เทรนด์ ไมโคร เผยพบผู้ใช้อินเทอร์เน็ตชาวอิหร่าน ตกเป็นเหยื่อภัยคุกคามล่าสุด

20 Sep 2011

กรุงเทพฯ--20 ก.ย.--คอร์ แอนด์ พีค

เมื่อเร็วๆ นี้ เฟเก้ แฮกเกอบอร์ด นักวิจัยอาวุโสด้านภัยคุกคาม ศูนย์วิจัยเทรนด์แล็บส์ บริษัท เทรนด์ ไมโคร อิงค์ ระบุว่า จากรายงานของเทรนด์ ไมโครพบหลักฐานที่เป็นรูปธรรมของภัยคุกคามล่าสุดที่เกิดขึ้นจากหน่วยงานออกใบรับรองในเนเธอร์แลนด์ที่ชื่อว่า DigiNotar ซึ่งทำให้ผู้ใช้อินเทอร์เน็ตชาวอิหร่านเป็นจำนวนมากตกเป็นเหยื่อภัยคุกคามล่าสุด

เทรนด์ ไมโครพบว่าผู้ใช้อินเทอร์เน็ตในเครือข่ายต่างๆ ของผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี) และมหาวิทยาลัยในอิหร่านกว่า 40 แห่งถูกตรวจพบว่ามีใบรับรอง SSL ปลอมซึ่งออกโดย DigiNotar และสิ่งที่แย่กว่านั้นก็คือเราพบหลักฐานว่าชาวอิหร่านบางรายที่ใช้ซอฟต์แวร์ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจสอบปริมาณการจราจรในเครือข่ายและการสอดแนมนั้นไม่ได้รับการป้องกันจากการโจมตีการสื่อสารระหว่างสองระบบหรือการโจมตีแบบแทรกกลาง

ใบรับรอง SSL ปลอมนำไปสู่การโจมตีแทรกกลาง

ใบรับรอง SSL ถูกใช้เพื่อให้เกิดช่วงเวลาที่ปลอดภัยสำหรับการใช้งานเว็บไซต์ เช่น บริการอินเทอร์เน็ต แบงกิ้ง และบริการ Gmail ของกูเกิล โดยหน่วยงานออกใบรับรองมีหน้าที่ในการออกและตรวจสอบความถูกต้องของใบรับรอง SSL และเมื่อเดือนกรกฎาคม 2554 แฮกเกอร์ได้ดำเนินการสร้างใบรับรอง SSL ปลอมสำหรับชื่อโดเมนนับร้อยแห่ง รวมถึง google.com และแม้แต่โดเมนระดับบนสุดของ .com ทั้งหมดด้วยการเจาะเข้าสู่ระบบของหน่วยงานที่ออกใบรับรองที่ชื่อว่า DigiNotar ในประเทศเนเธอร์แลนด์ กรณีนี้เป็นอันตรายอย่างมากเนื่องจากใบรับรอง SSL ปลอมเหล่านี้สามารถถูกใช้เพื่อการโจมตีแบบแทรกกลางได้โดยที่บุคคลอื่นจะสามารถอ่านข้อมูลที่มีการรับส่งบนเว็บได้

เมื่อวันที่ 29 สิงหาคม 2554 ใบรับรอง SSL ปลอมของ Google.com ที่ออกโดย DigiNotar ได้รับการตรวจพบ โดยใบรับรองปลอมนี้นำไปสู่การสอดแนมการรับส่งข้อมูลของบริการ Gmail ในรูปแบบการโจมตีแบบแทรกกลาง และบริษัท เทรนด์ ไมโคร พบหลักฐานว่าการโจมตีแบบแทรกกลางดังกล่าวเกิดขึ้นอย่างกว้างขวางในประเทศอิหร่าน

หลักฐานของเราพิจารณาจากข้อมูลที่ Trend Micro Smart Protection Network ได้เก็บรวบรวมมาตลอดระยะเวลาที่ผ่านมา โดย Trend Micro Smart Protection Network ได้ทำการวิเคราะห์ข้อมูลที่ได้รับจากลูกค้านับล้านรายทั่วโลกอย่างต่อเนื่อง ซึ่งรวมถึงชื่อโดเมนที่ถูกเข้าถึงจากภาคส่วนใดในเวลาที่เฉพาะเจาะจงด้วย ข้อมูลเหล่านี้ทำให้สามารถป้องกันพาหะการโจมตีใหม่ๆ ที่ตรวจพบได้ในเวลาอัน รวดเร็ว

ผู้ใช้ชาวอิหร่านตกเป็นเป้าหมายการโจมตี ในช่วงไม่กี่สัปดาห์ที่ผ่านมา เราพบรูปแบบที่ผิดปกติอย่างมากของโดเมน validation.diginotar.nl ซึ่งส่วนใหญ่จะถูกโหลดโดยผู้ใช้อินเทอร์เน็ตชาวเนเธอร์แลนด์และชาวอิหร่านจนถึงวันที่ 30 สิงหาคม 2554 โดยบราว์เซอร์อินเทอร์เน็ตจะใช้ชื่อโดเมน validation.diginotar.nl ในการตรวจสอบความถูกต้องของใบรับรอง SSL ที่ออกโดย DigiNotar

DigiNotar เป็นหน่วยงานออกใบรับรองขนาดเล็กแห่งหนึ่งในประเทศเนเธอร์แลนด์ ซึ่งมีลูกค้าส่วนใหญ่อาศัยอยู่ในเนเธอร์แลนด์ ดังนั้นเราจึงคาดว่าชื่อโดเมนนี้จะต้องถูกร้องขอจากผู้ใช้อินเทอร์เน็ตชาวเนเธอร์แลนด์เป็นส่วนใหญ่ และบางทีอาจเป็นผู้ใช้จำนวนหนึ่งจากประเทศอื่นๆ ซึ่งจากการตรวจสอบพบว่ามีลูกค้าชาวอิหร่านอยู่เป็นจำนวนมาก

จากการวิเคราะห์ข้อมูลของ Smart Protection Network พบว่ามีผู้ใช้อินเทอร์เน็ตจำนวนมากจากอิหร่านโหลด URL การตรวจสอบใบรับรอง SSL ของ DigiNotar เมื่อวันที่ 28 สิงหาคม 2554 และในวันที่ 30 สิงหาคม 2554 การจราจรส่วนใหญ่จากอิหร่านได้หายไปและในวันที่ 2 กันยายน 2554 การจราจรเกือบทั้งหมดของชาวอิหร่านไม่มีหลงเหลืออยู่เลยและ DigiNotar ได้รับการร้องขอส่วนใหญ่จากผู้ใช้อินเทอร์เน็ตชาวเนเธอร์แลนด์เท่านั้น ซึ่งเป็นไปตามที่คาดการณ์ไว้

ข้อมูลสถิติเหล่านี้ที่รวบรวมจาก Trend Micro Smart Protection Network แสดงให้เห็นอย่างชัดเจนว่าผู้ใช้อินเทอร์เน็ตชาวอิหร่านเป็นจำนวนมากไม่ได้รับการป้องกันจากการโจมตีแบบแทรกกลางโดยที่การจราจรที่เข้ารหัส SSL สามารถถูกถอดรหัสได้โดยบุคคลอื่น จากกรณีดังกล่าวทำให้บุคคลอื่นอาจสามารถอ่านข้อความอีเมลทั้งหมดที่ผู้ใช้อินเทอร์เน็ตชาวอิหร่านรับส่งโดยใช้บัญชี Gmail ของตนได้

เมื่อทำการวิเคราะห์ข้อมูลให้ลึกยิ่งขึ้น เราพบความจริงที่น่ากังวลอย่างมาก นั่นคือโหนดพร็อกซีขาออกในสหรัฐอเมริกาของซอฟต์แวร์ป้องกันการตรวจสอบที่สร้างขึ้นในมลรัฐแคลิฟอร์เนียได้ส่งคำขอการจัดอันดับเว็บสำหรับ validation.diginotar.nl ไปยังเซิร์ฟเวอร์คลาวด์ของบริษัท เทรนด์ ไมโคร นั่นหมายความว่าพลเมืองชาวอิหร่านที่กำลังใช้ซอฟต์แวร์ป้องกันการตรวจสอบนี้ตกเป็นเหยื่อของการโจมตีแบบแทรกกลางแล้ว โดยซอฟต์แวร์ป้องกันการตรวจสอบควรให้การป้องกันแก่พวกเขา แต่ในความเป็นจริงก็คือบุคคลอื่นสามารถสอดแนมข้อความที่เข้ารหัสทั้งหมดของพวกเขาได้แล้ว

ขอขอบคุณที่กรุณาเผยแพร่บทความประชาสัมพันธ์ สื่อมวลชนสอบถามข้อมูลเพิ่มเติมได้ที่ ชญาพัฒน์ สนธิกร โทร +66 (0) 2439 4600 ต่อ 8202 อีเมล: [email protected]