งที่ใช้กลยุทธ์นี้ในการเจาะระบบบัญชี iCloud ของเหยื่อ แม้ว่าหลายกรณีจะกระจุกตัวอยู่ในตะวันออกกลางและแอฟริกาเหนือก็ตาม นอกจากนี้ ยังมีการระบุเป้าหมายในสหราชอาณาจักรด้วย และมีข้อสงสัยเกี่ยวกับความเชื่อมโยงกับสถาบันต่างๆ ของสหรัฐฯ
การผสมผสานระหว่างกลวิธีทางสังคมและการเข้าถึงข้อมูลสำรองจากระยะไกล หมายความว่า ในทางปฏิบัติ ผู้โจมตีสามารถ ตรวจสอบกิจกรรมส่วนใหญ่ของอุปกรณ์ โดยไม่จำเป็นต้องมีสิ่งนั้นอยู่ในมือจริงๆ สำหรับนักข่าวหรือนักเคลื่อนไหว นั่นหมายถึงการเปิดเผยแหล่งข่าว ผู้ติดต่อที่สำคัญ และบทสนทนาส่วนตัว
ใครอยู่เบื้องหลังการโจมตี iCloud: ธุรกิจรับจ้างแฮ็กข้อมูล
เบื้องหลังคำเตือนเหล่านี้ที่ บัญชี iCloud ของคุณกำลังถูกโจมตี โดยปกติแล้วจะไม่มีมือสมัครเล่นที่ทำงานเพียงลำพัง แต่จะเป็นโครงสร้างที่จัดตั้งขึ้นอย่างเป็นระบบซึ่งดำเนินงานเหมือนบริษัทให้บริการทั่วไป เหล่านี้คือผู้ให้บริการแฮ็กตามสั่ง ซึ่งจากการตรวจสอบพบว่าทำงานให้กับลูกค้าหลายราย รวมถึงรัฐบาลและผู้ที่มีความเชื่อมโยงกับสถาบันของรัฐ
Lookout ได้เชื่อมโยงกิจกรรมส่วนหนึ่งนี้เข้ากับระบบนิเวศของ... บริษัทที่มีความเชื่อมโยงกับกลุ่ม BITTER APTถูกสงสัยว่ามีความเชื่อมโยงกับรัฐบาลอินเดีย หลังจากบริษัท Appin ซึ่งเป็นบริษัทจารกรรมทางไซเบอร์ที่ถูกกล่าวหาว่ากระทำการดังกล่าว ถูกปิดตัวลง มีรายงานว่าผู้กระทำการเหล่านี้บางส่วนได้ย้ายไปอยู่ในบริษัทขนาดเล็กที่ปกปิดตัวตนมากกว่า เช่น RebSec
โมเดลนี้มอบสิ่งต่อไปนี้ให้กับลูกค้า “การปฏิเสธที่ฟังดูสมเหตุสมผล”การดำเนินงานทางเทคนิค โครงสร้างพื้นฐาน และเครื่องมือต่างๆ ถูกควบคุมโดยผู้ขาย ทำให้ยากต่อการติดตามว่าใครอยู่เบื้องหลังการโจมตีจริงๆ สำหรับหน่วยงานภาครัฐหรือเอกชน การว่าจ้างบริษัทภายนอกเพื่อดำเนินการสอดแนมทางดิจิทัลอาจคุ้มค่ากว่าการซื้อลิขสิทธิ์ซอฟต์แวร์สอดแนมเชิงพาณิชย์ระดับสูง
จากข้อมูลของผู้เชี่ยวชาญที่ให้ข้อมูลในการศึกษาเหล่านี้ ผลลัพธ์ที่ได้คือตลาดที่กำลังขยายตัว การเข้าถึงบัญชี iCloud และบริการส่งข้อความโดยไม่ได้รับอนุญาต มันถูกนำเสนอราวกับเป็นเพียงบริการอีกอย่างหนึ่ง ความเป็นส่วนตัวที่ค่อนข้างสูง ประกอบกับต้นทุนที่ต่ำกว่า ทำให้ผู้เกี่ยวข้องจำนวนมากขึ้นสามารถใช้เครื่องมือเหล่านี้ได้ง่ายขึ้น
กลุ่มเป้าหมายหลัก: นักข่าว นักกิจกรรม และเจ้าหน้าที่
การโจมตีที่เริ่มต้นด้วยคำเตือนว่า บัญชี iCloud ของคุณกำลังถูกโจมตี ผลกระทบไม่ได้เกิดขึ้นกับประชากรทั้งหมดอย่างเท่าเทียมกัน กรณีที่ได้รับการบันทึกไว้ส่วนใหญ่มีสิ่งหนึ่งที่เหมือนกัน คือ พวกมันมุ่งเป้าไปที่บุคคลที่มีอิทธิพลในที่สาธารณะหรือเข้าถึงข้อมูลที่ละเอียดอ่อน
เหยื่อส่วนใหญ่ได้แก่... นักข่าวสืบสวน นักเคลื่อนไหวเพื่อสิทธิมนุษยชน และเจ้าหน้าที่รัฐองค์กร Access Now ได้บันทึกเหตุการณ์ที่ส่งผลกระทบต่อนักข่าวชาวอียิปต์อย่างน้อย 2 คน และนักข่าวชาวเลบานอน 1 คน โดยร่วมมือกับองค์กรระดับภูมิภาค SMEX
พื้นที่ที่ได้รับผลกระทบมากที่สุด ได้แก่ ประเทศต่างๆ ใน ตะวันออกใกล้และแอฟริกาเหนือเช่น อียิปต์ เลบานอน บาห์เรน สหรัฐอาหรับเอมิเรตส์ และซาอุดีอาระเบีย อย่างไรก็ตาม เจ้าหน้าที่สืบสวนยังระบุเป้าหมายในยุโรป โดยมีคดีที่เชื่อมโยงกับสหราชอาณาจักร รวมถึงเหยื่อที่อาจเกี่ยวข้องกับโครงสร้างในสหรัฐอเมริกาด้วย
รูปแบบทางภูมิศาสตร์นี้ชี้ให้เห็นถึงการใช้การจารกรรมทางดิจิทัลเป็น เครื่องมือเฝ้าระวังทางการเมืองและสังคมผู้โจมตีไม่ได้มุ่งหวังที่จะขโมยเงินหรือล็อกอุปกรณ์เพื่อเรียกค่าไถ่เป็นหลัก แต่ต้องการเข้าถึงข้อมูลเชิงกลยุทธ์ เช่น รายชื่อผู้ติดต่อ ปฏิทิน เนื้อหาข้อความ และเอกสาร
สำหรับผู้เสียหาย ผลที่ตามมาไม่ได้จำกัดอยู่แค่การสูญเสียความเป็นส่วนตัว การเข้าถึง iCloud หรือบริการส่งข้อความอย่างต่อเนื่องอาจก่อให้เกิดอันตรายได้ เป็นการทำให้แหล่งข่าวลับ สมาชิกในครอบครัว และผู้ร่วมงานตกอยู่ในอันตรายรวมถึงการขัดขวางการทำงานด้านสื่อสารมวลชนหรือการรณรงค์ทางสังคมด้วย
iCloud และ iPhone ถูกนำมาใช้ในการโจมตีอย่างไรบ้าง: ตั้งแต่การหลอกลวงไปจนถึงการเข้าถึงข้อมูลอย่างเต็มรูปแบบ
จุดเริ่มต้นที่พบบ่อยที่สุดเมื่อปรากฏคำเตือนดังกล่าวคือ บัญชี iCloud ของคุณกำลังถูกโจมตี นี่คือการหลอกลวงแบบฟิชชิ่ง: อีเมล ข้อความ SMS หรือลิงก์ที่นำคุณไปยังเว็บไซต์ปลอมที่ดูคล้ายกับเว็บไซต์ของ Apple มาก หน้าเว็บหลอกลวงเหล่านี้จะขอให้คุณป้อนข้อมูลประจำตัว Apple ID ของคุณ
เมื่อแฮกเกอร์ได้ชื่อผู้ใช้และรหัสผ่านแล้ว พวกเขาก็สามารถ... เข้าสู่ระบบบัญชี iCloud ของเหยื่อดาวน์โหลดข้อมูลสำรอง และในบางกรณี แก้ไขการตั้งค่าความปลอดภัยวิธีนี้ทำให้พวกเขาสามารถเข้าถึงประวัติการใช้งานอุปกรณ์ได้อย่างครบถ้วน แม้ว่าโทรศัพท์จะได้รับการอัปเดตหรือรีเซ็ตแล้วก็ตาม
Access Now เน้นย้ำว่าเทคนิคนี้มีความน่าสนใจเป็นพิเศษเพราะเกี่ยวข้องกับ... ต้นทุนต่ำกว่ามากเมื่อเทียบกับการใช้ประโยชน์จากช่องโหว่ขั้นสูง บนระบบ iOS แทนที่จะลงทุนในเครื่องมือที่มีราคาแพงและซับซ้อน กลุ่มแฮ็กเกอร์รับจ้างกลับอาศัยความไร้เดียงสาหรือความประมาทของผู้ใช้
นอกจากนี้ การเข้าถึง iCloud เป็นเวลานานยังเปิดโอกาสให้ผู้โจมตีสามารถเข้าโจมตีได้อีกด้วย รวบรวมข้อมูลอย่างเงียบๆ และต่อเนื่องโดยไม่จำเป็นต้องมีการโจมตีอย่างต่อเนื่อง การสำรองข้อมูลแต่ละครั้งสามารถให้ข้อมูลเพิ่มเติมเกี่ยวกับรายชื่อผู้ติดต่อ สถานที่ล่าสุด หรือบทสนทนาใหม่ๆ ได้
แอนดรอยด์ก็ตกเป็นเป้าสนใจเช่นกัน: บทบาทของสปายแวร์
ในขณะที่อยู่ในระบบนิเวศของแอปเปิล จุดสนใจอยู่ที่ข้อความที่ว่า บัญชี iCloud ของคุณกำลังถูกโจมตี นอกจากการขโมยข้อมูลประจำตัวแล้ว บนอุปกรณ์ Android กลยุทธ์นี้ยังเสริมด้วยการติดตั้งสปายแวร์ หนึ่งในเครื่องมือที่นักวิจัยระบุได้คือ ProSpy
ProSpy ถูกแจกจ่ายราวกับว่าเป็น... แอปพลิเคชันส่งข้อความหรือการสื่อสารที่ถูกต้องตามกฎหมายด้วยการเลียนแบบชื่อและดีไซน์ของแอปพลิเคชันยอดนิยม เช่น Signal, WhatsApp, Zoom, ToTok หรือ Botim ซึ่งใช้กันอย่างแพร่หลายในบางภูมิภาค ผู้ใช้จึงเข้าใจผิดคิดว่ากำลังติดตั้งแอปพลิเคชันที่คุ้นเคย แต่ในความเป็นจริงแล้ว พวกเขากำลังมอบอำนาจควบคุมให้กับผู้โจมตี
เมื่อเปิดใช้งานแล้ว สปายแวร์ประเภทนี้สามารถ... บันทึกอัตราการเต้นของหัวใจ เข้าถึงข้อความ รายชื่อติดต่อ ไมโครโฟน และกล้องนอกจากการส่งข้อมูลที่รวบรวมได้ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยอาชญากรไซเบอร์แล้ว โทรศัพท์มือถือยังกลายเป็นอุปกรณ์สำหรับการดักฟังและติดตามอย่างต่อเนื่องอีกด้วย
ในบางกรณี ผู้โจมตีได้พยายามด้วยเช่นกัน ลงทะเบียนอุปกรณ์ใหม่ที่อยู่ในการควบคุมของคุณในบัญชี Signal ของเหยื่อกลยุทธ์นี้ ซึ่งเคยพบเห็นในปฏิบัติการที่เชื่อว่าเป็นฝีมือของสายลับรัสเซียมาก่อน ช่วยให้สามารถรับสำเนาของการสนทนาได้โดยที่ผู้ใช้หลักไม่สังเกตเห็นการเปลี่ยนแปลงใดๆ ที่เห็นได้ชัด
การเข้าถึง iCloud บน iPhone และสปายแวร์บน Android ทำให้กลุ่มเหล่านี้ได้เปรียบ ครอบคลุมสภาพแวดล้อมดิจิทัลของกลุ่มเป้าหมายได้อย่างเกือบสมบูรณ์โดยไม่คำนึงถึงระบบปฏิบัติการที่พวกเขาใช้เป็นประจำทุกวัน
ทำไมจึงเป็นเรื่องยากที่จะรู้ว่าใครกำลังโจมตีบัญชี iCloud ของคุณ?
หนึ่งในความท้าทายที่ใหญ่ที่สุดของแคมเปญเหล่านี้คือความยากลำบากในการระบุตัวตนที่แท้จริงของผู้ที่อยู่เบื้องหลังข้อความเหล่านั้น บัญชี iCloud ของคุณกำลังถูกโจมตีโครงสร้างของบริษัทรับจ้างแฮ็กเกอร์นั้นถูกออกแบบมาเพื่อกระจายความรับผิดชอบอย่างแม่นยำ
โมฮัมเหม็ด อัล-มาสกาติ หัวหน้าสายด่วนด้านความปลอดภัยดิจิทัลของ Access Now อธิบายว่า การว่าจ้างบริษัทภายนอกมาดำเนินการในส่วนนี้จะช่วยได้ มันช่วยลดต้นทุนและซ่อนต้นทุนเหล่านั้นจากลูกค้าปลายทางเนื่องจากโครงสร้างพื้นฐานทางเทคนิคไม่ได้เปิดเผยว่าใครเป็นผู้ว่าจ้างงาน เซิร์ฟเวอร์ โดเมน และเครื่องมือต่างๆ จดทะเบียนในชื่อบริษัทผู้ให้บริการ ซึ่งมักดำเนินงานโดยใช้ชื่อองค์กรที่ไม่โปร่งใส
แม้ว่ากลุ่มอย่าง BITTER APT จะไม่ได้ใช้แพลตฟอร์มที่ทันสมัยที่สุดในตลาดเสมอไป แต่ก็พิสูจน์แล้วว่าวิธีการของพวกเขามีประสิทธิภาพ มีประสิทธิภาพเพียงพอที่จะดึงดูดภาคส่วนสำคัญๆความสมดุลระหว่างต้นทุน ความเรียบง่าย และผลลัพธ์ ทำให้โมเดลนี้แพร่หลายอย่างรวดเร็ว
สถานทูตและหน่วยงานของบางประเทศที่ถูกกล่าวถึงในการสอบสวน เช่น สถานทูตอินเดียในกรุงวอชิงตัน ดี.ซี. หลีกเลี่ยงการแสดงความคิดเห็นต่อสาธารณะเกี่ยวกับข้อกล่าวหาเหล่านี้ ซึ่งทำให้การระบุผู้กระทำผิดอย่างเป็นทางการมีความซับซ้อนยิ่งขึ้น องค์กรแต่ละแห่งที่เกี่ยวข้องกับการวิเคราะห์ ได้แก่ Access Now, SMEX และ Lookout ได้เผยแพร่ผลการค้นพบของตนแยกจากกัน โดยประสานลำดับเวลา แต่ยังคงรายงานของตนเองไว้
บริบทนี้ทำให้บรรดานักข่าว นักกิจกรรม เจ้าหน้าที่ และโดยทั่วไปแล้ว ผู้ใช้บริการต่างๆ เช่น iCloud ตกอยู่ในสถานการณ์ที่... เป็นการยากที่จะระบุว่าใครเป็นผู้รับผิดชอบต่อการโจมตีในท้ายที่สุดแม้ว่าจะตรวจพบว่าบัญชีดังกล่าวถูกแฮ็กแล้วก็ตาม
ปรากฏการณ์ที่กำลังเติบโตและสิ่งที่ผู้ใช้สามารถทำได้
ผู้เชี่ยวชาญเห็นพ้องกันว่าการใช้ข้อความที่ว่า บัญชี iCloud ของคุณกำลังถูกโจมตี การใช้การเฝ้าระวังทางดิจิทัลเป็นเหยื่อล่อในการปฏิบัติการจารกรรมเป็นเพียงส่วนหนึ่งของปรากฏการณ์ที่กว้างกว่านั้น นั่นคือ การกลายเป็นเรื่องปกติของการจารกรรมทางดิจิทัลต้นทุนต่ำ รัฐบาลและภาคเอกชนสามารถว่าจ้างบริการประเภทนี้ได้ง่ายขึ้นเรื่อยๆ โดยมีระดับการปกปิดตัวตนสูง
ผลกระทบนั้นเห็นได้ชัดเจนโดยเฉพาะในภาคส่วนต่างๆ เช่น วารสารศาสตร์ การเคลื่อนไหวทางสังคม และการบริหารราชการแผ่นดินในบริบทนี้ การรั่วไหลของข้อมูลที่ละเอียดอ่อนอาจส่งผลกระทบทางการเมือง ทางกฎหมาย และแม้กระทั่งต่อตัวบุคคล อย่างไรก็ตาม พลเมืองทุกคนที่ใช้ iCloud หรือแอปพลิเคชันส่งข้อความยอดนิยม อาจตกเป็นเป้าหมายได้ โดยเฉพาะอย่างยิ่งหากพวกเขากำลังจัดการข้อมูลที่มีค่าให้กับบุคคลที่สาม
จากสถานการณ์ดังกล่าว ผู้เชี่ยวชาญแนะนำให้ใช้มาตรการป้องกันอย่างเข้มงวด: โปรดระวังอีเมลและข้อความที่อ้างว่าบัญชี iCloud ของคุณกำลังถูกโจมตีตรวจสอบที่อยู่เว็บก่อนป้อนข้อมูลประจำตัวทุกครั้ง และเปิดใช้งานมาตรการเพิ่มเติม เช่น การยืนยันตัวตนสองขั้นตอน
También resulta clave หมั่นอัปเดตอุปกรณ์ของคุณอยู่เสมอ และติดตั้งแอปจากร้านค้าแอปอย่างเป็นทางการเท่านั้น และตรวจสอบการเข้าสู่ระบบและอุปกรณ์ที่เชื่อมโยงกับบัญชีต่างๆ เช่น Apple ID หรือ Signal เป็นระยะๆ แม้ว่าการกระทำเหล่านี้จะไม่รับประกันการป้องกันอย่างสมบูรณ์ แต่ก็ช่วยเพิ่มระดับการป้องกันการโจมตีได้หลายรูปแบบอย่างมีนัยสำคัญ
ความจริงที่เปิดเผยจากการสืบสวนเหล่านี้คือ สภาพแวดล้อมดิจิทัลที่คำเตือนว่าบัญชี iCloud ของคุณกำลังถูกโจมตี อาจเป็นการแจ้งเตือนที่ถูกต้อง หรืออาจเป็นจุดเริ่มต้นของกลโกงที่วางแผนมาอย่างดี การทำความเข้าใจวิธีการทำงานของกลุ่มเหล่านี้ เป้าหมายของพวกเขา และเครื่องมือที่พวกเขาใช้ จึงกลายเป็นสิ่งสำคัญอย่างยิ่ง ปกป้องความเป็นส่วนตัวและความปลอดภัยทางดิจิทัล ในขณะที่การจารกรรมข้อมูลแบบเฉพาะเจาะจงกำลังอยู่ในมือของกลุ่มผู้กระทำการต่างๆ มากขึ้นเรื่อยๆ
