รายงานชี้ เครือข่ายแฮกเกอร์จีนใช้บริษัทเอกชน มัลแวร์ และบอตเน็ตสนับสนุนปฏิบัติการรัฐ
รายงานด้านความปลอดภัยไซเบอร์ชี้ว่า ปฏิบัติการที่เชื่อมโยงกับรัฐบาลจีนไม่ได้อาศัยเพียงกลุ่มแฮกเกอร์กลุ่มใดกลุ่มหนึ่ง แต่ประกอบด้วยบริษัทเอกชน ผู้รับเหมา นายหน้าข้อมูล ผู้พัฒนาเครื่องมือ และผู้ควบคุมโครงสร้างพื้นฐานที่ทำงานร่วมกันเป็นหลายชั้น
โครงสร้างเช่นนี้ทำให้การระบุว่าใครเป็นผู้สั่งการ ผู้ลงมือ หรือผู้จัดหาเครื่องมือทำได้ยากขึ้น ขณะที่อุปกรณ์ใกล้ตัวอย่างเราเตอร์ กล้องวงจรปิด และอุปกรณ์เชื่อมต่ออินเทอร์เน็ตก็อาจถูกยึดไปเป็นส่วนหนึ่งของบอตเน็ตโดยที่เจ้าของไม่รู้ตัว
จากกลุ่ม APT สู่ “Composite Responsibility”
รายงานของเว็บไซต์ Cyber Security News อ้างบทวิเคราะห์ที่เผยแพร่บน Binding Hook ซึ่งเสนอกรอบทำความเข้าใจปฏิบัติการไซเบอร์ของจีนในชื่อ “Composite Responsibility” หรือความรับผิดชอบแบบผสานหลายภาคส่วน
แนวคิดนี้อธิบายว่า ปฏิบัติการหนึ่งอาจไม่ได้อยู่ภายใต้ความรับผิดชอบของกลุ่ม Advanced Persistent Threat หรือ APT เพียงกลุ่มเดียว แต่อาจมีหลายหน่วยงานเข้ามารับผิดชอบคนละส่วน เช่น
- หน่วยงานรัฐหรือหน่วยข่าวกรองกำหนดเป้าหมาย
- ผู้รับเหมาดำเนินการเจาะระบบ
- บริษัทเอกชนพัฒนาและจำหน่ายมัลแวร์
- นายหน้าข้อมูลนำข้อมูลที่ขโมยมาไปขายต่อ
- ผู้ให้บริการโครงสร้างพื้นฐานจัดหาเซิร์ฟเวอร์หรือบอตเน็ต
- นายหน้าขายสิทธิ์เข้าถึงระบบที่ถูกเจาะไว้แล้ว
แต่ละฝ่ายจึงอาจมีบทบาทและระดับความรับผิดชอบแตกต่างกัน ไม่ควรถูกเหมารวมว่าเป็นผู้ดำเนินการรายเดียวทั้งหมด
รายงานยกตัวอย่างกลุ่มที่ถูกเชื่อมโยงกับปฏิบัติการลักษณะนี้ ได้แก่ Salt Typhoon, Flax Typhoon และ Volt Typhoon โดยเฉพาะ Salt Typhoon ซึ่งสหรัฐฯ และประเทศพันธมิตรระบุว่าเกี่ยวข้องกับแคมเปญจารกรรมทางไซเบอร์ที่โจมตีโครงสร้างพื้นฐานโทรคมนาคมในประเทศตะวันตก
อย่างไรก็ตาม บทวิเคราะห์ของ Binding Hook ระบุว่า แม้ Salt Typhoon จะถูกเชื่อมโยงกับบริษัทเอกชนในจีนอย่างน้อย 3 แห่ง แต่ข้อมูลสาธารณะเกี่ยวกับบทบาทของแต่ละบริษัทและความสัมพันธ์ในการรับคำสั่งยังมีจำกัด
บริษัทเอกชนกลายเป็นส่วนหนึ่งของระบบได้อย่างไร
บทวิเคราะห์ระบุว่า บริษัทเทคโนโลยีบางแห่งอาจทำหน้าที่มากกว่าการผลิตซอฟต์แวร์ทั่วไป โดยอาจพัฒนาเครื่องมือเจาะระบบ มัลแวร์ บอตเน็ต หรือขายสิทธิ์เข้าถึงระบบที่ถูกเจาะสำเร็จแล้ว
บางกรณีได้รับคำสั่งโดยตรงจากหน่วยงานรัฐ ขณะที่บางกรณีอาจลงมือเจาะระบบก่อน แล้วจึงนำข้อมูลหรือสิทธิ์เข้าถึงไปเสนอขายให้หน่วยงานที่สนใจ ความแตกต่างนี้ทำให้การพิจารณาความรับผิดชอบมีความซับซ้อนมากกว่าการระบุชื่อกลุ่มแฮกเกอร์เพียงกลุ่มเดียว
ตัวอย่างสำคัญคือ i-Soon หรือ Anxun Information Technology บริษัทผู้รับเหมาด้านเทคโนโลยีของจีน ซึ่งเอกสารคำฟ้องของกระทรวงยุติธรรมสหรัฐฯ กล่าวหาว่า บริษัทและบุคลากรเกี่ยวข้องกับการเจาะอีเมล โทรศัพท์มือถือ เซิร์ฟเวอร์ และเว็บไซต์ ระหว่างช่วงประมาณปี 2016–2023
เอกสารดังกล่าวระบุว่า ลูกค้าหลักของ i-Soon รวมถึงกระทรวงความมั่นคงแห่งรัฐ หรือ MSS และกระทรวงความมั่นคงสาธารณะ หรือ MPS ของจีน โดยบางปฏิบัติการเกิดจากคำสั่งของหน่วยงานเหล่านี้โดยตรง ขณะที่บางปฏิบัติการ i-Soon ลงมือเองก่อนนำข้อมูลไปเสนอขาย
Cyber Security News ระบุเพิ่มเติมว่า แคมเปญของ i-Soon มุ่งเป้าไปยังรัฐบาลอย่างน้อย 14 ประเทศ อย่างไรก็ตาม ตัวเลขและข้อกล่าวหาดังกล่าวควรอ่านควบคู่กับเอกสารต้นทาง เนื่องจากรายละเอียดของแต่ละเป้าหมายที่เปิดเผยต่อสาธารณะมีระดับความชัดเจนแตกต่างกัน
ShadowPad เครื่องมือเปิดประตูหลังที่ถูกส่งต่อหลายกลุ่ม
อีกส่วนหนึ่งของโครงข่ายคือผู้พัฒนามัลแวร์ โดยบทวิเคราะห์กล่าวถึง ShadowPad มัลแวร์ประเภท Backdoor ซึ่งช่วยเปิดช่องให้ผู้โจมตีกลับเข้าสู่ระบบของเหยื่อและสั่งงานจากระยะไกลได้
รายงานระบุว่า ShadowPad ซึ่งพัฒนาโดยภาคเอกชน ถูกจำหน่ายให้หน่วยงานที่ต้องสงสัยว่าเชื่อมโยงกับกองทัพปลดปล่อยประชาชนจีน เช่น RedFoxtrot และ Tonto Team รวมถึงถูกแบ่งปันให้หน่วยงานอื่นอย่าง Chengdu 404 Network Technology
พนักงานของ Chengdu 404 บางรายเคยถูกทางการสหรัฐฯ ตั้งข้อหาในคดีที่เกี่ยวข้องกับกิจกรรมซึ่งถูกจัดอยู่ภายใต้ชื่อ APT41 ทำให้เห็นว่าเครื่องมือหนึ่งชุดอาจถูกส่งต่อและนำไปใช้งานโดยหลายกลุ่ม ไม่ได้จำกัดอยู่กับผู้พัฒนารายแรกเท่านั้น
Raptor Train บอตเน็ตจากอุปกรณ์ใกล้ตัว
อีกกรณีคือ Raptor Train Botnet ซึ่งถูกทางการสหรัฐฯ เข้าสกัดการทำงาน โดยกระทรวงยุติธรรมสหรัฐฯ ระบุว่า เครือข่ายดังกล่าวประกอบด้วยอุปกรณ์ที่ติดมัลแวร์มากกว่า 200,000 เครื่องทั่วโลก
อุปกรณ์ที่ถูกยึดไปใช้งานมีทั้งเราเตอร์สำหรับบ้านและสำนักงานขนาดเล็ก กล้องไอพี เครื่องบันทึกภาพ และอุปกรณ์จัดเก็บข้อมูลแบบเชื่อมต่อเครือข่าย เมื่อถูกควบคุมแล้ว อุปกรณ์เหล่านี้สามารถช่วยอำพรางกิจกรรมโจมตีให้ดูเหมือนเป็นการเชื่อมต่ออินเทอร์เน็ตตามปกติ
ทางการสหรัฐฯ ระบุว่า Integrity Technology Group เป็นผู้พัฒนาและควบคุมบอตเน็ตดังกล่าว และประเมินว่าบริษัทมีส่วนเกี่ยวข้องกับกิจกรรมเจาะระบบที่ถูกเรียกรวมกันว่า Flax Typhoon
กรณีนี้สะท้อนว่า ผู้ใช้ทั่วไปอาจไม่ได้เป็นเป้าหมายเพื่อขโมยข้อมูลโดยตรงเสมอไป แต่อุปกรณ์ของผู้ใช้อาจถูกนำไปเป็นทางผ่านหรือโครงสร้างพื้นฐานสำหรับโจมตีเป้าหมายอื่น
ผู้ใช้ทั่วไปควรป้องกันอย่างไร
แม้ปฏิบัติการเหล่านี้มักมุ่งเป้าไปยังรัฐบาล บริษัทโทรคมนาคม และโครงสร้างพื้นฐานสำคัญ แต่อุปกรณ์ภายในบ้านก็อาจถูกดึงเข้าไปเป็นส่วนหนึ่งของเครือข่ายได้ ผู้ใช้จึงควรตรวจสอบพื้นฐานดังต่อไปนี้
- เปลี่ยนรหัสผ่านเริ่มต้นของเราเตอร์ กล้องวงจรปิด และอุปกรณ์ IoT
- อัปเดตเฟิร์มแวร์และซอฟต์แวร์ให้เป็นรุ่นล่าสุด
- ปิดการเข้าถึงจากอินเทอร์เน็ต หากไม่ได้ใช้งานจริง
- เปิดใช้การยืนยันตัวตนหลายขั้นตอนในบัญชีสำคัญ
- ตรวจสอบรายชื่ออุปกรณ์ที่เชื่อมต่อกับเราเตอร์เป็นระยะ
- หลีกเลี่ยงการเปิดไฟล์หรือลิงก์จากอีเมลที่ไม่สามารถยืนยันผู้ส่งได้
- แยกเครือข่ายสำหรับอุปกรณ์ IoT ออกจากคอมพิวเตอร์ที่เก็บข้อมูลสำคัญ หากเราเตอร์รองรับ
- เปลี่ยนอุปกรณ์รุ่นเก่าที่ผู้ผลิตหยุดออกแพตช์ความปลอดภัยแล้ว
หากเราเตอร์ทำงานช้าผิดปกติ รีสตาร์ตเองบ่อย มีการตั้งค่าถูกเปลี่ยนโดยไม่ทราบสาเหตุ หรือพบอุปกรณ์แปลกปลอมในเครือข่าย ควรรีเซ็ตอุปกรณ์ อัปเดตเฟิร์มแวร์ และตั้งรหัสผ่านใหม่ทันที
ประเด็นสำคัญจากรายงานนี้คือ ปฏิบัติการไซเบอร์สมัยใหม่ไม่ใช่เพียงเรื่องของ “แฮกเกอร์กลุ่มเดียว” แต่เป็นระบบที่อาจมีผู้สั่งการ ผู้พัฒนาเครื่องมือ ผู้เจาะระบบ ผู้ขายข้อมูล และผู้ให้บริการโครงสร้างพื้นฐานทำงานแยกกัน การแยกบทบาทเหล่านี้ให้ชัดจึงสำคัญทั้งต่อการระบุความรับผิดชอบและการวางมาตรการป้องกัน
ทั้งนี้ ข้อมูลเกี่ยวกับความเชื่อมโยงกับหน่วยงานรัฐบาลจีนส่วนใหญ่เป็นข้อกล่าวหา การประเมิน และเอกสารจากรัฐบาลสหรัฐฯ ประเทศพันธมิตร และนักวิเคราะห์ด้านความปลอดภัยไซเบอร์ บทบาทของหน่วยงานหรือบริษัทบางแห่งยังไม่มีรายละเอียดสาธารณะครบถ้วน จึงควรใช้ถ้อยคำอย่างระมัดระวังและตรวจสอบข้อมูลเพิ่มเติมเมื่อมีหลักฐานใหม่
Binding Hook, Cyber Security News, U.S. Department of Justice
REFERENCES:
https://bindinghook.com/understanding-modern-chinese-cyber-operations-means-shifting-from-apt-to-composite-responsibility/
https://cybersecuritynews.com/chinese-cyber-contractors-use-malware-botnets-and-stolen-data/
https://www.justice.gov/archives/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used-peoples-republic-china-state
https://www.justice.gov/usao-sdny/media/1391751/dl?inline=
เขียนโดย Annonymus TN
เหรียญ 10 มูลค่า 1 ล้านบาท
10 รถจักรยานยนต์ยุค 80 รุ่นดัง ที่หลายคนยังจดจำ
วิธีขอพรเทวดาประจำตัว 3 ขั้นตอน ตามแนวทางที่สืบทอดจากหลวงปู่ดู่
ผู้ชายก็เป็นมะเร็งเต้านมได้ รู้ยัง? เมื่อโรคที่หลายคนคิดว่าเป็นของผู้หญิง อาจเกิดขึ้นกับผู้ชายได้เช่นกัน
มารู้จัก “ตะขบยักษ์” ผลไม้พื้นบ้านลูกโต รสหวาน ปลูกง่าย
ตุ๊กตาคุณแม่ตั้งครรภ์ ถอดหน้าท้องและนำทารกออกมาได้
4 รถแห่ที่มีค่าจ้างที่แพงที่สุด
ทําไมตัวอักษร L ถึงขึ้นต้นในคําว่า LGBTQ
10 นักร้องลูกทุ่งไทยที่มีค่าจ้างงานแสดงสูงที่สุด
ทำไม "ทรายจากทะเลทราย" ถึงเอามาสร้างตึกสร้างบ้านไม่ได้
เจาะสถิติตัวเลขเงาและดาวพระศุกร์ สำหรับลัคนาราศีพฤษภ
ลัคนาราศีเมษ ดวงการเงินพุ่งชน เล็งพิกัดเลขท้ายดึงดูดทรัพย์ กรกฎาคม 2569
Why Landlords Charge Pet Deposits—and What Renters Should Check
10 เลขเด็ดเลขดัง "แม่ทำเนียนลอตเตอรี่" งวดวันที่ 1 สิงหาคม 69..คอหวยอย่าพลาด!!
ทําไมตัวอักษร L ถึงขึ้นต้นในคําว่า LGBTQ
ผู้ชายก็เป็นมะเร็งเต้านมได้ รู้ยัง? เมื่อโรคที่หลายคนคิดว่าเป็นของผู้หญิง อาจเกิดขึ้นกับผู้ชายได้เช่นกัน
USS Enterprise CVN-65 เรือยักษ์ใหญ่พลังงานนิวเคลียร์ผู้เปิดศักราชใหม่แห่งท้องทะเล
ไขข้อข้องใจ: ดูดวงด้วยตัวเองได้จริงไหม? เผยวิธีอ่าน "แผนที่ชีวิต" ตามหลักโหราศาสตร์ที่ถูกต้อง
"โน้ส อุดม-โย อรุณี" ควงคู่หวานกลางสนามบิน..ทำเอาแฟนๆ ฟินไม่ไหวแล้ว!
มืออาชีพต้องแบบนี้ นักข่าวหญิงถูกแมลงสาบบินมาเกาะและไต่มาที่คอระหว่างการถ่ายทอดสด! เธอยังคงสงบนิ่งและรายงานข่าวต่อไป
ช็อกนักช้อป! โบกมือลาไทยอย่างเป็นทางการ Marks & Spencer ปิดฉากตำนาน 31 ปี! ส่อง 3 ไอเทมแฟชั่นยอดนิยมที่ต้องรีบเก็บสะสมด่วน!
สรุปแล้วรัฐควรจ่ายเงินเยียวยาให้ผู้เสียหายเหตุไฟไหม้โรงเบียร์ ณ ลาดพร้าว หรือไม่?