Logic Bomb คืออะไร ? มัลแวร์แบบมีเงื่อนไขการโจมตี ที่ยากแก่การตรวจพบ

Logic Bomb คืออะไร ? มัลแวร์แบบมีเงื่อนไขการโจมตี ที่ยากแก่การตรวจพบ

คำว่า "มัลแวร์ (Malware)" ชื่อนี้ก็สยองแล้ว มันคือภัยร้ายบนโลกไซเบอร์ที่มีอยู่หลากหลายประเภท แต่มีอยู่หนึ่งประเภทที่มีความอันตรายสูงมาก แต่อาจไม่เป็นที่รู้จักกันมากนัก นั่นคือ "Logic Bomb" หรือ "ระเบิดตรรกะ" มัลแวร์ชนิดนี้เมื่อเข้าสู่เครื่องของเหยื่อได้แล้ว จะไม่ทำอะไรทั้งสิ้น จนกว่าจะถึงเวลา หรือสถานการณ์ที่กำหนด

บทความนี้จะพาคุณผู้อ่านไปรู้จักว่า Logic Bomb คืออะไร ? มีหลักการทำงานอย่างไรบ้าง ?

ภาพจาก : https://thenextweb.com/news/siemens-contractor-pleads-guilty-to-planting-logic-bomb-in-spreadsheet-software

ระเบิดตรรกะ คืออะไร ? (What is a Logic Bomb ?)

Logic Bomb หรือ ระเบิดตรรกะ เป็นมัลแวร์ชนิดหนึ่ง ขึ้นชื่อว่ามัลแวร์ก็รู้กันดีอยู่แล้วว่าไม่ใช่ซอฟต์แวร์ที่ประสงค์ดีต่อเหยื่ออย่างแน่นอน ความพิเศษของมันคือ ในสภาวะปกติมันแทบจะไม่ทำอะไรเลย อาจมีการแพร่กระจาย หรืออัปเดตตัวมันเองบ้างตามตารางเวลาที่กำหนด โดยมากแล้ว Logic Bomb มักสอดไส้มาพร้อมกับ "ไวรัสคอมพิวเตอร์ (Computer Virus)" หรือ "หนอนคอมพิวเตอร์ (Computer Worm)" เพื่อใช้เป็นพาหะ และแพร่กระจายตัวเอง

ระเบิดตรรกะเป็นมัลแวร์ที่มีชุดคำสั่งภายในโปรแกรมที่มีจุดประสงค์ร้าย สามารถโจมตีระบบปฏิบัติการ, ซอฟต์แวร์ หรือเครือข่ายเป้าหมายได้ โดยมันจะเริ่มทำงานเมื่อเงื่อนไข หรือสถานการณ์ เข้าเงื่อนไขที่ผู้สร้างมัลแวร์กำหนดไว้ เงื่อนไขง่าย ๆ ก็อย่างเช่น เมื่อถึงวันที่ หรือเวลาที่กำหนด แต่ก็สามารถมีความซับซ้อนกว่านั้นได้ เช่น ต้องเป็นระบบปฏิบัติการที่ติดตั้ง ไดร์เวอร์ (Driver) ของอุปกรณ์ที่กำหนดเอาไว้ และจะโจมตีแค่เพียงวันละ 1 นาที เท่านั้น เป็นต้น

เมื่อเงื่อนไขครบถ้วน Logic Bomb จะทำการรันโค้ดที่เป็นอันตราย หรือที่เรียกว่าการยิง "Payload" ซึ่งอาจส่งผลให้เกิดปัญหาได้หลากหลายรูปแบบ ตั้งแต่ปัญหาเล็กน้อย เช่น ส่งผลให้คอมพิวเตอร์ทำงานช้าลง หรือตัวไฟล์เกิดความเสียหายเล็กน้อย ไปจนถึงการสูญหายของข้อมูลที่สำคัญทั้งหมด หรือระบบล่มได้ ในกรณีที่ร้ายแรงที่สุด มัลแวร์ Logic Bomb สามารถทำให้ โครงสร้างพื้นฐานไอที ขององค์กรหยุดชะงักได้ทั้งหมด

ทำไม ระเบิดตรรกะ ถึงอันตราย ? (Why Logic Bomb Attacks are dangerous ?)

Logic Bomb นั้นเป็นภัยร้ายที่อันตรายมาก เนื่องจากเหยื่อมักจะไม่รู้ตัวเลยว่าอุปกรณ์ หรือภายในเครือข่ายขององค์กรนั้นถูกโจมตีอยู่ การถูกโจมตีอย่างไม่คาดคิด มักทำให้เกิดความเสียหายที่ร้ายแรงกว่าปกติ นอกจากนี้ การจับตัวผู้กระทำความผิดในการโจมตีด้วย Logic Bomb ยังเป็นเรื่องที่ท้าทาย เนื่องจากระยะเวลาระหว่างที่มัลแวร์ถูกติดตั้ง กับเวลาในการโจมตีมักทิ้งช่วงระยะเวลานานมาก ทำให้แฮกเกอร์มีเวลามากมายที่จะลบล้างร่องรอยของตนเอง

ผลกระทบจากการโจมตีด้วย Logic Bomb อาจมีความร้ายแรง ได้ดังต่อไปนี้

• อาจทำให้ข้อมูลสำคัญสูญหาย หรือเสียหายอย่างถาวร
• การโจมตีอาจทำให้ระบบหยุดทำงาน หรือบริการหยุดชะงัก ซึ่งส่งผลกระทบต่อการดำเนินธุรกิจ
• ทำให้สูญเสียทางการเงิน เช่น การถูกปรับ หรือการสูญเสียลูกค้า
• ชื่อเสียงขององค์กร, ธุรกิจ หรือบุคคล เกิดความเสียหาย

โดยรวมแล้ว การโจมตีด้วย Logic Bomb เป็นภัยคุกคาม ที่ส่งผลกระทบในวงกว้าง และอันตรายต่อทั้งองค์กร และบุคคลทั่วไป

ระเบิดตรรกะ ทำงานอย่างไร ? (How does Logic Bomb work ?)

การทำงานของ Logic Bomb สามารถแบ่งออกเป็นขั้นตอนได้ 4 ขั้นตอนหลัก ดังต่อไปนี้

1. Logic Bomb ดาวน์โหลดเข้าสู่ระบบ

การพาตัวเองเข้าสู่ระบบของ Logic Bomb ไม่ได้แตกต่างจากมัลแวร์ประเภทอื่น ส่วนใหญ่ก็แฝงตัวมาทางอินเทอร์เน็ต หรือในกรณีที่เลวร้ายก็มาจากการแก้แค้นของพนักงานภายในบริษัทที่มีความไม่พอใจ หรือถูกไล่ออก

2. Logic Bomb แฝงตัวอย่างสงบรอวันปะทุ

Logic Bomb มีความแตกต่างจากการโจมตีของมัลแวร์ประเภทอื่น ๆ เนื่องจากมันจะอยู่ในสภาวะจำศีลอย่างยาวนาน จนกว่าจะมีเงื่อนไขที่กำหนดไว้เกิดขึ้น ทำให้มันสามารถหลบเลี่ยงการตรวจจับได้เป็นระยะเวลานานมาก บางครั้งอาจใช้เวลาหลายปีด้วยซ้ำไป หากสถานการณ์ยังไม่ตรงกับเงื่อนไขที่แฮกเกอร์กำหนดเอาไว้

3. ครบเงื่อนไข หรือสถานการณ์ที่กำหนด

เมื่ออุปกรณ์ หรือระบบของเหยื่ออยู่ในสภาวะครบเงื่อนไข หรือสถานการณ์ที่ทาง Logic Bomb ถูกตั้งโปรแกรมเอาไว้ ซึ่งอาจเป็นเงื่อนไขที่เรียบง่ายอย่างการตั้งวันเวลาไว้ล่วงหน้า, เมื่อเปิดไฟล์ที่กำหนด หรือเมื่อมีอุปกรณ์ที่กำหนดมาเชื่อมต่อ Logic Bomb ก็จะเริ่มทำงานทันที

4. Logic Bomb เริ่มต้นการโจมตี

เมื่อ Logic Bomb ทำงาน มันจะเริ่มยิง Payload ในทันที โดยอาจเป็นมัลแวร์ที่สามารถทำลาย, ลบ หรือเข้ารหัสไฟล์ หรือในบางกรณีก็เข้าควบคุมเครื่องให้ทำงานตามที่แฮกเกอร์ต้องการ ขึ้นอยู่กับวัตถุประสงค์ของการโจมตีนั้น ว่าต้องการผลลัพธ์ให้ออกมาในทิศทางไหน ?

ประเภทของระเบิดตรรกะ (Types of Logic Bomb)

ระเบิดตรรกะมีการแย่งประเภทตามเงื่อนไขที่มันจะเริ่มทำงาน ตัวอย่างที่พบเห็นได้บ่อยก็อย่างเช่น

Event-Triggered Bomb

ทำงานเมื่อเกิดเหตุการณ์เฉพาะเจาะจงภายในระบบ เช่น เมื่อปริมาณแบนด์วิดท์ในระบบถึงค่าที่กำหนด, การตั้งค่ามีความเปลี่ยนแปลงเกิดขึ้น ฯลฯ

ภาพจาก : https://lab.wallarm.com/what-is-a-logic-bomb/

User-Activated Bomb

ระเบิดตรรกะรูปแบบนี้จะทำงานเมื่อผู้ใช้กระทำบางอย่างตามเงื่อนไข เช่น เมื่อเปิดโปรแกรมที่กำหนด, เข้าสู่ระบบ ฯลฯ

Conditional Logic Bombs

นี่เป็นระเบิดตรรกะที่มีความซับซ้อนเป็นพิเศษ มักใช้ในการโจมตีที่มีความเจาะจงเป็นพิเศษ เงื่อนไขในการโจมตีจะดูสถานการณ์หลายอย่างประกอบกัน อาจมีเวลา และสิ่งที่ผู้ใช้ทำร่วมด้วย หากขาดสิ่งใดสิ่งหนึ่งไปก็จะยังไม่โจมตี แม้เงื่อนไขจะยาก แต่ก็ทำให้การโจมตีถูกจุดได้อย่างแม่นยำ

Time-Based Bomb

ระเบิดตรรกะชนิดนี้ก็เหมือนระเบิดเวลา โดยจะเปิดใช้งานตามวันที่ และเวลาที่กำหนด บ่อยครั้งมันถูกใช้ร่วมกับการโจมตีอื่น ๆ เพื่อสร้างสถานการณ์ให้เหตุการณ์ลุกลามบานปลายกว่าเดิม

ตัวอย่างระเบิดตรรกะ (Logic Bomb Example)

ข่าวเหตุการณ์ Logic Bomb เกิดขึ้นไม่บ่อยนัก แต่ว่าพอเกิดขึ้น ก็มักจะเป็นเหตุการณ์ที่มีความรุนแรง ตกเป็นข่าวใหญ่ เช่น

Stuxnet

Stuxnet เป็นเวิร์มคอมพิวเตอร์ที่โจมตีโรงงานนิวเคลียร์ของประเทศอิหร่านในระหว่างปี ค.ศ. 2009-2010 (พ.ศ. 2552-2553) มันใช้ประโยชน์จาก ช่องโหว่ Zero-Day หลายจุด และใช้การโจมตี Logic Bomb ที่ซับซ้อนมากเพื่อทำลายเครื่องสกัดนิวเคลียร์

ภาพจาก : https://cyberhoot.com/cybrary/stuxnet/

Siemens Corporation

เหตุการณ์นี้เพิ่งผ่านไปไม่นานนัก David Tinley ซึ่งเป็นผู้รับงานของบริษัท Siemens Corporation ได้สารภาพผิดในปี ค.ศ. 2019 (พ.ศ. 2562) ในข้อหาฐานติดตั้ง Logic Bomb ในซอฟต์แวร์ของ Siemens ที่เขาพัฒนาขึ้น ซึ่งจะทำให้ซอฟต์แวร์ทำงานผิดพลาด เพื่อที่ Siemens จะต้องเรียกเขากลับไปแก้ไขปัญหา ซึ่งเขาจะเรียกเก็บค่าธรรมเนียมในการแก้ไขปัญหานั้น

Lower Silesian Railways (LSR)

เหตุการณ์นี้เกิดขึ้นกับรถไฟของ Lower Silesian Railways (LSR) ที่หยุดทำงานแบบไร้สาเหตุ แต่หลังจากบริษัทจ้างแฮกเกอร์มาตรวจสอบก็พบว่า มีสาเหตุมาจากการที่ซอฟต์แวร์ในรถไฟจาก Newag ซึ่งเป็นผู้ผลิต มีการซ่อน Logic Bomb เอาไว้ เพื่อหวังหารายได้จากการดูแลซ่อมแซม

ประวัติความเป็นมาของ ระเบิดตรรกะ (History of Logic Bomb)

ในช่วงสงครามเย็น สำนักงานข่าวกรอง CIA ได้ค้นพบว่าสหภาพโซเวียตกำลังขโมยเทคโนโลยีจากโลกตะวันตก อย่างเช่น ข้อมูลเกี่ยวกับเรดาร์, คอมพิวเตอร์,เครื่องจักร และเซมิคอนดักเตอร์

Gus W. Weiss ที่ปรึกษานโยบายเทคโนโลยี และข่าวกรองของทำเนียบขาว เป็นหนึ่งในคนแรก ๆ ที่ทราบเรื่องการขโมยนี้ เขาได้ร่วมมือกับ CIA ในการคิดหามาตรการตอบโต้

โดย Gus W. Weiss ได้จงใจปล่อยเทคโนโลยีใหม่หลุดไปถึงมือของสายลับจากโซเวียต แต่อันที่จริงในข้อมูลนั้นมีการจงใจซ่อนข้อผิดพลาดเอาไว้ มันเหมือนจะสามารถทำงานได้ปกติ แต่ท้ายที่สุดแล้ว มันจะล้มเหลวส่งผลให้ระบบเกิดความเสียหายในตอนท้าย

เทคนิคนี้กล่าวได้ว่าเป็น Logic Bomb ตัวแรกของโลก โดยมันถูกซ่อนไว้ในอุปกรณ์ส่งแก๊สของบริษัทสัญชาติแคนาดา ที่โซเวียตเป็นลูกค้าอยู่ ภารกิจนี้สำเร็จ และทำให้ระบบท่อส่งแก๊สเกิดระเบิดเสียหาย โดยไม่ต้องพึ่งพาการโจมตีจากขีปนาวุธเลย

มัลแวร์ตัวกล่าวเลือกโจมตีไปยังซอฟต์แวร์ที่ควบคุมระบบปั๊ม, ใบพัด และหัววาล์วส่งแก๊ส โดยจะทำให้ระบบปั๊มทำงานหนักกว่าปกติ ควบคู่ไปกับปรับแรงดันของหัววาล์วให้สูงขึ้น ส่งผลให้เกิดแก๊สสะสมภายในระบบท่อเกินกว่าที่มันจะรองรับได้ และระเบิดในท้ายที่สุด

วิธีตรวจจับ และป้องกัน ระเบิดตรรกะ (How to Detect and Prevent Logic Bomb ?)

Logic Bomb นั้นเป็นมัลแวร์ที่ยากที่จะตรวจจับ และการป้องกันก็นับว่ายากยิ่งกว่า ไม่มี ซอฟต์แวร์ป้องกันมัลแวร์ (Antimalware) ที่สามารถป้องกัน Logic Bomb ได้อย่างสมบูรณ์แบบ และมีวิธีไม่กี่วิธีที่จะจับ Logic Bomb ได้ก่อนที่มันจะทำงาน

การตรวจสอบโค้ดอย่างละเอียดจึงเป็นสิ่งสำคัญ เพื่อให้แน่ใจว่าจะไม่มีโค้ดที่เป็นอันตรายแอบซ่อนอยู่ภายในซอฟต์แวร์ การเฝ้าระวังพฤติกรรมการทำงานที่มีความผิดปกติของซอฟต์แวร์เป็นอีกวิธีหนึ่งในการตรวจจับ Logic Bomb แต่ก็ค่อนข้างยาก เนื่องจากบาง Payload มักไม่ส่งสัญญาณเตือนให้ระบบตรวจจับได้จนกว่ามันจะเริ่มทำงาน

การป้องกันจึงเป็นวิธีที่สำคัญที่สุดในการหลีกเลี่ยงความเสียหายที่เกิดขึ้นจาก Logic Bomb ไม่ว่าจะเป็นการคัดกรองว่าใครสามารถเข้าถึงโค้ดของโปรแกรมได้ รวมถึงการ ฝึกอบรมทางไซเบอร์ อย่างเช่น การสอนให้พนักงานไม่ดาวน์โหลดไฟล์ หรือซอฟต์แวร์จากอินเทอร์เน็ตโดยไม่ตรวจสอบแหล่งที่มาให้ดีเสียก่อน