การโจมตีทางไซเบอร์ของบริษัทในสหรัฐฯ นาน 4 เดือน เปิดเผยภัยคุกคามขั้นสูงที่เชื่อมโยงกับแฮกเกอร์ชาวจีน

การโจมตีทางไซเบอร์ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ได้เปิดเผยถึงปฏิบัติการอันซับซ้อนที่มุ่งเป้าไปที่องค์กรใหญ่แห่งหนึ่งของสหรัฐฯ โดยมีหลักฐานบ่งชี้ว่าแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน การบุกรุกที่น่าตกใจนี้ ซึ่งมีรายละเอียดอยู่ในรายงานของ Symantec ซึ่งเป็นบริษัทในเครือ Broadcom กินเวลานานอย่างน้อย 4 เดือนในปีนี้ โดยเริ่มตั้งแต่เดือนเมษายนและอาจก่อนหน้านั้น ขอบเขตและวิธีการของการโจมตีนี้เน้นย้ำถึงกลยุทธ์ที่เปลี่ยนแปลงไปของศัตรูทางไซเบอร์และความเสี่ยงที่องค์กรสำคัญทั่วโลกเผชิญอยู่

กลยุทธ์และเครื่องมืออันซับซ้อนเน้นย้ำถึงภัยคุกคามขั้นสูง

Symantec ตรวจพบสัญญาณของการละเมิดครั้งแรกเมื่อวันที่ 11 เมษายน 2024 และพบว่าการโจมตียังคงดำเนินต่อไปจนถึงเดือนสิงหาคม ในช่วงเวลาดังกล่าว ผู้โจมตีได้เคลื่อนตัวข้ามเครือข่ายของเหยื่อไปด้านข้าง ส่งผลให้เครื่องคอมพิวเตอร์จำนวนมากเสียหาย ระบบที่ตกเป็นเป้าหมายบางส่วนคือ Microsoft Exchange Server ซึ่งแสดงให้เห็นว่าผู้โจมตีพยายามรวบรวมข้อมูลข่าวกรองโดยการเข้าถึงข้อมูลอีเมลที่ละเอียดอ่อน

เครื่องมือการขโมยข้อมูลซึ่งใช้งานระหว่างการรณรงค์ยืนยันอีกครั้งว่าข้อมูลอันมีค่าถูกดึงออกมาจากโครงสร้างพื้นฐานของเหยื่อ แฮกเกอร์ใช้เครื่องมือโอเพ่นซอร์สและยูทิลิตี้ Windows ในตัวเพื่อโจมตีต่อไป เครื่องมือเช่น FileZilla, Impacket และ PSCP ถูกนำไปใช้ร่วมกับเทคนิคแบบนอกสถานที่ โดยใช้ Windows Management Instrumentation (WMI), PsExec และ PowerShell เพื่อดำเนินการคำสั่งที่เป็นอันตรายและแทรกซึมเข้าไปในกิจกรรมเครือข่ายที่ถูกต้องตามกฎหมาย

บทบาทของจีนและการใช้เทคนิคการจารกรรมทางไซเบอร์

แม้ว่าจะยังไม่ได้เปิดเผยชื่อขององค์กรที่ถูกโจมตี แต่ปฏิบัติการสำคัญขององค์กรในจีนก็ทำให้หลายคนสงสัยว่าผู้โจมตีมีความเชื่อมโยงกับกลุ่มที่รัฐบาลจีนให้การสนับสนุน การโจมตีทางไซเบอร์อาศัยการโหลดข้อมูลผ่าน DLL เป็นหลัก ซึ่งเป็นกลวิธีเฉพาะของทีมแฮ็กเกอร์จีน ข้อมูลจากการละเมิดนั้นสอดคล้องกับที่พบใน "Crimson Palace" ซึ่งเป็นปฏิบัติการที่รัฐบาลสนับสนุนก่อนหน้านี้ นอกจากนี้ องค์กรนี้ยังเคยตกเป็นเป้าหมายของกลุ่มที่รู้จักกันในชื่อ Daggerfly หรือที่เรียกอีกอย่างว่า Bronze Highland, Evasive Panda และ StormBamboo เมื่อปี 2023 อีกด้วย

ผลกระทบที่กว้างขึ้นสำหรับความปลอดภัยทางไซเบอร์

การละเมิดนี้สะท้อนถึงแนวโน้มที่กว้างขึ้นภายในระบบนิเวศการโจมตีทางไซเบอร์ของจีน ซึ่ง Orange Cyberdefense ได้ทำการวิเคราะห์อย่างละเอียด ปฏิบัติการที่รัฐบาลจีนสนับสนุนมักทำให้เส้นแบ่งระหว่างหน่วยงานของรัฐและเอกชนเลือนลางลง โดยอาศัยมหาวิทยาลัยในการวิจัยขั้นสูงและจ้างผู้รับเหมาเพื่อดำเนินการโจมตี บริษัทปลอมมักถูกจัดตั้งขึ้นโดยบุคคลที่เชื่อมโยงกับหน่วยทหารหรือหน่วยข่าวกรองของจีนเพื่อปกปิดการระบุแหล่งที่มา จัดหาโครงสร้างพื้นฐานดิจิทัล และคัดเลือกแฮกเกอร์โดยไม่ทำให้เกิดความสงสัย

ผลการวิจัยนี้เน้นย้ำถึงลักษณะการดำเนินงานด้านไซเบอร์ของจีนที่ต่อเนื่องและก้าวหน้า แคมเปญที่กำหนดเป้าหมายบริษัทในสหรัฐฯ แห่งนี้ถือเป็นเครื่องเตือนใจที่ชัดเจนถึงภัยคุกคามที่เปลี่ยนแปลงไปและความสำคัญของการป้องกันความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อปกป้องทรัพย์สินสำคัญจากศัตรูของรัฐชาติ