BPFDoor: เมื่อเครือข่ายโทรคมนาคมของคุณกลายเป็นภัยคุกคาม

BPFDoor: เมื่อเครือข่ายโทรคมนาคมของคุณกลายเป็นภัยคุกคาม

คนส่วนใหญ่มักคิดว่าผู้ให้บริการมือถือของตนเป็นเพียงท่อกลางที่เป็นกลาง ทำหน้าที่แค่ส่งข้อมูลจากจุด A ไปยังจุด B แต่แคมเปญจารกรรมที่เพิ่งถูกเปิดเผยรายละเอียดซึ่งเกี่ยวข้องกับเครื่องมือที่ชื่อว่า BPFDoor ชี้ให้เห็นว่าสมมติฐานนั้นล้าสมัยอย่างอันตราย ผู้คุกคามที่มีความเชื่อมโยงกับจีนซึ่งรู้จักกันในชื่อ Red Menshen ได้แอบฝังแบ็คดอร์ที่ตรวจจับได้ยากไว้ในโครงสร้างพื้นฐานด้านโทรคมนาคมในหลายประเทศมาตั้งแต่ปี 2021 อย่างน้อย โดยแปลงเครือข่ายที่ผู้คนนับล้านพึ่งพาอยู่ให้กลายเป็นเครื่องมือสอดแนม

นี่ไม่ใช่ความเสี่ยงในเชิงทฤษฎี แต่เป็นปฏิบัติการข่าวกรองที่กำลังดำเนินอยู่และมีหลักฐานยืนยัน ซึ่งมุ่งเป้าไปที่แกนกลางของการสื่อสารระดับโลก

BPFDoor คืออะไร และทำไมจึงอันตรายมาก?

BPFDoor คือแบ็คดอร์บนระบบ Linux ที่ตรวจจับได้ยากเป็นพิเศษ มันใช้ Berkeley Packet Filtering ซึ่งเป็นฟีเจอร์เครือข่ายระดับต่ำที่ถูกต้องตามกฎหมายและมีอยู่ในระบบ Linux เพื่อตรวจสอบการรับส่งข้อมูลขาเข้าและตอบสนองต่อคำสั่งที่ซ่อนอยู่ โดยไม่เปิดพอร์ตเครือข่ายที่มองเห็นได้ เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมที่สแกนหาพอร์ตที่เปิดอยู่อย่างน่าสงสัยจะไม่พบสิ่งผิดปกติใดๆ เพราะ BPFDoor ไม่ได้ทำงานเหมือนมัลแวร์ทั่วไป

นี่คือเหตุผลที่ทำให้มันมีประสิทธิภาพสูงมากสำหรับการจารกรรมระยะยาว Red Menshen ไม่ได้บุกเข้ามา ขโมยข้อมูล แล้วหนีไป กลุ่มนี้ฝังอิมแพลนต์เหล่านี้เอาไว้ราวกับเซลล์นอนหลับ รักษาการเข้าถึงโครงสร้างพื้นฐานของผู้ให้บริการอย่างต่อเนื่องและเงียบเชียบเป็นเวลาหลายเดือนหลายปี เป้าหมายไม่ใช่ปฏิบัติการปล้นแล้วหนี แต่เป็นการรวบรวมข่าวกรองอย่างต่อเนื่องด้วยความอดทนเชิงกลยุทธ์

ใครได้รับผลกระทบ และข้อมูลใดถูกเปิดเผย?

ขนาดของแคมเปญนี้มีนัยสำคัญมาก เฉพาะในเกาหลีใต้ประเทศเดียว มีหมายเลข IMSI ถูกเปิดเผยประมาณ 27 ล้านหมายเลข IMSI หรือ International Mobile Subscriber Identity คือตัวระบุเฉพาะที่ผูกกับซิมการ์ดของคุณ เมื่อผู้โจมตีเข้าถึงข้อมูล IMSI ควบคู่กับโครงสร้างพื้นฐานของผู้ให้บริการ พวกเขาอาจสามารถติดตามตำแหน่งของผู้ใช้บริการ ดักจับข้อมูลเมตาดาต้าการสื่อสาร และตรวจสอบว่าใครกำลังติดต่อกับใคร

นอกจากเกาหลีใต้แล้ว แคมเปญนี้ยังส่งผลกระทบต่อเครือข่ายในฮ่องกง มาเลเซีย และอียิปต์ด้วย เนื่องจากผู้ให้บริการโทรคมนาคมยังจัดการการส่งต่อข้อมูลสำหรับหน่วยงานรัฐบาล ลูกค้าองค์กร และประชาชนทั่วไปด้วย การรั่วไหลที่อาจเกิดขึ้นจึงไม่ได้จำกัดอยู่แค่ผู้ใช้ประเภทใดประเภทหนึ่ง การสื่อสารทางการทูต การโทรทางธุรกิจ และข้อความส่วนตัวล้วนผ่านโครงสร้างพื้นฐานเดียวกัน

นักวิจัยระบุว่า เป้าหมายหลักคือการแสวงหาความได้เปรียบเชิงกลยุทธ์ระยะยาวและการรวบรวมข่าวกรอง ไม่ใช่ผลประโยชน์ทางการเงินในทันที กรอบความคิดนี้มีความสำคัญ เพราะหมายความว่าภัยคุกคามนี้ถูกออกแบบมาให้คงอยู่อย่างเงียบเชียบ ไม่ใช่เพื่อก่อให้เกิดการแจ้งเตือน

ความหมายของเรื่องนี้สำหรับคุณ

หากคุณเป็นผู้ใช้บริการของผู้ให้บริการรายใหญ่ โดยเฉพาะในภูมิภาคที่ได้รับผลกระทบ ความจริงที่น่าอึดอัดใจคือ: คุณมีการมองเห็นอย่างจำกัดต่อสิ่งที่เกิดขึ้นกับข้อมูลของคุณภายในเครือข่ายของผู้ให้บริการเอง ผู้ให้บริการของคุณควบคุมโครงสร้างพื้นฐาน หากโครงสร้างพื้นฐานนั้นถูกเจาะในระดับลึก การเข้ารหัสระหว่างอุปกรณ์ของคุณกับเว็บไซต์อาจไม่สามารถป้องกันได้ทุกอย่าง เมตาดาต้า สัญญาณตำแหน่ง และรูปแบบการสื่อสารยังสามารถถูกเก็บเกี่ยวได้ที่ระดับเครือข่ายก่อนที่การรับส่งข้อมูลของคุณจะไปถึงอินเทอร์เน็ตเปิดด้วยซ้ำ

นี่คือส่วนที่มักถูกมองข้ามในการพูดคุยเรื่องความปลอดภัยทางไซเบอร์ส่วนใหญ่ ผู้คนมุ่งเน้นไปที่การรักษาความปลอดภัยอุปกรณ์และรหัสผ่านของตน ซึ่งสำคัญอย่างแน่นอน แต่เครือข่ายที่คุณเชื่อมต่อผ่านก็เป็นส่วนหนึ่งของมาตรการรักษาความปลอดภัยของคุณเช่นกัน เมื่อเครือข่ายนั้นถูกควบคุมหรือตรวจสอบโดยฝ่ายที่มีผลประโยชน์ไม่สอดคล้องกับของคุณ คุณต้องการการป้องกันอีกชั้นที่เป็นอิสระ

VPN แก้ปัญหานี้โดยการเข้ารหัสการรับส่งข้อมูลของคุณก่อนที่มันจะเข้าสู่เครือข่ายของผู้ให้บริการ และส่งต่อไปยังเซิร์ฟเวอร์ที่อยู่นอกโครงสร้างพื้นฐานนั้น แม้ว่าระบบของผู้ให้บริการจะถูกเจาะ ผู้โจมตีที่สังเกตการรับส่งข้อมูลในระดับเครือข่ายจะเห็นเพียงข้อมูลที่เข้ารหัสที่มุ่งหน้าไปยังเซิร์ฟเวอร์ VPN แทนที่จะเป็นเนื้อหาจริงหรือปลายทางของการสื่อสารของคุณ มันไม่ได้แก้ไขทุกปัญหา แต่ช่วยเพิ่มต้นทุนและความยากของการสอดแนมแบบ passive ในระดับผู้ให้บริการได้อย่างมีนัยสำคัญ

มองผู้ให้บริการของคุณในฐานะโครงสร้างพื้นฐานที่ไม่น่าไว้วางใจ

ผู้เชี่ยวชาญด้านความปลอดภัยดำเนินงานมาช้านานบนหลักการ zero trust: อย่าสมมติว่าส่วนใดส่วนหนึ่งของเครือข่ายนั้นปลอดภัยโดยธรรมชาติเพียงเพราะดูเหมือนถูกต้องตามกฎหมาย แคมเปญ BPFDoor คือตัวอย่างในโลกความเป็นจริงที่แสดงให้เห็นว่าทำไมหลักการนั้นจึงมีความสำคัญสำหรับผู้ใช้ทั่วไป ไม่ใช่แค่ทีม IT ขององค์กร

ผู้ให้บริการของคุณอาจดำเนินงานโดยสุจริตใจและยังคงมีอุปกรณ์ที่ถูกเจาะโดยที่ตนเองไม่รู้ตัว นั่นคือธรรมชาติของภัยคุกคามขั้นสูงแบบต่อเนื่อง: มันถูกออกแบบมาให้มองไม่เห็นต่อผู้ที่รับผิดชอบเครือข่าย

การเพิ่ม VPN อย่าง hide.me ในกิจวัตรประจำวันของคุณเป็นขั้นตอนปฏิบัติสู่การมองการเชื่อมต่อเครือข่ายของคุณด้วยความระมัดระวังที่เหมาะสม มันให้อุโมงค์ที่เข้ารหัสซึ่งเป็นอิสระจากโครงสร้างพื้นฐานของผู้ให้บริการ ควบคุมโดยผู้ให้บริการที่ดำเนินงานภายใต้นโยบายไม่เก็บบันทึกข้อมูลอย่างเข้มงวด เมื่อคุณไม่สามารถตรวจสอบได้ว่าเกิดอะไรขึ้นภายในเครือข่ายที่คุณใช้อยู่ อย่างน้อยคุณก็มั่นใจได้ว่าการรับส่งข้อมูลของคุณออกจากอุปกรณ์โดยได้รับการปกป้องแล้ว

สำหรับการศึกษาเชิงลึกเกี่ยวกับวิธีการทำงานของการเข้ารหัสและเหตุใดจึงมีความสำคัญในระดับเครือข่าย การสำรวจว่าโปรโตคอล VPN จัดการข้อมูลของคุณอย่างไรเป็นจุดเริ่มต้นที่ดี การทำความเข้าใจความแตกต่างระหว่างสิ่งที่ผู้ให้บริการของคุณเห็นกับสิ่งที่ผู้ให้บริการ VPN เห็น จะช่วยให้คุณตัดสินใจได้อย่างมีข้อมูลมากขึ้นเกี่ยวกับความเป็นส่วนตัวทางดิจิทัลของคุณในอนาคต