สปายแวร์ (Spyware) เป็นโปรแกรมขนาดเล็กที่คอยแฝงตัวอยู่ในเครื่องคอมพิวเตอร์ เพื่อแอบทำสิ่งต่างๆ โดยในบางครั้งเจ้าของเครื่องอาจไม่รู้ตัว เช่น ขโมยข้อมูลก่อกวนการใช้งานโดยแสดงหน้าต่างโฆษณาขึ้นมาเองเป็นระยะๆ หรืออาจจะแอบไปติดตั้ง Shortcut และ Toolbar ไว้ตามตำแหน่งต่างๆ บนหน้าจอ และจะคอยสอดส่องพฤติกรรมการใช้งานอินเตอร์เน็ตของเราอีกด้วย Google ได้เริ่มแจ้งเตือนผู้ใช้งาน Android และ iOS ทั่วโลก สำหรับการโจมตีของสปายแวร์ Hermit ใหม่ในคาซัคสถานและอิตาลี ซึ่งบริษัทได้ระบุว่าการโจมตีสปายแวร์ครั้งใหม่นี้มุ่งเป้าไปที่ผู้คนในประเทศต่างๆ โดยสปายแวร์นี้มีชื่อว่า Hermit Government Grade Spyware นั่นเอง
หลักการทำงานของ Hermit
Hermit ได้รับการติดตั้งบนอุปกรณ์เป้าหมายเพื่อเป็นองค์ประกอบส่วนหนึ่งที่มีความสามารถในการเฝ้าระวังน้อยที่สุด จากนั้นจะสามารถดาวน์โหลดโมดูลจากเซิร์ฟเวอร์ command-and-control (C2) ตามคำแนะนำและเปิดใช้งานฟังก์ชันการสอดแนมที่มีอยู่ในโมดูลเหล่านี้ โดยวิธีการแบบแยกส่วนนี้ปิดบังมัลแวร์จากการวิเคราะห์แอปโดยอัตโนมัติ และทำให้การวิเคราะห์มัลแวร์ด้วยตนเองยากขึ้นเป็นอย่างมาก นอกจากนี้ ยังช่วยให้ผู้ประสงค์ร้ายสามารถเปิดและปิดการใช้งานฟังก์ชันต่างๆ ในการติดตามคอยช่วยเฝ้าระวังหรือความสามารถของอุปกรณ์เป้าหมายได้ อีกทั้ง Hermit ยังสามารถปรับเปลี่ยนพฤติกรรมได้ตามต้องการเพื่อหลีกเลี่ยงเครื่องมือตรวจสอบและกระบวนการวิเคราะห์ของระบบได้
การกระจายของสปายแวร์ Hermit ถูกยืนยันการค้นพบก่อนหน้านี้จากกลุ่มวิจัยด้านความปลอดภัย Lookout ซึ่งข้อมูลแสดงความเชื่อมโยงของสปายแวร์ที่มีชื่อว่า Hermit กับ RCS Labs ผู้จำหน่ายสปายแวร์ในอิตาลีทาง Lookout ได้ให้รายละเอียดว่า RCS Labs อยู่ในสายงานเดียวกันกับ NSO Group ซึ่งเป็นบริษัทเฝ้าระวังการจ้างผู้มีชื่อเสียงที่อยู่เบื้องหลังสปายแวร์ Pegasus และขายสปายแวร์เชิงพาณิชย์ให้กับหน่วยภาครัฐหลายแห่ง
นอกจากนี้ นักวิจัยจากกลุ่ม Lookout ยังเชื่อว่า สปายแวร์ Hermit ถูกนำไปใช้โดยรัฐบาลคาซัคสถานและอิตาลีแล้ว โดยทาง Google ได้ระบุตัวตนของเหยื่อที่โดนสปายแวร์ตัวนี้ในทั้งสองประเทศ และจะแจ้งให้ผู้ใช้งานที่ได้รับผลกระทบทราบต่อไป
