76/69 (IT) ประจำวันจันทร์ที่ 9 กุมภาพันธ์ 2569
Unit 42 จาก Palo Alto Networks เปิดเผยการตรวจพบกลุ่มแฮกเกอร์ระดับรัฐสนับสนุน (State-sponsored) ภายใต้รหัส TGR-STA-1030 (หรือ UNC6619) ซึ่งคาดว่าปฏิบัติการจากภูมิภาคเอเชีย ได้ดำเนินโครงการจารกรรมทางไซเบอร์ขนาดใหญ่ที่เรียกว่า “Shadow Campaigns” โดยมีวัตถุประสงค์หลักเพื่อขโมยข้อมูลลับทางยุทธศาสตร์ เศรษฐกิจ และการเมือง จากหน่วยงานรัฐบาลและโครงสร้างพื้นฐานสำคัญทั่วโลก จากรายงานพบว่ามีการสอดแนมเป้าหมายครอบคลุมถึง 155 ประเทศ และประสบความสำเร็จในการเจาะระบบองค์กรกว่า 70 แห่งใน 37 ประเทศ เพื่อเข้าถึงข้อมูลอ่อนไหวเกี่ยวกับนโยบายการค้า ปัญหาภูมิรัฐศาสตร์ และข้อมูลการเลือกตั้ง
ปฏิบัติการครั้งนี้ส่งผลกระทบต่อหน่วยงานระดับสูงในหลายภูมิภาค ไม่ว่าจะเป็นกระทรวงการคลังในออสเตรเลีย รัฐสภาในยุโรป รวมถึงโครงสร้างพื้นฐานในไต้หวันและลาตินอเมริกา สำหรับในประเทศไทย มีการระบุว่ามีองค์กรตกเป็นเป้าหมายและถูกเจาะระบบเช่นกัน นอกจากนี้กลุ่มแฮกเกอร์ยังแสดงความเชี่ยวชาญในการเลือกจังหวะเวลาโจมตี โดยจะเร่งกิจกรรมการสอดแนมในช่วงเหตุการณ์สำคัญ เช่น ช่วงก่อนการเลือกตั้งระดับชาติ หรือในช่วงที่เกิดวิกฤตการเมืองในประเทศเป้าหมาย เพื่อรวบรวมข้อมูลที่มีความสำคัญสูงสุดในขณะนั้น
เทคนิคที่แฮกเกอร์ใช้มีความซับซ้อนสูง โดยมักเริ่มจากการส่งอีเมลฟิชชิ่งที่แนบลิงก์ฝากไฟล์จาก Mega.nz แอบอ้างเรื่อง “การปรับโครงสร้างองค์กรภายใน” เพื่อหลอกให้เจ้าหน้าที่หลงเชื่อและติดตั้งมัลแวร์ Diaoyu นอกจากนี้ยังมีการใช้เครื่องมือล้ำสมัยอย่าง ShadowGuard ซึ่งเป็น Linux Rootkit ประเภท eBPF ที่ตรวจจับได้ยากมาก เพราะทำงานในระดับ Kernel ของระบบปฏิบัติการ ทำให้สามารถซ่อนตัวจากการตรวจสอบของโปรแกรมแอนตี้ไวรัสทั่วไปได้ ผู้เชี่ยวชาญจึงขอเตือนให้องค์กรภาครัฐและเอกชนเพิ่มความระมัดระวังในการเปิดลิงก์จากอีเมลที่ไม่รู้จัก และเร่งตรวจสอบช่องโหว่ในระบบ เช่น Microsoft Exchange และ SAP เพื่อป้องกันการถูกโจมตีจากกลุ่มจารกรรมระดับโลกกลุ่มนี้
