นาวาอากาศเอก สมศักดิ์ ขาวสุวรรณ์ รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หน่วยงานในสังกัดกระทรวงฯ ได้ออกประกาศแจ้งเตือนการแพร่ระบาดมัลแวร์ เมื่อวันที่ 30 พ.ค. 2561 โดยทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้รายงานการแพร่ระบาดของมัลแวร์ “VPNFilter” มุ่งเป้าไปที่อุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things หรือ IoT) กว่า 5 แสนเครื่อง ใน 54 ประเทศ ซึ่งพบการแพร่ระบาดของมัลแวร์ดังกล่าวตั้งแต่ปี 2559 และอุปกรณ์ที่ได้รับผลกระทบส่วนใหญ่เป็นอุปกรณ์สำหรับสำนักงานขนาดเล็ก โดยเจ้าหน้าที่ FBI ได้เข้าควบคุมโดเมน toknowall.com ที่เป็นช่องทางสำรองในการเผยแพร่มัลแวร์ดังกล่าวแล้ว
สำหรับการทำงานของมัลแวร์ VPNFilter จะอาศัยช่องโหว่ของระบบในอุปกรณ์เชื่อมต่อเครือข่าย (Router) ทั่วไปที่ใช้งานในบ้านหรือสำนักงาน ซึ่งมัลแวร์สามารถทำงานได้บนหลายระบบปฏิบัติการของคอมพิวเตอร์ และมีการทำงานที่ซับซ้อน โดยมีขั้นตอนการติดมัลแวร์เป็น 3 ระยะ ได้แก่ ระยะที่ 1 เป็นระยะที่แอบอาศัยอยู่ในเครื่องเพื่อ ดาวน์โหลดมัลแวร์ในระยะที่ 2 แม้จะปิด-เปิดเครื่องใหม่ มัลแวร์ก็ยังทำงานได้ปกติ ซึ่งเป็นจุดที่ทำให้ต่างจากมัลแวร์บางสายพันธุ์ที่โจมตีอุปกรณ์ IoT ที่ปกติมัลแวร์จะถูกกำจัดไปเมื่อเครื่องเริ่มทำงานใหม่ ระยะที่ 2 มัลแวร์ในระยะนี้ จะถูกติดตั้งในลักษณะ NON-PERSISTENT คือ มัลแวร์จะหยุดทำงานเมื่อทำการปิด-เปิดเครื่อง โดยมัลแวร์ดังกล่าวสามารถขโมยข้อมูล รับคำสั่งต่างๆ จากผู้ประสงค์ร้าย ซึ่งบางเวอร์ชันสามารถทำให้อุปกรณ์ใช้งานไม่ได้โดยการเขียนข้อมูลทับส่วนสำคัญของซอฟต์แวร์ที่ฝังอยู่ในฮาร์ดแวร์ (Firmware) และระยะ ที่ 3 เป็นส่วนเสริม (plug-in) เพิ่มความสามารถให้มัลแวร์ในระยะที่ 2 ทำหน้าที่คล้ายการดักรอการรับส่งข้อมูลต่างๆ ต่อไปยังเครื่องของผู้ประสงค์ร้าย
ด้านผลกระทบจากมัลแวร์ดังกล่าว จะทำให้เกิดผลกระทบอย่างรุนแรงต่อระบบเครือข่ายที่มีข้อมูลสำคัญ อาทิ สูญเสียข้อมูลสำคัญ สูญเสียความพร้อมใช้งาน ทำให้ระบบเครือข่ายไม่สามารถใช้งานได้ปกติ สูญเสียค่าใช้จ่ายที่เกิดขึ้นจากการกู้คืนระบบ เป็นต้น โดยการแพร่ระบาดของมัลแวร์ “VPNFilter” ตรวจพบตั้งแต่ปี 2559 และขณะนี้ได้ขยายขอบเขตการโจมตีไปทั่วโลก กว่า 5 แสนเครื่อง ใน 54 ประเทศทั่วโลก
สำหรับการรับมือและป้องกัน ผู้ใช้คอมพิวเตอร์ควรตรวจสอบว่าอุปกรณ์ในเครือข่ายติดมัลแวร์หรือไม่ โดยตรวจสอบจากข้อมูลการเชื่อมต่อไปยังเว็บไซต์ หมายเลขไอพี รวมถึงค่า File Hashes ของมัลแวร์ต้องสงสัยภายในเครื่อง ตามคำแนะนำของไทยเซิร์ต (www.thaicert.or.th) ซึ่งหากพบมัลแวร์ในอุปกรณ์เชื่อมต่อ (Router) ให้ทำการ รีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน (Factory Reset) และผู้ใช้งานสามารถตั้งค่าป้องกันการเข้าถึงหน้าเว็บบริหารจัดการของอุปกรณ์เชื่อมต่อเครือข่าย (Router) จากเครือข่ายอินเทอร์เน็ต เพื่อลดความเสี่ยงจากการถูกโจมตี โดยสิ่งสำคัญที่สุด คือ ผู้ใช้งานควรตรวจสอบค่าต่างๆ ที่ตั้งไว้ในอุปกรณ์เชื่อมต่อเครือข่าย และอัปเดตอุปกรณ์เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อป้องกันการติดมัลแวร์ รวมถึงตั้งรหัสผ่านในการเข้าถึงส่วนบริหารจัดการระบบให้คาดเดาได้ยาก
ทั้งนี้ ไทยเซิร์ตได้ดำเนินการประสานขอข้อมูลรายการหมายเลขไอพี (หมายเลขประจำเครื่องคอมพิวเตอร์ IP address : Internet Protocol address) ที่ได้รับผลกระทบในประเทศไทยจากหน่วยงานต่างๆ ในเครือข่าย โดยเบื้องต้นพบจำนวนหมายเลขไอพีที่มีความเสี่ยงกว่า 50 รายการ และกำลังประสานข้อมูลไปยังผู้ให้บริการอินเทอร์เน็ตที่เกี่ยวข้อง สำหรับการดำเนินการแก้ไขต่อไปแล้ว