หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ของฝรั่งเศส (ANSSI) ได้ออกมาเปิดเผยกรณี การโจมตีไซเบอร์ขนาดใหญ่ ที่เกิดขึ้นเมื่อปีที่แล้ว ซึ่งส่งผลกระทบโดยตรงต่อ หน่วยงานรัฐบาลและโครงสร้างพื้นฐานสำคัญของประเทศ ทั้งด้านโทรคมนาคม สื่อ การเงิน และคมนาคม

เกิดอะไรขึ้น?
การโจมตีนี้อาศัย ช่องโหว่ Zero-Day จำนวน 3 รายการ บนระบบ Ivanti Cloud Services Appliance (CSA) ได้แก่
- CVE-2024-8190
- CVE-2024-8963
- CVE-2024-9380
โดยผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้ในการเจาะระบบ ขโมยข้อมูลล็อกอิน และฝังเครื่องมือที่ช่วยให้เข้าถึงเครือข่ายของเหยื่อได้ต่อเนื่องในระยะยาว
ผู้อยู่เบื้องหลัง: กลุ่ม UNC5174 หรือ “Uteus”
ทั้ง ANSSI และบริษัท Mandiant ชี้เป้าไปที่กลุ่ม UNC5174 หรือที่รู้จักกันในชื่อ “Uteus” ซึ่งเป็นกลุ่มที่มีความเชื่อมโยงอย่างชัดเจนกับ หน่วยงานข่าวกรองของจีน (Ministry of State Security) พวกเขามีบทบาทเป็น "ผู้รับจ้าง" หรือ Initial Access Broker โดยเคยโจมตีอุปกรณ์ Edge มาแล้วหลายราย เช่น ConnectWise ScreenConnect, F5 BIG-IP, Atlassian Confluence, Linux Kernel และ Zyxel Firewall
ในกรณีของฝรั่งเศส กลุ่มนี้ใช้ชุดเครื่องมือเจาะระบบที่เรียกว่า “Houken” ซึ่งมีความซับซ้อนและมีลักษณะเฉพาะตัว เช่น:
- ใช้ Zero-Day ในการเข้าระบบ
- ติดตั้ง rootkit ขั้นสูง ที่ชื่อ sysinitd.ko
- ใช้ web shell ยอดนิยมอย่าง Behinder และ neo-reGeorg
- ใช้เครื่องมือ tunneling เช่น GOREVERSE และ GOHEAVY
- ใช้ VPN เชิงพาณิชย์และเซิร์ฟเวอร์เฉพาะกิจเพื่อปกปิดตัวตน
ที่น่าตกใจคือพวกเขา พยายาม patch ช่องโหว่เองหลังจากฝังตัว เพื่อกันไม่ให้กลุ่มอื่นเข้ามาใช้ช่องทางเดียวกัน
กลยุทธ์แบบหลายฝ่ายและแรงจูงใจที่ซับซ้อน
รายงานจาก HarfangLab ระบุว่าปฏิบัติการนี้มีลักษณะเป็น “การแบ่งงานกันทำ” แบบหลายฝ่าย โดยมีขั้นตอนดังนี้:
- ฝ่ายแรกค้นหาช่องโหว่
- ฝ่ายที่สองใช้ช่องโหว่เพื่อเข้าระบบในวงกว้าง
- จากนั้นสิทธิ์เข้าถึงจะถูกแบ่งหรือขายต่อให้ฝ่ายที่สามเพื่อใช้งานต่อ
ถึงแม้ลักษณะการโจมตีจะดูมีเป้าหมายทางการข่าวกรอง แต่ในบางกรณีก็พบว่าผู้โจมตี ใช้สิทธิ์เข้าถึงไปติดตั้งเครื่องขุดคริปโต เพื่อผลประโยชน์ทางการเงินด้วย
Ivanti: ซอฟต์แวร์ยอดนิยมของแฮ็กเกอร์
Ivanti กลายเป็นหนึ่งในผู้ผลิตซอฟต์แวร์ที่มีช่องโหว่ถูกโจมตีบ่อยครั้ง โดยเฉพาะผลิตภัณฑ์ในกลุ่ม CSA ข้อมูลจาก CISA (สหรัฐฯ) ยืนยันว่า:
- มีช่องโหว่ Ivanti มากถึง 30 รายการ ที่ถูกโจมตีจริงในช่วง 4 ปีที่ผ่านมา
- ในปี 2025 เพียงปีเดียว ก็มีช่องโหว่ถูกใช้แล้ว อย่างน้อย 7 รายการ
คำชี้แจงจาก Ivanti
โฆษกของ Ivanti ได้ชี้แจงว่า “เหตุการณ์นี้ส่งผลเฉพาะกับเวอร์ชันเก่าของ Cloud Services Appliance ที่หมดอายุการสนับสนุนแล้ว ลูกค้าที่ใช้เวอร์ชันใหม่หรือแพตช์แล้วจะไม่ได้รับผลกระทบ” และบริษัทยืนยันว่าได้ออกแพตช์ในปี 2024 พร้อมแนะนำให้ลูกค้าอัปเกรดเป็น CSA เวอร์ชัน 5.0 ซึ่งไม่พบช่องโหว่เหล่านี้
ข้อสังเกต: บทเรียนจากภัยไซเบอร์ระดับโลก
การโจมตีครั้งนี้ถือเป็นตัวอย่างชัดเจนของความซับซ้อนในโลกไซเบอร์ยุคปัจจุบัน ซึ่งมีทั้งกลุ่มแฮ็กเกอร์ระดับรัฐและเอกชนทำงานร่วมกัน ใช้เครื่องมือขั้นสูงแบบเจาะลึก และมีทั้งเป้าหมายด้านข่าวกรองและผลประโยชน์ทางการเงิน
องค์กรในทุกภาคส่วนควรเฝ้าระวังช่องโหว่ Zero-Day อย่างใกล้ชิด และดำเนินการอัปเดตระบบอย่างสม่ำเสมอ พร้อมเสริมการตรวจจับเชิงรุก เพื่อป้องกันภัยที่อาจแฝงตัวมาอย่างเงียบ ๆ เช่นนี้อีกในอนาคต