Saturday, December 27

บทวิเคราะห์การใช้งานอินเทอร์เน็ตของประเทศเกาหลีเหนือ

 
ในช่วงเวลาที่ผ่านมามีการพูดถึงการโจมตีไซเบอร์กันมากขึ้น โดยเฉพาะที่กระทบต่อประเทศเกาหลีเหนือ ทั้งในเรื่องการโจรกรรมข้อมูลของบริษัทโซนี่พิคเจอร์ จนเป็นข่าวโด่งดัง และหากใครได้ติดตามข่าวก็จะพบว่ามีประเทศไทยเข้ามามีส่วนในการเจาะระบบบริษัทโซนี่พิคเจอร์ ยังไม่เพียงแค่นี้ยังมีประเด็นที่ประเทศเกาหลีเหนือไม่สามารถใช้งานอินเทอร์เน็ตได้ทั้งประเทศ ซึ่งทั้งหมดคิดว่าหลายคนคงอย่างทราบถึงว่าเกิดอะไรขึ้น? จึงถือโอกาสนี้เขียนอธิบายข้อมูลเบื้องต้นเพื่อเป็นการศึกษาไว้ และหากมีโอกาสจะส่วมวิญญาณนักสืบดิจิทัล วิเคราะห์ความเป็นไปที่ปรากฏการณ์ที่เกิดขึ้นนี้เป็นระยะเท่าที่ทำได้

1. ข้อมูลทั่วไป 

ประเทศเกาหลีเหนือ ภาษาอังกฤษ : Democratic People’s Republic of Korea สาธารณรัฐประชาธิปไตยประชาชนเกาหลี มีประชากรทั้งหมดในประเทศ 24,851,627 คน (ผลสำรวจเมื่อปี 2014) ข้อมูลเชิงสถิติถึงจำนวนผู้ใช้งานอินเทอร์เน็ตในประเทศยังไม่สามารถระบุได้ แต่โครงสร้างในการติดต่อสื่อสาร (Internet Infrastructure) 
วันที่เกิดเหตุการณ์อินเทอร์เน็ตใช้งานไม่ได้ทั้งประเทศเกาหลีเหนือตรงกับวันที่ 22 ธันวาคม 2557 เวลา 23:15 เวลาในประเทศไทยโดยประมาณ

2.การใช้งานอินเทอร์เน็ต 
ASN (Autonomous System Number) ประจำประเทศ หมายเลข AS131279 ชื่อ Ryugyong-dong ขอจดทะเบียน ASN เมื่อวันที่ 21 ธันวาคม 2552 พึ่งจดทะเบียนเมื่อ 5 ปีที่แล้ว 

2.1 รายละเอียดข้อมูลหมายเลขอินเทอร์เน็ต 
aut-num: AS131279 
as-name: STAR-KP 
descr: Ryugyong-dong 
descr: Potong-gang District country: KP 
admin-c: SJVC1-AP 
tech-c: SJVC1-AP 
mnt-by: MAINT-STAR-KP 
mnt-routes: MAINT-STAR-KP 
changed: hm-changed@apnic.net 20091221 
source: APNIC role: STAR JOINT VENTURE CO LTD - 
network administrat address: Ryugyong-dong Potong-gang District country: KP phone: +850 2 381 2321 fax-no: +850 2 381 2100 
e-mail: postmaster@star-co.net.kp 
admin-c: SJVC1-AP tech-c: SJVC1-AP nic-hdl: SJVC1-AP mnt-by: MAINT-STAR-KP changed: postmaster@star-co.net.kp 20141202 
source: APNIC ชื่อติดต่อที่ star-co.net.kp 

2.2 รายละเอียดข้อมูลเส้นทางการเชื่อมต่ออินเทอร์เน็ต 

  
 ข้อมูลจาก HURRICANE ELECTRIC BGP จะพบว่าทั้งประเทศเกาหลีเหนือมีจำนวนค่าไอพีทั้งเป็นเป็นชนิดไอพีเวอร์ชั่น 4 จำนวน 1,024 ยังไม่มีการทำเป็นไอพีเวอร์ชั่น 6

2.3 เส้นทางการเชื่อมอินเทอร์เน็ตต่อกับต่างประเทศ 


จากแผนภาพพบว่าเส้นทางการเชื่อมต่ออินเทอร์เน็ตของ AS131279 ซึ่งเป็น ASN เพียงอันตัวเดียวในประเทศเกาหลีเหนือ


จะเห็นได้ว่าเส้นทางการเชื่อมต่อเพียงจุดเดียวที่ออกไปยังต่างประเทศ คือติดต่อไปที่ AS4837 เป็นของ China Unicom Backbone แล้วค่อยติดต่อไปยัง AS1239 ของ Sprint ประเทศสหรัฐอเมริกา

เส้นทางการติดต่อจากประเทศไทย
ทดสอบจากการใช้ ISP Loxinfo  เพื่อดูเส้นทางการเชื่อมต่ออินเทอร์เน็ต




เส้นทางอินเทอร์เน็ตจากไทยไปยังเกาหลีเหนือจะผ่านประเทศดังต่อไปนี้ (1)ไทย - (2)สิงค์โปร - (3)อินเดีย - (4)แคนาดา - (5)สหรัฐอเมริกา - (6)จีน และเข้า(7)เกาหลีเหนือ ประมาณ hop ที่ 18

2.4 ย่านไอพีแอดเดรสที่ใช้งาน

จำนวนไอพีแอดเดรสทั้งหมด 1,024 ค่า ซึ่งเทียบเคียงได้เท่ากับจำนวนไอพีของสถาบันการศึกษา-มหาวิทยาลัย ในบางที่ของประเทศไทยด้วยซ้ำ ย่านไอพีแอดเดรสที่สำคัญ ทั้งที่เป็นโครงสร้างพื้นฐานของประเทศ จะอยู่ที่ 175.45.176.0/24

2.5 ค่าโดเมนแนม 



โดเมนที่หลักของประเทศเชื่อมที่ไอพีแอดเดรสเดียว จากข้อมูลการสำรวจค่าไอพีแอดเดรสพบว่า Name Server จำนวน 38 รายชื่อจากจำนวน 1024 ค่าไอพีแอดเดรส

3. บทสรุป

การที่ประเทศเกาหลีเหลือประสบปัญหาอินเทอร์เน็ตใช้งานไม่ได้ทั้งประเทศแบ่งได้ 4 ประเด็นดังนี้

1) เส้นทางอินเทอร์เน็ตประเทศเกาหลีเหนือที่ออกต่างประเทศมีช่องทางเดียว คือจากประเทศจีน แล้วไปที่ ประเทศสหรัฐอเมริกา
- หาก AS4837 เป็นของ China Unicom Backbone ขัดข้องเกาหลีเหนือทั้งประเทศก็ใช้อินเทอร์เน็ตไม่ได้
- หรือหาก AS1239 ของ Sprint ประเทศสหรัฐอเมริกา ขัดข้องเกาหลีเหนือทั้งประเทศก็ใช้อินเทอร์เน็ตไม่ได้
- หรือตัวใดตัวหนึ่งปิดการเส้นทางการเชื่อมต่ออินเทอร์เน็ต (Peering) ทั้งผู้เรียกเข้าติดต่อประเทศเกาหลีเหนือ และ คนในประเทศเกาหลีเหนือเรียกอินเทอร์เน็ตออกประเทศไม่ได้ทันทีหากตัวใดตัว หนึ่งที่กล่าวนั้นขัดข้องหรือเปลี่ยนเส้นทางกระทันหัน ซึ่งก็เป็นการควบคุมของประเทศจีน (AS4837) หรือ ประเทศสหรัฐอเมริกา(AS1239) นั้นเอง อินเทอร์เน็ตทั้งประเทศเกาหลีเหนือตกอยู่การควบคุมจาก 2 มหาอำนาจ ชนิดที่เรียกว่า "ลูกไก่ในกำมือ"

2) อินเทอร์เน็ตที่ใช้งานไม่ได้เป็นเพราะ DNS ในประเทศเกาหลีเหนือไม่พร้อมใช้งาน ไม่ว่าจากการโจมตีชนิด DDoS/DoS  หรือจะเป็นการโจมตีชนิดอื่นที่ทำให้ไม่สามารถใช้งานได้ อันเนื่องมาจาก Root DNS หลักของประเทศเหลือเพียงตัวเดียวคือ IP : 175.45.176.15 ซึ่งหากเครื่องดังกล่าวถูกโจมตีก็จะไม่สามารถ Query ชื่อที่เป็นโดเมนได้ แต่จะเป็นลักษณะผู้ใช้งานในประเทศที่ไม่สามารถเรียกข้อมูลที่เป็นโดเมนแนม ได้ (สำหรับผู้ใช้งานในประเทศที่ตั้งค่า DNS แบบ Default รับค่า DHCP จาก Router ที่ไม่ได้มีการ Fix ค่า DNS เองจะประสบปัญหานี้)

3) เป็นข่าวเพื่อปั่นกระแสหนังที่กำลังเข้าฉายที่ชื่อ “The Interview”
ในยุคปัจจุบันนี้มีการโฆษณาประชาสัมพันธ์แบบคาดไม่ถึงอยู่เป็นประจำ โดยเฉพาะการปล่อยข่าวลือบนอินเทอร์เน็ต หรือที่เรียกอีกอย่างหนึ่งว่า "การทำ Propaganda"  การที่จะไม่ตกเป็นเหยื่อการทำ Propaganda ได้นั้นนอกจากจะต้องมีสติไม่พอต้องมีปัญญาด้วย นี้สิเรื่องยากจะไม่ตกเป็นเหยื่อ

4) กดดันเกาหลีเหนือโดยใช้การโจมตีไซเบอร์เป็นเครื่องมือโดยอ้างว่าเกาหลีเหนือมีแฮกเกอร์เจาะระบบจริง ซึ่งจริงไม่จริงปัจจุบันไม่มีใครทราบ ดูแล้วคล้ายพม่าก่อนเปิดประเทศ แต่เป็นคนละวิธีการ ตามยุคสมัยเพราะยุคนี้ต้องยอมรับว่าคือยุคไซเบอร์
และหากให้ผมเดา ... ผมจะรอดูว่าถ้าผู้นำสูงสุดของประเทศเกาหลีเหนือขึ้นปกนิตยสาร Time Magazine เมื่อไหร่ก็เมื่อนั้นไม่นานเกิน 2 ปีจะพบว่าประเทศนี้ได้เปิดประเทศแล้ว พร้อมเหล่าบรรดาทุนนิยม บริษัทยักษ์ใหญ่ที่ต้องการเพิ่มช่องทางในการลงทุนมากขึ้นเหมือนประเทศพม่าที่เป็นเพื่อนบ้านของเรานี้เอง


เขียนโดย
นนทวรรธนะ  สาระมาน
27 ธันวาคม 2557

อ้างอิงข้อมูล
Hurricane Electric IP Transit : http://he.net
Robtex : http://www.robtex.com
Internet Worldstats : http://www.internetworldstats.com

Tuesday, December 9

เอฟบีไอออกเตือนธุรกิจของสหรัฐ ฯ เกี่ยวกับมัลแวร์ที่เป็นอันตราย

เอฟบีไอออกเตือนธุรกิจในสหรัฐ ฯ ว่าแฮกเกอร์ได้ใช้ซอฟท์แวร์มุ่งร้ายเพื่อโจมตีเป้าหมายในสหรัฐ ฯ หลังจากที่มีการโจมตีบริษัท โซนี่ พิคเจอร์ส เอ็นเตอร์เทนเม้นต์ ทางอินเทอร์เน็ตเมื่อสัปดาห์ที่ผ่านมา
คำเตือนจากเอฟบีไอจำนวน 5 หน้า ได้ส่งให้กับบริษัทต่าง ๆ เมื่อวันจันทร์ที่ผ่านมา ให้รายละเอียดทางเทคนิคเกี่ยวกับซอฟท์แวร์มุ่งร้ายที่ใช้ในการโจมตี แต่ไม่ได้ระบุถึงชื่อของเหยื่อที่ถูกโจมตี
โฆษกของเอฟบีปฏิเสธให้ความเห็น เมื่อมีผู้ถามว่าซอฟท์แวร์ตัวนี้ถูกใช้เพื่อโจมตีบริษัทหนึ่งในเครีอข่ายของโซนี่ ที่ตั้งอยู่ในแคลิฟอร์เนียหรือไม่
เจ้าหน้าที่รายหนึ่งของเอฟบีไอบอกกับนักข่าวว่า คำแนะนำนั้นให้ข้อมูลข่าวสารที่เกี่ยวของกับการโจมตีบริษัทโซนี่ รวมถึงโค้ดภาษาคอมพิวเตอร์จำนวนหลายหน้า แต่ไม่เกี่ยวกับการโจมตีของมัลแวร์ชนิดใหม่
เจ้าหน้าที่หลายรายบอกว่าพวกเขากำลังวิเคราะห์การโจมตีบริษัทของโซนี่ ซึ่งทำให้เกิดความเสียหายร้ายแรงกับฐานข้อมูลของบริษัท
การโจมตีโซนี่ ทำให้ภาพยนตร์ของบริษัทจำนวนห้าเรื่องถูกเผยแพร่ผ่านทางออนไลน์ รวมถึงหนังเรื่อง “Annie” ที่ปรับปรุงแล้ว การโจมตีที่เกิดขึ้นเมื่อวันที่ 24 พฤศจิกายนที่ผ่านมา และปรากฏเป็นรูปของโครงกระดูก ในคอมพิวเตอร์ของบริษัท และข้อความที่เขียนไว้ว่า “Hacked by #GOP” ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีที่ใช้ชื่อว่า “Guardians of Peace”
hacked%2Bby%2Bgop.jpg
ข้อความนี้ได้ขู่ที่จะปล่อยข้อมูลความลับของบริษัท ทางผู้สืบสวนกำลังหาความเชื่อมโยงกับภาพยนตร์เรื่อง “The Interview” และเกาหลีเหนือ ว่ามีความเกี่ยวข้องกันหรือไม่
เอฟบีไอได้ส่งคำเตือนเร่งด่วนให้กับบริษัทต่าง ๆ เป็นครั้งคราว เพื่อบอกรายละเอียดเกี่ยวกับภัยคุกคามทางอินเทอร์เน็ตที่กำลังเกิดขึ้นใหม่ เพื่อช่วยบริษัทต่าง ๆ ให้สามารถป้องกันการโจมตีแบบใหม่ได้ แต่จะไม่ระบุถึงชื่อของเหยื่อที่ถูกโจมตีในรายงานเหล่านี้
ในรายงานกล่าวไว้ว่า มัลแวร์ได้ทำลายข้อมูลในฮาร์ดไดรฟ์คอมพิวเตอร์ ทำให้มันไม่สามารถทำงานได้ และปิดการเข้าถึงเครือข่าย
จากรายงานที่แจกจ่ายให้กับผู้ทำงานด้านการรักษาความปลอดภัยในบริษัทต่าง ๆ ระบุว่าเป็นเรื่องที่ยากในการกู้คืนฮาร์ดไดรฟ์ ที่ถูกโจมตีด้วยมัลแวร์นี้
การวิเคราะห์มัลแวร์
มัลแวร์นี้ถูกใช้เพื่อโจมตีบริษัทของโซนี่ เป็นมัลแวร์ที่มีอันตรายตัวเดียวกับที่เอฟบีไอได้เตือนไว้ บริษัทด้านแอนตี้ไวรัสของญี่ปุ่น Trend Micro ได้วิเคราะห์การทำงานของมัลแวร์นี้ว่า หน้าที่หลักของมัลแวร์นี้คือการเก็บรวบรวมชื่อผู้ใช้ และรหัสผ่านที่เก็บใน network drive ที่มีการแชร์ในเครือข่าย
หลังจากผู้ใช้ในเครื่องได้ลบไฟล์มัลแวร์นี้ และไฟล์ที่เชื่อมโยงกับ network drive และหยุดการทำงานของ Microsoft Exchange Information Store service จากนั้นมัลแวร์จะหยุดทำงานไปสองชั่วโมง จากนั้นจึงรีสตาร์ทระบบ อีกส่วนหนึ่งของมัลแวร์จะใส่ไฟล์ bmp ในคอมพิวเตอร์ แสดงข้อความว่า “Hacked by #GOP” ซึ่งเป็นภาพเดียวกับที่ปรากฏในคอมพิวเตอร์ของโซนี่ ดังนั้น Trend Micro จึงเสนอว่ามัลแวร์นี้ถูกใช้เพื่อโจมตีโซนี่
ต่อไปนี้เป็นรายงานวิเคราะห์อย่างละเอียดของมัลแวร์นี้
ข้อมูลอ้างอิง