สปายแวร์ใหม่อาละวาด คาดกระทบผู้ใช้ iPhone 200 ล้านเครื่องทั่วโลก
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนภัย สปายแวร์ "Darksword" จ้องเจาะ iPhone เสี่ยงโดนล้วงข้อมูลกว่า 200 ล้านเครื่องทั่วโลก
ตามรายงานจากสำนักข่าว Reuters ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ค้นพบสปายแวร์ตัวใหม่ที่มีศักยภาพสูง แฝงตัวอยู่ในเว็บไซต์หลายสิบแห่งของยูเครนในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยมัลแวร์ดังกล่าวสามารถเจาะระบบและขโมยข้อมูลจากผู้ใช้ iPhone หลายร้อยล้านเครื่องทั่วโลก
การค้นพบในครั้งนี้นับเป็นครั้งที่สองในรอบเดือนที่มีสปายแวร์พุ่งเป้าโจมตีอุปกรณ์ของ Apple โดยตรง สะท้อนให้เห็นถึงการเติบโตอย่างรวดเร็วของตลาดมืดที่มีการซื้อขายมัลแวร์ขั้นสูง ซึ่งออกแบบมาเพื่อขโมยข้อมูลและเจาะกระเป๋าเงินคริปโทเคอร์เรนซีโดยเฉพาะ
ทีมวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำอย่าง Lookout, iVerify และ Google ได้ร่วมกันเผยแพร่บทวิเคราะห์เกี่ยวกับมัลแวร์ตัวใหม่นี้และตั้งชื่อให้ว่า “Darksword”
ความน่าสนใจคือสปายแวร์ตัวนี้ถูกฝังไว้บนเซิร์ฟเวอร์เดียวกับ "Coruna" ซึ่งเป็นสปายแวร์เจาะไอโฟนอีกตัวที่ Google และ iVerify เพิ่งเปิดโปงไปเมื่อวันที่ 3 มีนาคมที่ผ่านมา
ทางด้าน Google ระบุเพิ่มเติมว่า ตรวจพบกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาล รวมถึงผู้ผลิตสปายแวร์เชิงพาณิชย์หลายราย ใช้ Darksword ในการโจมตีเป้าหมายแบบเจาะจงในซาอุดีอาระเบีย ตุรกี มาเลเซีย และยูเครน
โดยในส่วนของมาเลเซียและตุรกีนั้น พบความเชื่อมโยงกับ PARS Defense บริษัทซอฟต์แวร์สอดแนมสัญชาติตุรกี ซึ่งทางบริษัทปฏิเสธที่จะให้ความเห็นในประเด็นนี้
รายงานจาก iVerify และ Lookout ระบุว่า ผู้ใช้ iPhone ที่เข้าชมเว็บไซต์ในยูเครนบางแห่งจะตกเป็นเหยื่อของมัลแวร์ตัวนี้ โดยกลุ่มเสี่ยงคือผู้ที่ใช้ระบบปฏิบัติการ iOS เวอร์ชัน 18.4 ถึง 18.6.2 ซึ่งเป็นเวอร์ชันที่ Apple ปล่อยให้อัปเดตช่วงเดือนมีนาคมถึงสิงหาคมของปีที่แล้ว (2025)
แม้จะยังไม่ทราบตัวเลขแน่ชัดว่ามี iPhone กี่เครื่องที่ตกเป็นเป้าหมาย และ Apple เองก็ได้ปล่อยอัปเดตอุดช่องโหว่ที่เป็นต้นตอของ Darksword ไปแล้ว แต่ปัญหาใหญ่คือผู้ใช้งานจำนวนมากมักไม่อัปเดตระบบปฏิบัติการ
iVerify และ Lookout ประเมินจากข้อมูลสาธารณะว่า ปัจจุบันอาจมี iPhone ราว 220 ถึง 270 ล้านเครื่องทั่วโลกที่ยังคงใช้ iOS เวอร์ชันเก่าและมีความเสี่ยงต่อการถูกโจมตี
ด้านโฆษกของ Apple ชี้แจงว่า การโจมตีครั้งนี้พุ่งเป้าไปที่ "ซอฟต์แวร์ที่ตกรุ่น" โดยบริษัทได้แก้ไขช่องโหว่เหล่านี้ผ่านการอัปเดตระบบมาอย่างต่อเนื่องในช่วงหลายปีที่ผ่านมา
"การอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเสมอ คือสิ่งสำคัญที่สุดที่ผู้ใช้สามารถทำได้เพื่อรักษาความปลอดภัยขั้นสูงสุดให้กับอุปกรณ์ Apple" โฆษกกล่าวย้ำ พร้อมเสริมว่า
ระบบ Apple Safe Browsing บนเบราว์เซอร์ Safari ได้ดำเนินการบล็อกโดเมนอันตรายทั้งหมดที่ Google ตรวจพบเรียบร้อยแล้ว เพื่อป้องกันไม่ให้เกิดการโจมตีเพิ่มเติม
ร็อกกี้ โคล ผู้ร่วมก่อตั้งและซีโอโอของ iVerify ให้ความเห็นว่า การพบช่องโหว่ร้ายแรงบน iOS ถึงสองครั้งในเดือนเดียว สะท้อนให้เห็นถึงระบบนิเวศของเครื่องมือแฮกที่เติบโตอย่างแข็งแกร่ง จากเดิมที่เครื่องมือระดับนี้มักจำกัดอยู่แค่ในหน่วยข่าวกรองระดับชาติเท่านั้น
นอกจากนี้ นักวิจัยยังพบว่ากลุ่มแฮกเกอร์ทิ้งร่องรอยไว้มากมายเนื่องจากความหละหลวม ซึ่งเป็นเรื่องผิดปกติสำหรับแฮกเกอร์ระดับรัฐ
นอกจากนี้ นักวิจัยยังระบุว่า การที่พวกเขาสามารถตามรอยช่องโหว่เหล่านี้ได้ เป็นเพราะแฮกเกอร์ทิ้งร่องรอยความหละหลวมด้านความปลอดภัยไว้ ซึ่งเป็นความผิดพลาดที่ไม่ค่อยพบในกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ
"การที่พวกเขาไม่สนเลยว่าเครื่องมือจะถูกแฉ และนำไปใช้โจมตีหว่านแหแบบไม่ระมัดระวังตัว แสดงให้เห็นว่าพวกเขาไม่ได้มองว่าเครื่องมือเหล่านี้เป็นของหายากหรือมีค่าอะไรมากมาย" โคล กล่าว
ก่อนการแถลงข่าวในวันพุธ ทีมวิจัยจาก iVerify และ Lookout ยังให้ข้อมูลทิ้งท้ายด้วยว่า เซิร์ฟเวอร์บนอินเทอร์เน็ตที่ใช้รัน Darksword นั้น เป็นเซิร์ฟเวอร์เดียวกับที่กลุ่มผู้ควบคุมชาวรัสเซียใช้รันสปายแวร์ Coruna มาก่อนหน้านี้