Citizen Lab ออกรายงานถึงสินค้าของบริษัท Circles ผู้พัฒนาระบบแฮกเครือข่ายโทรศัพท์มือถือผ่านทางช่องโหว่โปรโตคอล SS7 ที่เปิดทางให้แฮกเกอร์สามารถดักฟังทั้งโทรศัพท์และข้อความ SMS ของเหยื่อได้ โดย Circles ระบุว่าบริษัทจะขายสินค้าให้กับรัฐเท่านั้น ไม่เปิดขายเอกชนทั่วไป รายงานระบุรายชื่อรัฐบาลที่ใช้งานสินค้าของ Circles ทั่วโลก รวมถึงรัฐบาลไทยที่มีกองทัพบกและตำรวจปราบปรามยาเสพติดใช้งาน

Circles ก่อตั้งเมื่อปี 2008 และรวมบริษัทเข้ากับ NSO Group ผู้พัฒนาเครื่องมือแฮกโทรศัพท์ชื่อดังที่ WhatsApp เคยยื่นฟ้องก่อนหน้านี้ โดย Pegasus ของ NSO Group เป็นการแฮกโทรศัพท์เพื่อฝังมัลแวร์ไว้ในเครื่อง ขณะที่ Circles เป็นการแฮกที่เครือข่ายทำให้ไม่เหลือร่องรอยอยู่ในเครื่องของเหยื่อ แม้จะมีรายงานว่าสินค้าทั้งสองตัวจะเชื่อมโยงต่อกันมาก

Citizen Lab ติดตามการทำงานของ Circles แล้วพบว่าบริษัทไปตั้งบริษัทลูกเป็นบริษัทโทรศัพท์ปลอมๆ ชื่อว่า Circles Bulgaria ไว้เมื่อปี 2015 พบว่าบริษัทมีไอพีของตัวในอยู่ใน AS200068 เมื่อสแกนดูจึงพบว่าไอพีเหล่านี้รันระบบจัดการไฟร์วอลล์ SmartCenter ของ Check Point โดยมีชื่อเครื่อง (hostname) ว่า core-mgmt-primary.tracksystem.info เมื่อตรวจสอบพบว่าเคยมีเอกสารหลุดจาก Circles ที่พนักงานใช้อีเมลจากโดเมน tracksystem.info เช่นกัน

ทาง Citizen Lab ไล่หาเซิร์ฟเวอร์ทั่วโลกที่มีโดเมนเป็น tracksystem.info พบเซิร์ฟเวอร์ 252 ไอพี เมื่อตรวจข้อมูล Firewall Host ก็พบชื่อเครื่อง เช่น client-circles-thailand-nsb-node-2 แสดงให้เห็นว่าเครื่องเหล่านี้เป็นเซิร์ฟเวอร์ลูกค้าของ Circles จริงๆ โดยพบว่า Circles อ้างถึงประเทศลูกค้าด้วยยี่ห้อรถและชื่อหน่วยงานเป็นรุ่นรถ

รายงานของประเทศไทยพบลูกค้าของ Circles สามหน่วยงาน ได้แก่ กองพันข่าวกรองทางทหาร กองทัพบก (Royal Thai Army Military Intelligence Battalion), กองอำนวยการรักษาความมั่นคงภายใน กองทัพบก (Royal Thai Army Internal security Operations Command - ISOC), และตำรวจปราบปรามยาเสพติด (Royal Thai Police Narcotics Suppression Bureau - NSB)

ช่องโหว่ SS7 เป็นที่รู้กันมาเป็นเวลานาน และเป็นสาเหตุให้คำแนะนำด้านความมั่นคงปลอดภัยไซเบอร์ใหม่ๆ เช่น NIST SP 800-63 แนะนำให้เลิกใช้ SMS ในการยืนยันตัวตน

ที่มา - Citizen Lab