321/69 (IT) ประจำวันจันทร์ที่ 15 มิถุนายน 2569
มีการเปิดเผยปฏิบัติการจารกรรมไซเบอร์ Operation Highland ซึ่งเชื่อมโยงกับกลุ่มภัยคุกคาม Velvet Ant โดยผู้โจมตีสามารถแทรกซึมและคงอยู่ภายในเครือข่ายขององค์กรเป้าหมาย รวมถึงเครือข่ายโครงสร้างพื้นฐานสำคัญที่ถูกแยกออกจากอินเทอร์เน็ตโดยตรง ได้นานถึง 10 ปี การโจมตีเริ่มจากระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ก่อนใช้เป็นจุดเชื่อมต่อเข้าสู่เครือข่ายภายในที่ไม่มีการเชื่อมต่อภายนอกโดยตรง
ผู้โจมตีใช้เครื่องมือหลายชนิดเพื่อรักษาการเข้าถึงและเคลื่อนย้ายภายในระบบ เช่น reverse shell ที่ดัดแปลงจาก GS-Netcat, SOCKS5 proxy สำหรับรับส่งทราฟฟิกภายใน และการแก้ไขค่า Nginx เพื่อเปิดช่องทางสั่งรันคำสั่งเข้าสู่เครือข่ายที่ถูกแยกออก นอกจากนี้ยังพบการดัดแปลงส่วนประกอบสำคัญของระบบยืนยันตัวตน เช่น PAM และ OpenSSH เพื่อฝัง backdoor ขโมยข้อมูลบัญชีผู้ใช้ บันทึกคำสั่งที่ผู้ดูแลระบบใช้งาน และทำให้ผู้โจมตีสามารถคงอยู่ในระบบได้ แม้มีการเปลี่ยนรหัสผ่านหรือยุติเซสชันเดิม
การกู้คืนระบบหลังพบการบุกรุกทำได้ยาก เนื่องจากผู้โจมตีได้แทนที่ส่วนประกอบสำคัญของระบบหลายรายการด้วยไฟล์ที่ถูกดัดแปลง หากลบหรือเปลี่ยนไฟล์ทันทีอาจทำให้ระบบยืนยันตัวตนเสียหาย ผู้ดูแลระบบถูกล็อกออก หรือเกิดผลกระทบต่อการดำเนินงาน องค์กรจึงควรให้ความสำคัญกับการป้องกันและตรวจสอบส่วนประกอบด้านยืนยันตัวตน เช่น PAM, OpenSSH และ Windows LSASS ด้วย EDR, File Integrity Monitoring, การควบคุมสิทธิ์บัญชีผู้ดูแลระบบ, MFA และการเฝ้าระวังการแก้ไขไฟล์โดยไม่ได้รับอนุญาต รวมถึงเตรียมแผนกู้คืนแบบออฟไลน์และสำรองข้อมูลที่ทดสอบได้จริง