กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ “Salt Typhoon” ถูกเปิดเผยว่าอยู่เบื้องหลังการเจาะระบบเครือข่ายของ Army National Guard สหรัฐฯ โดยสามารถเข้าถึงข้อมูลด้านความมั่นคงสำคัญจากหลายรัฐ รวมถึงรหัสผู้ดูแลระบบ แผนผังเครือข่าย และข้อมูลบุคลากรด้านไซเบอร์
เหตุการณ์นี้กลายเป็นสัญญาณเตือนว่า ภัยคุกคามทางไซเบอร์จากรัฐต่างชาติ อาจส่งผลกระทบรุนแรงกว่าที่คิด โดยเฉพาะเมื่อเป้าหมายคือหน่วยงานที่มีบทบาทในการปกป้องโครงสร้างพื้นฐานของประเทศ
Salt Typhoon คือใคร?
Salt Typhoon เป็นกลุ่มแฮ็กเกอร์ระดับประเทศ (nation-state threat actor) ที่มีความเชื่อมโยงกับรัฐบาลจีน และถูกหน่วยข่าวกรองของสหรัฐฯ ติดตามมาอย่างต่อเนื่อง โดยในอดีตพวกเขาเคยตกเป็นผู้ต้องสงสัยในการเจาะระบบของบริษัทโทรคมนาคมรายใหญ่ เช่น AT&T, Verizon, และ Lumen Technologies เพื่อเข้าถึงระบบดักฟังโทรศัพท์
ล่าสุด หน่วยงานด้านความมั่นคงของแคนาดาและ FBI ก็ได้ออกคำเตือนว่า Salt Typhoon ได้ขยายปฏิบัติการไปยังผู้ให้บริการโทรคมนาคมในแคนาดาอีกด้วย
เป้าหมายของการแฮ็กครั้งนี้คืออะไร
รายงานจากกระทรวงกลาโหมสหรัฐฯ (Department of Defense - DoD) ที่ได้รับโดย NBC News เปิดเผยว่า Salt Typhoon ได้เจาะเข้าเครือข่ายของ Army National Guard ในรัฐหนึ่ง ระหว่างเดือนมีนาคมถึงธันวาคม 2024 และได้ ขโมยข้อมูลการตั้งค่าเครือข่าย, แผนผังระบบ, รหัสผ่านผู้ดูแลระบบ, และ ข้อมูลการสื่อสารกับ National Guard ของรัฐอื่นๆ รวมถึงดินแดนของสหรัฐฯ อย่างน้อย 4 แห่ง
"หากแฮ็กเกอร์ที่เชื่อมโยงกับจีนสามารถเจาะระบบของพันธมิตรด้านไซเบอร์ในระดับรัฐได้สำเร็จ จะส่งผลต่อความสามารถในการป้องกันโครงสร้างพื้นฐานสำคัญของประเทศในยามเกิดวิกฤต" — รายงานจาก DoD
นอกจากเครือข่ายของ National Guard แล้ว รายงานยังชี้ว่าในช่วงต้นปี 2024 กลุ่มแฮ็กเกอร์ยังได้ขโมยไฟล์การตั้งค่าระบบจากหน่วยงานรัฐบาลของรัฐอื่นๆ และองค์กรโครงสร้างพื้นฐานที่สำคัญในสหรัฐฯ รวมแล้วกว่า 1,462 ไฟล์ จากหน่วยงานและองค์กรกว่า 70 แห่ง ใน 12 ภาคส่วน เช่น พลังงาน โทรคมนาคม ระบบขนส่ง และระบบน้ำ
ช่องโหว่ที่ถูกใช้ในการโจมตี
Salt Typhoon อาศัยช่องโหว่ที่เปิดเผยแล้ว (known vulnerabilities) เพื่อเข้าถึงอุปกรณ์ edge ของเครือข่าย เช่น router และ firewall จาก Cisco และ Palo Alto Networks ได้แก่:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400
ช่องโหว่เหล่านี้แสดงให้เห็นถึงความสามารถของกลุ่มในการตรวจจับระบบที่ยังไม่ได้อัปเดต และใช้เป็นช่องทางในการเจาะระบบอย่างแม่นยำ
ผลกระทบต่อความมั่นคงของชาติ
การโจมตีครั้งนี้ไม่ได้จำกัดแค่ข้อมูลทางเทคนิค แต่ยังรวมถึง ข้อมูลส่วนบุคคล (PII) และ สถานที่ทำงานของบุคลากรด้านความมั่นคงไซเบอร์ ในแต่ละรัฐ ซึ่งอาจถูกนำไปใช้ในการวางแผนโจมตีเพิ่มเติม หรือแม้แต่ข่มขู่ในบริบทความขัดแย้งทางการเมือง
ยิ่งไปกว่านั้น หน่วย National Guard ใน 14 รัฐยังทำงานร่วมกับศูนย์ข่าวกรองภัยคุกคามในระดับท้องถิ่น และบางรัฐมีบทบาทให้บริการ Cyber Defense โดยตรง การที่ข้อมูลของพวกเขาหลุดไปอยู่ในมือแฮ็กเกอร์ ถือเป็นความเสี่ยงต่อการตอบโต้เชิงรุกและการป้องกันประเทศโดยรวม
สิ่งที่องค์กรควรเรียนรู้จากเหตุการณ์นี้
เหตุการณ์นี้เน้นย้ำให้เห็นถึงความสำคัญของการอัปเดตระบบอยู่เสมอ และตรวจสอบความปลอดภัยของอุปกรณ์ที่เชื่อมต่อกับเครือข่ายอย่างเข้มงวด โดยเฉพาะอุปกรณ์ edge เช่น firewall หรือ router จากผู้ให้บริการที่เป็นเป้าหมายหลักของแฮ็กเกอร์
ในยุคที่ภัยคุกคามไซเบอร์ไม่ใช่แค่เรื่องเทคนิค แต่กลายเป็นหนึ่งใน “สมรภูมิความมั่นคงระดับชาติ” องค์กรทุกระดับ ไม่ว่าจะรัฐ เอกชน หรือโครงสร้างพื้นฐานสาธารณะ ต้องยกระดับการเฝ้าระวังอย่างจริงจัง
_____________________________________________________________________________________________________________________________________________________________________
ที่มา: SecurityWeek – China’s Salt Typhoon Hacked US National Guard