แฮกเกอร์ชาวจีนเจาะระบบกระทรวงการคลังสหรัฐฯ สร้างความตกใจให้กับผู้ไม่หวังดีต่อความปลอดภัยทางไซเบอร์
กระทรวงการคลังสหรัฐฯ ยืนยันว่าแฮกเกอร์ชาวจีนเข้าถึงเวิร์กสเตชันของหน่วยงานและเอกสารที่ไม่เป็นความลับจากระยะไกล ซึ่งทางการเรียกเหตุการณ์นี้ว่าเป็น "เหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ครั้งใหญ่" การละเมิดดังกล่าวเกิดขึ้นหลังจากแฮกเกอร์เข้าควบคุมบริการบนคลาวด์ที่ดำเนินการโดย BeyondTrust ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการจัดการการเข้าถึงที่มีสิทธิพิเศษ
แม้ว่าเจ้าหน้าที่กระทรวงการคลังจะยอมรับว่าเหตุการณ์นี้ร้ายแรงเพียงใด แต่รายละเอียดที่สำคัญยังคงไม่ชัดเจน กระทรวงไม่ได้เปิดเผยจำนวนสถานีงานที่ได้รับผลกระทบหรือลักษณะของเอกสารที่เข้าถึง
สารบัญ
การละเมิดเชื่อมโยงกับภัยคุกคามขั้นสูงที่ต่อเนื่องและเชื่อมโยงกับจีน
การโจมตีดังกล่าวซึ่งเกิดจาก กลุ่ม Advanced Persistent Threat (APT) ที่ได้รับการสนับสนุนจากรัฐบาลจากจีน เกิดขึ้นหลังจากที่แฮกเกอร์ใช้ประโยชน์จากคีย์ API ที่ขโมยมาซึ่งใช้โดย BeyondTrust ตามคำกล่าวของ Aditi Hardikar ผู้ช่วยเลขาธิการฝ่ายบริหารของกระทรวงการคลัง BeyondTrust ได้แจ้งกระทรวงการคลังเมื่อวันที่ 8 ธันวาคมเกี่ยวกับกิจกรรมที่น่าสงสัยที่เชื่อมโยงกับบริการสนับสนุนทางเทคนิคบนคลาวด์
“ด้วยการเข้าถึงคีย์ที่ถูกขโมย ผู้ก่อให้เกิดภัยคุกคามสามารถเข้าถึงการรักษาความปลอดภัยของบริการ เข้าถึงสถานีงานของผู้ใช้ในสำนักงานแผนกกองคลัง (DO) จากระยะไกล และดึงเอกสารที่ไม่เป็นความลับที่ผู้ใช้เหล่านั้นเก็บรักษาไว้ได้” ฮาร์ดิการ์อธิบายในจดหมายถึงสมาชิกรัฐสภา
แม้ว่าระบบที่ไม่จัดประเภทจะมีความอ่อนไหวน้อยกว่าเครือข่ายที่ได้รับการจัดประเภทโดยทั่วไป แต่การบุกรุกระบบก็ยังคงก่อให้เกิดความเสี่ยงอย่างมาก โดยอาจเปิดเผยการดำเนินงานของรัฐบาลหรือเปิดโอกาสให้มีการโจมตีเพิ่มเติมได้
การตอบสนองแบบประสานงานกำลังดำเนินการอยู่
กระทรวงการคลังได้ว่าจ้างหน่วยงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐาน (CISA) เอฟบีไอ ชุมชนข่าวกรอง และนักสืบนิติเวชเอกชน เพื่อวิเคราะห์การละเมิดและประเมินผลกระทบ ตามคำกล่าวของ Hardikar หน่วยงานเหล่านี้กำลังร่วมมือกันเพื่อให้แน่ใจว่าเหตุการณ์นี้ได้รับการควบคุมและเสริมการป้องกันภัยคุกคามในอนาคต
การตอบสนองอย่างรวดเร็วของ CISA ควบคู่ไปกับการตัดสินใจของกระทรวงการคลังที่จะนำบริการที่ถูกบุกรุกออกจากระบบทันทีนั้น จนถึงขณะนี้ยังไม่มีสัญญาณใดๆ บ่งบอกว่าแฮกเกอร์ยังสามารถเข้าถึงระบบของหน่วยงานได้
ช่องโหว่ BeyondTrust ถูกใช้ประโยชน์
BeyondTrust ซึ่งเป็นผู้จำหน่ายที่เป็นหัวใจสำคัญของเหตุการณ์ดังกล่าว ได้ออกแพตช์แก้ไขช่องโหว่สำคัญ (CVE-2024-12356) ในผลิตภัณฑ์ Privileged Remote Access (PRA) และ Remote Support (RS) เมื่อไม่นานนี้ เมื่อวันที่ 5 ธันวาคม บริษัทได้ค้นพบว่าคีย์ API สำหรับ Remote Support SaaS ถูกบุกรุก ทำให้ต้องปิดอินสแตนซ์ที่ได้รับผลกระทบทันที และแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบ
บริบท: คลื่นลูกใหญ่ของการจารกรรมทางไซเบอร์ของจีน
การโจมตีกระทรวงการคลังครั้งนี้เกิดขึ้นท่ามกลางความกังวลที่เพิ่มขึ้นเกี่ยวกับแคมเปญจารกรรมทางไซเบอร์ของจีนที่เรียกกันว่า “ ไต้ฝุ่นเกลือ ” ซึ่ง รายงานว่าแคมเปญดังกล่าวทำให้ปักกิ่งเข้าถึง การสื่อสารที่ละเอียดอ่อนได้ รวมถึงข้อความและการสนทนาทางโทรศัพท์ ซึ่งเกี่ยวข้องกับพลเมืองอเมริกัน
เมื่อปลายเดือนธันวาคม เจ้าหน้าที่สหรัฐยืนยันว่าบริษัทโทรคมนาคม 9 แห่งถูกโจมตีด้วยพายุไต้ฝุ่นซอลต์ การโจมตีกระทรวงการคลังครั้งนี้แม้จะดูเหมือนไม่เกี่ยวข้องกัน แต่ก็เน้นย้ำถึงขอบเขตและความซับซ้อนของปฏิบัติการทางไซเบอร์ที่รัฐบาลจีนสนับสนุนซึ่งกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานและระบบของรัฐบาลสหรัฐ
สิ่งสำคัญที่ต้องจดจำ
เหตุการณ์นี้เป็นการเตือนใจอย่างชัดเจนถึงช่องโหว่สำคัญที่เกิดจากซอฟต์แวร์ของบุคคลที่สาม บริการบนคลาวด์ซึ่งมักถูกมองว่าสะดวกและปลอดภัย อาจกลายเป็นช่องทางให้ผู้โจมตีเข้าถึงได้หากถูกใช้ประโยชน์
องค์กรต่างๆ ไม่ว่าจะเป็นภาครัฐหรือเอกชน จะต้องเฝ้าระวังอยู่เสมอ โดยต้องแน่ใจว่ามีโปรโตคอลความปลอดภัยที่แข็งแกร่ง มีการแพตช์อย่างสม่ำเสมอ และมีแผนรับมือเหตุการณ์ที่เกิดขึ้นอย่างครอบคลุม การที่รัฐบาลสหรัฐฯ ร่วมมือกับหน่วยงานด้านความปลอดภัยทางไซเบอร์อย่างรวดเร็ว แสดงให้เห็นถึงความสำคัญของการตอบสนองต่อภัยคุกคามทางไซเบอร์อย่างประสานงานกัน
เมื่อการสืบสวนดำเนินไป สิ่งหนึ่งที่ชัดเจนคือ ผลกระทบทางด้านความปลอดภัยทางไซเบอร์สูงขึ้นกว่าเดิมในยุคที่ความตึงเครียดทางภูมิรัฐศาสตร์ทวีความรุนแรงขึ้นและการโจมตีทางไซเบอร์ที่ซับซ้อนมากขึ้นเรื่อยๆ