203/69 (IT) ประจำวันศุกร์ที่ 10 เมษายน 2569
รายงานจาก Microsoft Threat Intelligence เปิดเผยว่ากลุ่มแฮกเกอร์ที่รู้จักในชื่อ Forest Blizzard หรือ Fancy Bear ได้ดำเนินการโจมตีโดยยึดควบคุมเราเตอร์ตามบ้านและสำนักงานขนาดเล็ก (SOHO) จำนวนมาก เพื่อใช้เป็นโครงสร้างพื้นฐานสำหรับการสอดแนมข้อมู โดยกิจกรรมดังกล่าวมีการติดตามมาตั้งแต่เดือนสิงหาคม 2025 และมีการขยายขอบเขตอย่างต่อเนื่อง
กลุ่มผู้โจมตีใช้เทคนิค DNS Hijacking โดยเข้าควบคุมการทำงานของระบบ Domain Name System (DNS) ซึ่งทำหน้าที่แปลงชื่อเว็บไซต์เป็นที่อยู่ IP เพื่อเปลี่ยนเส้นทางการเชื่อมต่อของผู้ใช้งานไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม ส่งผลให้สามารถดักจับข้อมูลและเฝ้าติดตามพฤติกรรมการใช้งานอินเทอร์เน็ตได้โดยไม่รู้ตัว นอกจากนี้ยังมีการใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น dnsmasq เพื่อบริหารจัดการการเปลี่ยนเส้นทางดังกล่าว ทำให้การโจมตีมีลักษณะต่อเนื่องและยากต่อการตรวจจับ โดยมีรายงานว่ามีอุปกรณ์ผู้ใช้งานมากกว่า 5,000 เครื่อง และองค์กรกว่า 200 แห่งได้รับผลกระทบ
การโจมตีดังกล่าวได้พัฒนาไปสู่รูปแบบ Adversary-in-the-Middle (AiTM) ซึ่งผู้โจมตีแทรกตัวอยู่ระหว่างผู้ใช้งานและบริการปลายทาง เพื่อดักจับข้อมูลสำคัญ เช่น อีเมลจากบริการ Microsoft Outlook รวมถึงข้อมูลในภาคส่วนสำคัญ เช่น พลังงาน เทคโนโลยีสารสนเทศ และโทรคมนาคม โดยมีรายงานว่าสามารถเข้าถึงข้อมูลจากหน่วยงานภาครัฐในแอฟริกาได้สำเร็จ เหตุการณ์นี้แสดงถึงความเสี่ยงของโครงสร้างพื้นฐานเครือข่ายภายในบ้านและสำนักงานขนาดเล็ก โดยเฉพาะในยุคการทำงานแบบ Hybrid และ Remote ซึ่งองค์กรควรเพิ่มมาตรการป้องกัน เช่น การใช้ Multi-Factor Authentication (MFA) การหลีกเลี่ยงการใช้อุปกรณ์เครือข่ายที่ไม่มีความปลอดภัยเพียงพอ และการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ เพื่อป้องกันการถูกโจมตีและการรั่วไหลของข้อมูลสำคัญ
แหล่งข่าว https://hackread.com/russian-forest-blizzard-hackers-hijack-home-routers/