313/68 (IT) ประจำวันศุกร์ที่ 29 สิงหาคม 2568
หน่วยงานความมั่นคงด้านไซเบอร์จากสหรัฐฯ และอังกฤษ รวมถึงพันธมิตรจากอีกกว่า 12 ประเทศ ได้ออกมาเปิดเผยความเชื่อมโยงของปฏิบัติการแฮกข้อมูลระดับโลกที่ชื่อ Salt Typhoon กับ 3 บริษัทเทคโนโลยีสัญชาติจีน ได้แก่ Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co. และ Sichuan Zhixin Ruijie Network Technology Co. Ltd. โดยบริษัทเหล่านี้ถูกระบุว่ามีการจัดหาผลิตภัณฑ์และบริการด้านไซเบอร์ให้แก่กระทรวงความมั่นคงแห่งรัฐและกองทัพปลดปล่อยประชาชนจีน เพื่อนำไปใช้ในการสอดแนมทางไซเบอร์ โดยมีการเจาะระบบรัฐบาล โทรคมนาคม ขนส่ง โรงแรม และเครือข่ายทางทหารทั่วโลกตั้งแต่ปี 2021 เป็นต้นมา
รายงานร่วมจากหน่วยงานด้านไซเบอร์และข่าวกรองจาก 13 ประเทศระบุว่า กลุ่มแฮกเกอร์เหล่านี้ประสบความสำเร็จอย่างสูงในการใช้ช่องโหว่ที่ทราบกันดีอยู่แล้วและมีแพตช์แก้ไขนานแล้วบนอุปกรณ์เครือข่ายปลายทาง (Network Edge Devices) เช่น Ivanti, Palo Alto และ Cisco แทนที่จะอาศัยช่องโหว่แบบ zero-day ที่ยังไม่เคยถูกเปิดเผยมาก่อน เมื่อแฮกเกอร์เจาะเข้าถึงอุปกรณ์เหล่านี้ได้แล้ว ก็จะทำการปรับเปลี่ยนการตั้งค่าระบบเพื่อสร้างช่องทางให้สามารถเข้ามายังเครือข่ายนั้นได้อย่างต่อเนื่อง และใช้เครื่องมือที่พัฒนาขึ้นเองเพื่อดักจับข้อมูลการรับส่งข้อมูลและขโมยข้อมูลต่าง ๆ ออกไป แม้แต่อุปกรณ์ที่ไม่ได้เป็นเป้าหมายหลักก็ยังถูกใช้เป็นจุดพักเพื่อเจาะเข้าไปยังเครือข่ายของเป้าหมายที่แท้จริงได้อีกด้วย ตลอดหลายปีที่ผ่านมา กลุ่ม Salt Typhoon ถูกเชื่อมโยงกับการโจมตีเครือข่ายโทรคมนาคมรายใหญ่ของสหรัฐฯ อาทิ AT&T, Verizon และ Lumen จนสามารถเข้าถึงข้อมูลการสื่อสารที่อ่อนไหว เช่น ข้อความเสียง ข้อความสั้น และแม้กระทั่งระบบดักฟังของหน่วยงานบังคับใช้กฎหมายสหรัฐฯ กรณีดังกล่าวทำให้ FCC สั่งผู้ให้บริการโทรคมนาคมต้องยกระดับมาตรการรักษาความปลอดภัยตามกฎหมาย CALEA ขณะเดียวกัน กลุ่มนี้ยังมีส่วนเกี่ยวข้องกับการเจาะระบบเครือข่ายของ U.S. Army National Guard เป็นเวลาเกือบ 9 เดือนในปี 2024 ส่งผลให้ข้อมูลการตั้งค่าระบบและบัญชีผู้ดูแลรั่วไหล
เพื่อป้องกันภัยคุกคามดังกล่าว หน่วยงานด้านไซเบอร์จึงแนะนำให้องค์กรต่างๆ ให้ความสำคัญกับการอัปเดตแพตช์แก้ไขช่องโหว่บนอุปกรณ์ต่าง ๆ เป็นอันดับแรก ตามด้วยการปรับปรุงการตั้งค่าอุปกรณ์ให้ปลอดภัย ตรวจสอบการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต และปิดการใช้งานบริการที่ไม่จำเป็น รวมถึงแนะนำให้ค้นหาสัญญาณของการถูกเจาะระบบอยู่เสมอ เนื่องจากกลุ่มแฮกเกอร์นี้อาศัยช่องโหว่ที่ทราบอยู่แล้ว ซึ่งง่ายต่อการตรวจจับหากมีการตรวจสอบอย่างสม่ำเสมอ
