นักบุญไซเบอร์ ตอนกับดักมหาภัย

กับดัก

“ในห้องมืดเย็นเฉียบ มีเพียงไฟจอคอมพิวเตอร์ริบหรี่
เสียงพัดลมระบายความร้อน ดั่งลมหายใจอ่อนแรง
นักบุญไซเบอร์หยุดมือที่จับเมาส์ ไม่สนโค้ด ไม่สนคีย์บอร์ด
ปล่อยจิตสำนึกให้ล่องลอยไปกับความเงียบ
—ความเงียบ ที่เตือนว่าโลกดิจิทัลนั้น “ไม่เที่ยง” —

ทันใดนั้นเอง เสียง Ring Buffer ในระบบเฝ้าระวังเครือข่าย (Network Monitoring) ส่งสัญญาณแจ้งเตือนบนหน้าจอคอนโซลที่เต็มไปด้วยหน้าต่าง CLI และโลโก้ของ Kali Linux นักบุญไซเบอร์—แฮกเกอร์นิรนามผู้ขลุกอยู่กับโค้ดและ Exploit Kit ทั้งหลายในโลกใต้ดิน—จับจ้องตัวเลข TCP/UDP Port ที่เลื่อนไหลไม่หยุด

แก๊ง Call Center นี่ถี่ขึ้นเรื่อยๆ ข้อมูล SIP Packet จาก IP ปลายทางซ้ำๆ กัน… น่าสงสัย”
นักบุญไซเบอร์พูดพลางวิเคราะห์ข้อมูล Deep Packet Inspection (DPI) บนหน้าจอ

ก่อนหน้านี้ เขาได้วาง Honeypot ไว้ในโครงข่ายเสมือน (Virtual Private Cloud) เพื่อหลอกให้แก๊งคอลเซ็นเตอร์เข้ามาตีสนิทเหยื่อปลอมผ่าน Social Engineering โดยจำลองข้อมูลประวัติบุคคลปลอม ตั้งแต่ชื่อ-นามสกุลไปจนถึงบัญชีธนาคารเสมือน

เป้าหมายคือ “ให้มันตายใจ” แล้วรอจังหวะเจาะระบบกลับ ด้วยการใช้ Pivoting จาก Proxy ตัวกลางหรือ Reverse Shell ที่จะได้มาหลังจากแก๊งหลงเชื่อ

เจาะลึกการโทร VoIP และวางกับดักผ่าน SIP/RTSP

นักบุญไซเบอร์ทำการ Port Scanning ด้วย nmap เพื่อสำรวจ Open Ports ในระบบของแก๊งคอลเซ็นเตอร์ที่พบว่ารองรับ SIP (Session Initiation Protocol) และ RTP (Real-time Transport Protocol) สำหรับบริการโทรศัพท์ข้ามชาติผ่านอินเทอร์เน็ต (VoIP)

“เบอร์นี้ใช้ Proxy สองชั้น… คงมีการ DNS Spoofing หรือ Split Tunneling VPN เพื่อหลีกเลี่ยงการติดตาม”


เขาจดบันทึกใน SRAN Netapprove NG100 ซึ่งเป็นระบบ Log Aggregation และ Network Forensic ของเขา

เพื่อให้แผนสำเร็จ เขาอัปโหลดสคริปต์ตั้งชื่อว่า “HoneypotLure.py” ลงใน VM ที่ทำหน้าที่เป็นเหยื่อ สคริปต์นี้จะตอบโต้บทสนทนาของแก๊งคอลเซ็นเตอร์แบบกึ่งอัตโนมัติ สามารถส่งเสียงและข้อความพร้อม Obfuscation บางส่วน เพื่อให้ปลายทางเชื่อว่ากำลังสนทนากับเหยื่อจริง

เมื่อเหยื่อติดเบ็ด
การ Reverse Engineering ข้อมูลการโทร

ภายในแล็บลับของเขา หน้าจอหลายเครื่องรัน Wireshark ทำงานร่วมกับ Suricata เพื่อเก็บ Traffic ทุกแพ็กเก็ตที่ไหลเข้ามา แก๊งคอลเซ็นเตอร์บางครั้งพยายามส่ง Phishing Link อ้างเป็นแอปธนาคารให้ “เหยื่อ” ดาวน์โหลด นักบุญไซเบอร์จึงได้ไฟล์ .apk น่าสงสัยมาด้วย

“น่าสนใจ… ดูเหมือนเป็น Trojan Dropper ติดมากับแพ็กเกจปลอม ใส่ RAT (Remote Access Trojan) ไว้ภายใน”
เขาเปิด Sandbox environment แยกต่างหากเพื่อ Reverse Engineering .apk ดังกล่าว ป้องกันระบบหลักเสียหาย

ขณะที่เขาวิเคราะห์ อัลกอริทึมการเข้ารหัสของมัลแวร์เผยให้เห็น AES-256 และ RSA ร่วมกัน ยิ่งตอกย้ำว่ามีผู้เชี่ยวชาญเบื้องหลังแก๊งนี้ แต่ไม่ว่าพวกนั้นจะแกร่งแค่ไหนก็ยังไม่เทียบเท่า “Zero-Day” ที่นักบุญไซเบอร์กำลังเตรียมใช้

Zero-Day เผยโฉมอาวุธลับในมือ

นักบุญไซเบอร์เก็บรักษาช่องโหว่ Zero-Day ไว้ในเซิร์ฟเวอร์ที่เข้ารหัสอย่างแน่นหนา เขาใช้ PGP และ SHA-256 Checksum เพื่อยืนยันความถูกต้องทุกครั้งก่อนรันมัน ช่องโหว่นี้เป็น Privilege Escalation บนระบบ Call Center Management ที่เจาะได้จากเวอร์ชันเก่าของ Asterisk หรือระบบ SIP PBX ยอดนิยมที่แก๊งนี้ใช้อยู่

ถ้าพวกเขาไม่อัปเดตแพตช์ล่าสุด… ฉันก็จะ Exploit และควบคุมเซิร์ฟเวอร์ได้ทันที”
เขาพึมพำขณะตรวจสอบไฟล์ “ZeroDay_Asterisk_Exploit.py

เป้าหมายหลักคือการขอ Reverse Shell หรือ Bind Shell บนเซิร์ฟเวอร์คอลเซ็นเตอร์ เพื่อเข้าถึง Log และฐานข้อมูลรายละเอียดเหยื่อจำนวนมาก จากนั้นจะสามารถ Pivot ไปยังส่วนอื่นๆ ของเครือข่าย เช่น Payment Gateway หรือ Command and Control (C2) Server ที่แก๊งใช้ควบคุมสายโทร

การยิง Exploit และบุกทะลวง Call Center

เมื่อพร้อม นักบุญไซเบอร์วางแผน “ยิง” Exploit ผ่าน SSH Tunneling ใช้ Tor Relay ซ้อนกันหลายชั้น เพื่อปกปิดเส้นทางกลับมายังเครื่องหลัก

  1. สแกนช่องโหว่ ด้วย nmap เสริมด้วยสคริปต์ vulnscan.nse ที่เขียนปรับปรุงเอง
  2. ตรวจพบ Asterisk PBX รุ่นเก่าพร้อมพอร์ตเปิด SIP 5060, 5061
  3. รันสคริปต์ ZeroDay_Asterisk_Exploit.py โดยกำหนด Payload เป็นการฝัง Malicious Shell แบบ Meterpreter (โมดูลเสริมจาก Metasploit Framework)
  4. ระบบปลายทาง “สั่นคลอน” ก่อนแตกเป็นสองส่วน—หนึ่งคือ Logs ที่นักบุญไซเบอร์แอบดึงข้อมูลกลับ อีกหนึ่งคือ “หน้าบ้าน” ที่แก๊งยังไม่รู้ว่ามีแฮกเกอร์บุกเข้าระบบ

ผลลัพธ์คือเขาสามารถ Pivot เข้าไปยังฐานข้อมูลภายในของแก๊ง สัมผัสโครงสร้าง MariaDB ที่เก็บข้อมูลหมายเลขโทรศัพท์และบัญชีเหยื่อจำนวนมหาศาล

แกะรอย หัวหน้าขบวนการ

นักบุญไซเบอร์เริ่มดูดข้อมูล Raw Log ทั้งหมดเพื่อนำมา Network Forensic และวิเคราะห์ Threat Intelligence พบว่าแก๊งคอลเซ็นเตอร์มีผู้ควบคุมหลักอยู่ในต่างประเทศ เชื่อมโยงผ่าน VPN และ Proxy Chaining หลายชั้น

ต้องทำ Correlation ระหว่าง IP ปลายทางกับ GeoIP และ Dark Web Marketplace ที่พวกมันอาจประกาศขายข้อมูลบัตรเครดิตหรือบัญชีธนาคารเถื่อน”
เขาเปิดเครื่องมือ Maltego เพื่อโยงความสัมพันธ์ว่ามีกี่โดเมนที่เชื่อมโยงกัน

ปิดฉากศาลเตี้ยไซเบอร์

เมื่อได้หลักฐานมากพอรวมทั้ง Log การโทร ภาพถ่ายบัตรประชาชนของเหยื่อที่แก๊งรวบรวมไว้ และเส้นทางการโอนเงินผ่าน Blockchain บางส่วน—นักบุญไซเบอร์จึงส่ง Encrypted Archive พร้อมไฟล์หลักฐานทั้งหมดให้หน่วยงานสากล โดยใช้ PGP Key ที่แลกเปลี่ยนไว้ก่อนหน้า

“ฉันไม่ใช่ฮีโร่ แต่ถ้ากฎหมู่อยู่เหนือกฎหมาย… ก็ปล่อยมันไม่ได้”
เขากดส่งไฟล์ไปยัง Interpol Cybercrime Division”

ขณะเดียวกัน เขายังกดคำสั่ง “Remote Wipe” บนเครื่องของแก๊ง ผ่าน “Backdoor” ที่ทิ้งไว้ใน Asterisk PBX ทำให้ระบบคอลเซ็นเตอร์ของแก๊งล่มกลางอากาศ VoIP Gateway ก็หยุดทำงานทันที สายที่กำลังจะโทรหลอกเหยื่อก็ตัดขาด ทำให้แก๊งเกิดความโกลาหลและไม่ทันย้ายเซิร์ฟเวอร์หนี

รุ่งเช้าแห่งการไล่ล่า

ในเช้าวันถัดมา ข่าวการทลายเครือข่ายแก๊งคอลเซ็นเตอร์รายใหญ่ที่เกี่ยวข้องกับการหลอกลวงผู้คนนับพันแพร่สะพัด จับกุมผู้กระทำความผิดหลายสิบรายในหลายประเทศ คอมพิวเตอร์และเซิร์ฟเวอร์ที่ยึดได้มีหลักฐานแน่นหนา มัดตัวชนิดปฏิเสธไม่ได้

สื่อมวลชนและผู้คนต่างสงสัยว่าใครเป็นผู้มอบหลักฐานลับให้หน่วยงานสากล บ้างเล่าว่ามี “แฮกเกอร์นิรนาม” ส่งไฟล์เข้ารหัสพร้อมแผนที่เครือข่ายทั้งหมด

นักบุญไซเบอร์นั่งอยู่ที่คอมพิวเตอร์เครื่องเก่าในอพาร์ตเมนต์เล็กๆ ไฟหน้าจอ LED สีเขียวกระพริบสว่างไสว มองเห็นรายงาน Syslog ของตนเองที่ยังคงออนไลน์

“จบไปหนึ่งแก๊ง… แต่ในเงามืดของโลกไซเบอร์ยังมีอีกมาก”

เขาปิดไฟในห้อง ทิ้งเพียงเงาของเขาไว้บนกำแพง พร้อมกับภารกิจใหม่ที่จะเข้ามาในไม่ช้า—ผู้คนอาจไม่รู้จักชื่อหรือโฉมหน้า แต่เขาจะยังคงเป็น “นักบุญไซเบอร์” ผู้คอยทำหน้าที่ศาลเตี้ยบนเครือข่ายอินเทอร์เน็ตที่เต็มไปด้วยมิจฉาชีพ… และศัตรูรายต่อไปคงต้องหวั่นเกรงยิ่งกว่านี้

— จบตอน —

ขอบคุณ

Nontawatt