xs
xsm
sm
md
lg

ทั้งหน่วยงานรัฐบาลสหรัฐฯและธุรกิจเป็นหมื่นรายอลเวงหนัก เจอ‘แฮกเกอร์รัสเซีย’แอบเจาะเครือข่ายครั้งมโหฬารมาเป็นแรมเดือน

เผยแพร่:   โดย: สำนักข่าวรอยเตอร์



U.S. Homeland Security, thousands of businesses scramble after suspected Russian hack
By Jack Stubbs, Raphael Satter and Joseph Menn, REUTERS
14/12/2020

ลอนดอน/วอชิงตัน - เมื่อวันจันทร์ (14 ธ.ค.) ที่ผ่านมา กระทรวงความมั่นคงแห่งมาตุภูมิ (ดีเอชเอส) ของสหรัฐฯ และธุรกิจเป็นพันเป็นหมื่นแห่ง ต่างต้องพากันรีบเร่งตรวจสอบและตอบโต้รับมือกับการรณรงค์แอบเจาะระบบล้วงข้อมูลจากเครือข่ายคอมพิวเตอร์ครั้งมโหฬาร ซึ่งพวกเจ้าหน้าที่สงสัยกันว่าน่าจะบงการโดยรัฐบาลรัสเซีย

อีเมลต่างๆ ที่ส่งโดยพวกเจ้าหน้าที่ในกระทรวง ดีเอชเอส ซึ่งมีหน้าที่ควบคุมตรวจสอบความมั่นคงปลอดภัยของแนวชายแดนของสหรัฐฯ และการป้องกันต่อต้านการลักลอบเจาะเครือข่าย ได้ถูกกลุ่มแฮกเกอร์แอบเฝ้าติดตามอาจจะเป็นระยะเวลาแรมเดือนทีเดียว โดยนี่เป็นแค่ส่วนหนึ่งของการรั่วไหลอันละเอียดอ่อนซับซ้อนชุดใหญ่ บุคคลผู้คุ้นเคยกับเรื่องนี้ 3 รายเล่าให้สำนักข่าวรอยเตอร์ฟังในวันจันทร์ (14 ธ.ค.)

การโจมตีทางไซเบอร์เช่นนี้ ที่รอยเตอร์รายงานเปิดเผยให้ทราบกันเป็นเจ้าแรกเมื่อวันอาทิตย์ (13 ธ.ค.) ยังเล่นงานใส่กระทรวงการคลังและกระทรวงพาณิชย์ของสหรัฐฯ โดยที่หลายๆ ส่วนของกระทรวงกลาโหมอเมริกันก็มีการรั่วไหลเช่นกัน ตามรายงานของนิวยอร์กไทมส์ในคืนวันจันทร์ (14 ธ.ค.) ขณะเดียวกันวอชิงตันโพสต์รายงานว่ากระทรวงการต่างประเทศ และสถาบันสุขภาพแห่งชาติ (National Institutes of Health) ก็ถูกแฮกด้วย หน่วยงานเหล่านี้ไม่มีรายใดให้ความเห็นเมื่อรอยเตอร์ติดต่อสอบถาม

โดยที่โฆษกผู้หนึ่งของกระทรวงกลาโหมสหรัฐฯกล่าวเพียงว่า “ด้วยเหตุผลทางด้านการปฏิบัติการเพื่อความมั่นคงปลอดภัย กระทรวงกลาโหมจะไม่ให้ความเห็นใดๆ ในเรื่องมาตรการบรรเทาความเสียหายอย่างเฉพาะเจาะจง หรือระบุเจาะจงว่าระบบใดที่อาจจะได้รับผลกระทบ”

ทางด้าน โซลาร์วินด์ส (SolarWinds) บริษัทเทคโนโลยี ที่ถูกพวกแฮกเกอร์เหล่านี้ใช้เป็นที่วางเท้าในการดำเนินการเจาะล้วงความลับคราวนี้ แถลงว่ามีลูกค้าของบริษัทจำนวนอาจจะสูงถึง 18,000 ราย ได้ดาวน์โหลดการอัปเดตซอฟต์แวร์ที่มีปัญหาจุดอ่อนรูรั่ว ซึ่งเปิดทางให้พวกแฮกเกอร์สามารถแอบแฝงเข้าสอดแนมเครือข่ายทั้งในธุรกิจต่างๆ และหน่วยงานภาครัฐแห่งต่างๆ โดยไม่เป็นที่สังเกตพบเห็นเป็นเวลายาวนานเกือบๆ 9 เดือน

รัฐบาลสหรัฐฯนั้นได้ออกคำชี้แนะฉุกเฉินฉบับหนึ่งเมื่อวันอาทิตย์ (13 ธ.ค.) ซึ่งมีเนื้อหาสั่งการให้บรรดายูสเซอร์ภาครัฐบาลยุติการติดต่อใช้งานซอฟต์แวรของโซลาร์วินด์ส โดยที่คำชี้แนะฉุกเฉินระบุว่ามีจุดอ่อนรูรั่วซึ่งทำให้ “ตัวแสดงที่ประสงค์ร้าย” สามารถฉวยใช้ประโยชน์

คำเตือนดังกล่าวมีขึ้นภายหลังรอยเตอร์รายงานข่าวว่า พวกคนร้ายซึ่งสงสัยกันว่าเป็นกลุ่มแฮกเกอร์รัสเซีย ได้ลักลอบใช้จุดอ่อนจากการอัปเดตซอฟต์แวร์ของโซลาร์วินด์ส เพื่อเจาะเข้าสู่เครือข่ายคอมพิวเตอร์ของหน่วยงานรัฐบาลอเมริกันหลายต่อหลายแห่ง ขณะที่ทางการมอสโกได้ออกมาแถลงปฎิเสธว่าไม่มีความเกี่ยวข้องใดๆ กับการโจมตีทางไซเบอร์นี้

หนึ่งในบุคคลที่คุ้นเคยกับเรื่องการตรวจสอบการรณรงค์แอบเจาะระบบครั้งมโหฬารคราวนี้ บอกกับรอยเตอร์ว่า เครือข่ายสำคัญอย่างยิ่งยวดซึ่งแผนกงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของกระทรวงดีเอชเอส ใช้ในการปกป้องคุ้มครองโครงสร้างพื้นฐาน รวมทั้งการเลือกตั้งที่จัดขึ้นเมื่อเดือนที่แล้วนั้น ไม่ได้ถูกเจาะถูกล้วงแต่อย่างใด

ขณะที่ กระทรวงดีเอชเอสเองแถลงว่า ได้ทราบรายงานข่าวเรื่องนี้แล้ว แต่ก็ไม่ได้ยืนยันข่าวนี้โดยตรง หรือแจ้งว่าความเสียหายที่เกิดขึ้นหนักหนาสาหัสขนาดไหน

ดีเอชเอสเป็นหน่วยราชการขนาดมหึมา โดยมีความรับผิดชอบด้านต่างๆ มากมาย หนึ่งในนั้นได้แก่การทำให้การกระจายแจกจ่ายวัคซีนป้องกันโควิด-19 ออกไปทั่วประเทศสามารถดำเนินไปได้อย่างมั่นคงปลอดภัย

ในกระทรวงนี้ ยังมีหน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งมีชื่อเสียงเป็นที่รู้จักกันในชื่อย่อว่า CISA ทว่าหน่วยงานนี้ประสบความปั่นป่วนอยางหนักหน่วงอยู่ในเวลานี้ จากการที่ประธานาธิบดีโดนัลด์ ทรัมป์ สั่งปลด คริส เครบส์ (Chris Krebs) ผู้อำนวยการ CISA ภายหลังที่ เครบส์ แถลงว่าการเลือกตั้งประธานาธิบดีที่เพิ่งผ่านมาเป็นครั้งที่มีความมั่นคงปลอดภัยที่สุดในประวัติศาสตร์อเมริกัน โดยที่ทั้งรองผู้อำนวยการและหัวหน้าส่วนงานที่ดูแลเรื่องการเลือกตั้งก็ลาออกไปด้วย

โซลาร์วินด์ส ระบุในเอกสารเปิดเผยผลการตรวจสอบซึ่งบริษัทต้องกระทำตามระเบียบข้อบังคับว่า บริษัทเชื่อว่าการโจมตีครั้งนี้เป็นผลงานของ “รัฐ-ชาติภายนอก” ซึ่งแอบสอดแทรกโค้ดที่มุ่งประสงค์ร้ายเข้าไปในการอัปเดตของผลิตภัณฑ์โอไรออน (Orion) ซึ่งเป็นซอฟต์แวร์ด้านการบริหารจัดการเครือข่ายของโซลาร์วินด์ส โดยที่การอัปเดตมีขึ้นในช่วงระหว่างเดือนมีนาคมถึงเดือนมิถุนายนปีนี้

“เวลานี้ โซลาร์วินด์ส เชื่อว่า จำนวนจริงๆ ของลูกค้าซึ่งน่าจะมีการติดตั้งผลิตภัณฑ์โอไรออนที่บรรจุจุดอ่อนรูรั่วนี้เอาไว้ มีจำนวนน้อยกว่า 18,000 ราย” บริษัทบอก

บริษัทไม่ได้ตอบอะไรเมื่อถูกสอบถามขอให้พูดเกี่ยวกับเรื่องจำนวนที่แน่นอนของลูกค้าซึ่งมีจุดอ่อนรูรั่วในเครือข่ายขึ้นมา หรือขนาดขอบเขตของการรั่วไหลใดๆ ขององค์การทั้งภาคเอกชนและภาครัฐเหล่านี้

โซลาร์วินด์ส แถลงว่าสำหรับผลิตภัณฑ์อื่นๆ ของตนนั้น บริษัทไม่ได้คิดไม่ได้รับรู้ว่ามีจุดอ่อนเปราะแต่อย่างใด และเวลานี้กำลังดำเนินการสอบสวนตรวจสอบด้วยความช่วยเหลือจากทางการผู้บังคับใช้กฎหมายสหรัฐฯ และพวกผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก

บริษัทแห่งนี้อวดว่ามีลูกค้าอยู่ 300,000 รายในทั่วโลก ในจำนวนนี้รวมถึงพวกบริษัทใหญ่ในสหรัฐฯที่ติดอันดับอยู่ใน “ฟอร์จูน 500” (Fortune 500) มากกว่าครึ่งหนึ่ง ตลอดจนหน่วยงานบางส่วนที่มีความอ่อนไหวสูงที่สุดของรัฐบาลสหรัฐฯและรัฐบาลสหราชอาณาจักร เป็นต้นว่า ทำเนียบขาว, พวกกระทรวงกลาโหม, พวกหน่วยงานข่าวกรองด้านสัญญาณสื่อสารของประเทศทั้งสอง

เนื่องจากคนร้ายที่เข้าโจมตีคราวนี้ ได้ใช้ซอฟต์แวร์ โซลาวินด์ส เบิกทางเพื่อเข้าสู่ภายในเครือข่าย แล้วจากนั้นก็สร้างประตูหลังแห่งใหม่ขึ้นมา ดังนั้นแค่เพียงการตัดการติดต่อเชื่อมโยงกับโปรแกรมบริหารจัดการเครือข่ายโอไรออน จึงยังไม่เพียงพอที่จะเตะพวกแฮกเกอร์ออกจากระบบได้ ผู้เชี่ยวชาญหลายรายชี้

ด้วยเหตุผลข้อนี้เอง ลูกค้าหลายพันหลายหมื่นรายจึงต่างกำลังจับตามองหาสัญญาณร่องรอยต่างๆ ที่แสดงถึงการปรากฏตัวของพวกแฮกเกอร์เหล่านี้ และเข้าจัดการสยบการทำงานของพวกเครื่องมือพิเศษเพิ่มเติมที่ตรวจสอบพบเห็น

พวกผู้ดำเนินการสอบสวนตลอดทั่วโลกขณะนี้กำลังสาละวนอยู่กับการค้นหาว่ามีใครบ้างที่ถูกเล่นงาน

โฆษกผู้หนึ่งของรัฐบาลสหราชอาณาจักรบอกว่า ทางสหราชอาณาจักรเวลานี้ยังไม่พบเห็นไม่ได้รับรู้ว่าเกิดผลกระทบใดๆ จากการถูกแฮกครั้งนี้ แต่ก็ยังคงดำเนินการสอบสวนตรวจสอบกันต่อไปอีก

ขณะที่บุคคล 3 รายซึ่งคุ้นเคยทราบเรื่องการสอบสวนการแฮกคราวนี้ บอกกับรอยเตอร์ว่า หน่วยงานองค์กสรใดๆ ก็ตามที่กำลังใช้ซอฟต์แวร์โอไรออนเวอร์ชั่นที่มีจุดอ่อนรูรั่ว จะถูกพวกคนร้ายติดตั้ง “ประตูหลัง” เอาไว้ในระบบคอมพิวเตอร์ของพวกเขา

“หลังจากนั้น มันก็มีคำถามเพียงแค่ว่าพวกผู้เข้าโจมตีเหล่านี้ตัดสินใจที่จะหาประโยชน์จากการเข้าถึงนี้ต่อไปอีกหรือไม่เท่านั้น” หนึ่งในแหล่งข่าวเหล่านี้กล่าว

สิ่งบ่งชี้หลายๆ อย่างในตอนต้นๆ ส่อแสดงให้เห็นว่า แฮกเกอร์กลุ่มนี้มีการจำแนกแยกแยะว่าพวกเขาเลือกที่จะเจาะเข้าไปในระบบของใครบ้าง ทั้งนี้ตามคำบอกเล่าของบุคคล 2 คนที่คุ้นเคยกับกระแสการสอบสวนด้านความมั่นคงปลอดภัยทางไซเบอร์ของภาคบรรษัท ซึ่งเริ่มต้นทำงานกันในตอนเช้าวันจันทร์ (14 ธ.ค.)

“สิ่งที่เราพบเห็นกันอยู่ในตอนนี้ ยังห่างไกลนักจากการมองเห็นภาพรวมความเป็นไปได้ทั้งหมดที่อาจเกิดขึ้นมาได้” หนึ่งในบุคคลเหล่านี้กล่าว “พวกผู้เข้าโจมตีกำลังใช้สิ่งนี้เหมือนกับเป็นมีดผ่าตัดเล่มหนึ่ง”

ไฟร์อาย (FireEye) บริษัทสำคัญมากรายหนึ่งในแวดวงความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งก็ถูกแอบเจาะระบบในลักษณะที่เกี่ยวข้องกับเหตุการณ์ครั้งนี้ด้วย ระบุในโพสต์บนบล็อกชิ้นหนึ่งว่า เป้าหมายอื่นๆ ที่อาจจะถูกเล่นงาน มีทั้ง “รัฐบาล, กิจการด้านที่ปรึกษา, กิจการเทคโนโลยี, กิจการเทเลอคอม, กิจการด้านการขุดเจาะ ทั้งในอเมริกาเหนือ, ยุโรป, เอเชีย, และตะวันออกกลาง”

“ถ้าหากมันเป็นการจารกรรมทางไซเบอร์แล้ว นี่ก็เป็นหนึ่งในการรณรงค์ทำจารกรรมทางไซเบอร์ที่ประสบผลที่สุดเท่าที่เราได้เคยพบเห็นมาในรอบระยะเวลาประมาณหนึ่งทีเดียว” นี่เป็นคำกล่าวของ จอห์น ฮัลต์ควิสต์ (John Hultquist) ผู้อำนวยการฝ่ายการวิเคราะห์ข่าวกรองของไฟร์อาย

(ต้นฉบับภาษาอังกฤษดูได้ที่ https://www.reuters.com/article/global-cyber/us-homeland-security-thousands-of-businesses-scramble-after-suspected-russian-hack-idUSKBN28O1Z3)


หมายเหตุผู้แปล

สำนักข่าวเอพี ได้จัดทำคำอธิบายในลักษณะคำถาม-คำตอบ เกี่ยวกับเหตุการณ์แฮกหน่วยงานรัฐบาลสหรัฐฯและธุรกิจต่างๆ อย่างมโหฬารคราวนี้ ซึ่งเป็นการเพิ่มเติมความเข้าใจและมุมมองเกี่ยวกับเรื่องนี้ จึงขอเก็บความนำมาเสนอในที่นี้

แฮกเกอร์โจมตีหลายหน่วยงานรัฐบาลสหรัฐฯ เป็นเรื่องร้ายแรงขนาดไหน?
โดย สำนักข่าวเอพี

EXPLAINER: How bad is the hack that targeted US agencies?
By MATT O'BRIEN and FRANK BAJAK AP Technology Writers
15/12/2020

หลายๆ รัฐบาล และบริษัทขนาดใหญ่ๆ ทั่วโลก กำลังโกลาหลอลหม่านในการตรวจสอบว่า พวกเขาตกเป็นเหยื่ออีกรายหนึ่งหรือเปล่า เหยื่อของการรณรงค์ทำจารกรรมทางไซเบอร์ระดับทั่วโลก ซึ่งพวกแฮกเกอร์ได้แอบแทรกตัวเจาะผ่านเครือข่ายคอมพิวเตอร์ของหน่วยงานรัฐบาลสหรัฐฯหลายต่อหลายแห่ง โดยอาศัยผลิตภัณฑ์ซอฟต์แวร์ตัวหนึ่งที่องค์การจำนวนนับพันนับหมื่นแห่งนิยมใช้กันอยู่ ทั้งนี้ รัสเซีย ที่เป็นผู้ต้องสงสัยรายสำคัญที่สุด
ออกมาปฏิเสธว่าไม่มีส่วนเกี่ยวข้องอะไรด้วย ขณะที่พวกมือสอบสวนตรวจสอบด้านความมั่นคงปลอดภัยทางไซเบอร์บอกว่า การลักลอบเจาะระบบคราวนี้มีผลกระทบอย่างกว้างไกลยิ่งกว่าแค่พวกหน่วยงานสหรัฐฯที่ถูกเล่นงานเท่านั้น ในเบื้องต้นเลยมีการเอ่ยชื่อกระทรวงการคลังและกระทรวงพาณิชย์ของสหรัฐฯว่าตกเป็นเป้าถูกโจมตี ทว่าไม่มีการเปิดเผยว่ายังมีบริษัทต่างๆ หรือรัฐบาลอื่นๆ หรือไม่ซึ่งก็ตกเป็นเหยื่อเช่นเดียวกัน

เกิดอะไรขึ้น?

การแฮกคราวนี้เริ่มต้นขึ้นตั้งแต่เดือนมีนาคมแล้ว เมื่อมีผู้แอบนำเอาโค้ดที่มุ่งประสงค์ร้าย
ใส่เข้าไปในการอัปเดตของซอฟต์แวร์ยอดนิยมตัวหนึ่งซึ่งทำหน้าที่ติดตามตรวจสอบการทำงานของเครือข่ายคอมพิวเตอร์ของธุรกิจต่างๆ และของหน่วยงานรัฐบาลต่างๆ เจ้ามัลแวร์นี้
ที่ถูกแอบใส่เข้าไปในผลิตภัณฑ์ซอฟต์แวร์ของบริษัทสหรัฐฯนามว่า “โซลาร์วินด์ส” (SolarWinds) ทำให้พวกแฮกเกอร์ชั้นนำสามารถเจาะเข้าไปในเครือข่ายคอมพิวเตอร์ขององค์การต่างๆ เปิดช่องให้พวกเขาสามารถโจรกรรมข้อมูลข่าวสารไปได้ พฤติการณ์นี้ไม่ได้ถูกจับได้พบเห็นเป็นเวลาหลายเดือนทีเดียว จวบจนกระทั่งเมื่อ ไฟร์อาย (FireEye)
บริษัทรายสำคัญมากในวงการความมั่นคงปลอดภัยทางไซเบอร์ ค้นพบว่าตนเองถูกแฮก

ใครก็ตามที่แอบเจาะเข้าไปในไฟร์อายนั้น คือพวกที่กำลังมุ่งเสาะหาข้อมูลเกี่ยวกับพวกลูกค้าที่เป็นหน่วยงานรัฐบาลของบริษัท ไฟร์อายแถลงเอาไว้เช่นนี้ และเวลาเดียวกันนั้น คนร้ายเหล่านี้ก็มุ่งจะโจรกรรมพวกอุปกรณ์การแฮกที่บริษัทใช้ในการพิสูจน์ทดสอบมาตรการป้องกันของพวกลูกค้า

“ไม่มีหลักฐานใดๆ ที่แสดงว่าการกระทำคราวนี้มีจุดมุ่งหมายเพื่อการทำลายล้างผลาญ” เป็นความเห็นของ เบน บูคานัน (Ben Buchanan) ผู้เชี่ยวชาญเรื่องการจารกรรมทางไซเบอร์ ซึ่งประจำอยู่ที่มหาวิทยาลัยจอร์จทาวน์ (Georgetown University)และเป็นผู้เขียนหนังสือเรื่อง “The Hacker and The State” (แฮกเกอร์กับรัฐ) เขาพูดถึงขนาดขอบเขตอันใหญ่โตมโหฬารของการรณรงค์เจาะเครือข่ายครั้งนี้ว่า “น่าประทับใจ, เป็นสิ่งที่คิดไม่ถึง, และเป็นการเตือนให้ระมัดระวังภัยอันตราย”

ช่วงระยะเวลาที่ดูเหมือนยาวนานเป็นแรมเดือน ทำให้พวกแฮกเกอร์กลุ่มนี้มีเวลาอย่างเหลือเฟือในการแอบสกัดเอาข้อมูลข่าวสารต่างๆ จากเป้าหมายหลายๆ แห่งเป็นจำนวนมาก บูคานันบอกว่ามันน่าจะมีผลกระทบอย่างสำคัญใหญ่โตทีเดียว โดยที่ขนาดของมันสามารถเปรียบเทียบได้กับคราวที่แฮกเกอร์จีน (ดูเพิ่มเติมได้ที่https://apnews.com/article/386c4c1926fe4d039d16e8edee0866aa) ลักลอบเจาะเครือข่ายของสำนักงานบริหารงานบุคคลสหรัฐฯ (U.S. Office of Personnel Management) เมื่อปี 2015 ซึ่งข้อมูลประวัติการทำงานของพวกพนักงานลูกจ้างรัฐบาลสหรัฐฯ และผู้ยื่นสมัครงานกับรัฐบาลสหรัฐฯรวม 22 ล้านรายได้ถูกโจรกรรมไป

ชาร์ลส์ คาร์มาแคล (Charles Carmakal) ผู้บริหารของไฟร์อาย บอกว่าทางบริษัททราบว่า มี “เป้าหมายมูลค่าสูงอย่างไม่น่าเชื่อจำนวนหลายสิบแห่ง” ซึ่งถูกพวกแฮกเกอร์สร้างให้เกิดจุดอ่อนรูโหว่ และไฟร์อายกำลังช่วยเหลือ “องค์การต่างๆ จำนวนหนึ่งให้ตอบโต้รับมือกับการที่พวกเขาถูกก้าวก่ายแทรกแซง” ทั้งนี้เขาไม่ได้เอ่ยชื่อใดๆ ออกมา แต่บอกว่า เขาคาดหวังว่าหลายๆ คนจะสามารถเรียนรู้ได้มากขึ้นแล้วว่าในวันหนึ่งข้างหน้า พวกเขาก็อาจจะถูกแทรกซึมได้เช่นเดียวกัน

โซลาร์วินด์ส คือใคร?

บริษัทโซลาร์วินด์ส ซึ่งตั้งสำนักงานอยู่ที่เมืองออสติน รัฐเทกซัส เป็นผู้จำหน่ายซอฟต์แวร์เพื่อการติดตามตรวจสอบเครือข่าย ตลอดจนให้บริการทางเทคนิคอย่างอื่นๆ แก่องค์การจำนวนหลายแสนรายทั่วโลก โดยในนี้รวมถึงพวกบริษัทใหญ่เกือบทั้งหมดที่มีชื่อติดอันดับ
“ฟอร์จูน 500” (Fortune 500) ตลอดจนหน่วยงานรัฐบาลต่างๆ ทั้งในอเมริกาเหนือ, ยุโรป, เอเชีย, และตะวันออกกลาง

ผลิตภัณฑ์ของบริษัทที่เกิดจุดอ่อนรูโหว่ขึ้นมาคราวนี้ มีชื่อว่า “โอไรออน” (Orion) ซึ่งเป็นตัวสร้างรายรับจำนวนเกือบๆ ครึ่งหนึ่งทีเดียวของโซลาร์วินด์ส ทั้งนี้ในช่วง 9 เดือนแรกของปีนี้ รายรับรวมทั้งสิ้นของบริษัทแห่งนี้อยู่ที่ 753.9 ล้านดอลลาร์ จากวิธีทำงานของบริษัทซึ่งมีการรวมศูนย์งานเฝ้าติดตามมองหาปัญหาต่างๆ ในเครือข่ายคอมพิวเตอร์ขององค์การหนึ่งๆ ทำให้หมายความว่าเมื่อผู้โจมตีสามารถเจาะเข้าไปได้แล้ว ก็จะได้ “มุมมองแบบพระเจ้า” (God-view) ของเครือข่ายเหล่านั้น

โซลาร์วินด์ส ซึ่งราคาหุ้นร่วงลงไป 17% ในวันจันทร์ (14 .ค.) แจ้งเอาไว้ในรายงานทางการเงินฉบับหนึ่งว่า ได้ส่งคำแนะนำไปยังลูกค้าโอไรออนของตนจำนวนประมาณ 33,000 รายซึ่งอาจได้รับผลกระทบกระเทือน ถึงแม้บริษัทประมาณการว่ามีลูกค้าจำนวนน้อยกว่านั้นมาก นั่นคือไม่ถึง 18,000 ราย ซึ่งได้มีการติดตั้งผลิตภัณฑ์เวอร์ชั่นมีจุดอ่อนรูโหว่จากการอัปเดต โดยดาวน์โหลดไปในช่วงก่อนหน้านี้ของปีนี้

ไฟร์อายพูดถึงมัลแวร์นี้ว่า มีสมรรถนะอย่างชวนให้มึนหัว –ตั้งแต่เริ่มต้นทีเดียว มันจะอยู่นิ่งเฉยๆ เป็นเวลาอาจจะยาวนานถึง 2 สัปดาห์ ไปจนถึงมีความสามารถในการซุกซ่อนอำพรางตัวไม่ให้มองเห็นได้ด้วยสายตาธรรมดา ๆ โดยแกล้งทำให้เห็นไปว่าการพยายามแทรกตัวเข้าสอดแนมสืบความลับของมัน เป็นกิจกรรมของโอไรออน

หน่วยงานและบริษัทแห่งไหนบ้างที่ถูกเล่นงาน?

ไม่ว่า โซลาร์วินด์ส หรือพวกเจ้าหน้าที่รับผิดชอบด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ ต่างไม่ได้ระบุบ่งบอกอย่างเปิดเผยในที่สาธารณะว่าองค์การแห่งใดบ้างที่ถูกเจาะถูกล้วงการที่บริษัทแห่งไหนหรือหน่วยงานแห่งใดใช้ผลิตภัณฑ์และบริการของโซลาร์วินด์สเท่านั้น ยังไม่จำเป็นต้องหมายความว่าพวกเขากลายเป็นจุดเปราะบางที่จะถูกแฮกครั้งนี้ มัลแวร์คราวนี้ซึ่งเป็นตัวเปิดประตูหลังให้สามารถเข้าไปในเครือข่ายได้แบบรีโมตคอนโทรลนั้น ถูกใส่เข้าไปในการอัปเดตผลิตภัณฑ์โอไรออนของโซลาร์วินด์ส ครั้งที่เกิดขึ้นในช่วงเวลาระหว่างเดือนมีนาคมถึงเดือนมิถุนายน ทว่าไม่ใช่ลูกค้าทุกรายได้ดำเนินการติดตั้งเวอร์ชั่นอัปเดตเหล่านี้

ขณะเดียวกัน พวกผู้โจมตียังต้องการที่จะเลือกเป้าหมายองค์การที่จะเล่นงานเจาะเข้าไปอีกด้วย

วิธีการที่เรียกกันว่า วิธีการสายโซ่อุปทาน (supply-chain method) ซึ่งถูกนำมาใช้ในการแพร่กระจายมัลแวร์ตัวนี้โดยผ่านซอฟต์แวร์โซลาร์วินด์ส นั้น ชวนให้ระลึกไปถึงเทคนิคที่พวกแฮกเกอร์ของฝ่ายทหารรัสเซียเคยใช้เมื่อปี 2016 เพื่อมุ่งทำให้บริษัทต่างๆ ซึ่งทำธุรกิจอยู่ในยูเครนติดไวรัส “นอตเปตยา” (NotPetya) ที่มุ่งทำลายล้างฮาร์ดไดรฟ์ (ดูเพิ่มเติมได้ที่https://apnews.com/article/ukraine-winter-olympics-south-korea-indictments-elections-0348d9baf3b05ee0c31485965810209a) –ถือเป็นการโจมตีทางไซเบอร์ซึ่งสร้างความเสียหายอย่างร้ายแรงที่สุดเท่าที่เคยปรากฏขึ้นมาจวบจนถึงเวลานี้ ในกรณีครั้งนั้น พวกแฮกเกอร์ได้แอบสอดแทรก เวิร์ม ที่สามารถเพิ่มทวีตัวเองได้อย่างรวดเร็ว เข้าไปในการอัปเดตซอฟต์แวร์ของบริษัทซอฟต์แวร์ใช้ในการเตรียมการเสียภาษี เพื่อให้ไปติดเชื้อใส่พวกลูกค้าของบริษัทแห่งดังกล่าว ส่วนในกรณีคราวนี้ การแทรกซึมอย่างแท้จริงใดๆ เข้าไปยังองค์การที่เกิดการติดเชื้อ จำเป็นต้อง “มีการวางแผนด้วยความมุ่งร้ายและมีปฏิสัมพันธ์ที่ต้องทำกันด้วยมือ” ไฟร์อายระบุ

ใครคือผู้รับผิดชอบกระทำเรื่องนี้ขึ้นมา?

โซลาร์วินด์ส แถลงว่า ตนได้รับคำแนะนำว่า “รัฐชาติภายนอก” (outside nation state)
รายหนึ่งได้แทรกซึมเข้ามาในระบบของบริษัทโดยใช้มัลแวร์ ไม่ว่ารัฐบาลสหรัฐฯหรือพวกบริษัทที่ถูกกระทบกระเทือนต่างไม่มีใครพูดอย่างเปิดเผยในที่สาธารณะว่า พวกเขาคิดว่ารัฐชาติแห่งไหนคือผู้รับผิดชอบกระทำการคราวนี้

แต่มีเจ้าหน้าที่สหรัฐฯรายหนึ่ง ซึ่งพูดโดยขอให้สงวนนามเนื่องจากเรื่องนี้อยู่ระหว่างการสอบสวน บอกกับสำนักข่าวเอพีเมื่อวันจันทร์ (14 ธ.ค.) ว่า พวกแฮกเกอร์รัสเซียคือผู้ที่ต้องสงสัย ขณะที่ฝ่ายรัสเซียแถลงในวันเดียวกันว่า ตนเอง “ไม่ได้มีอะไรเกี่ยวข้อง” กับการแฮกครั้งนี้

“เป็นอีกครั้งหนึ่งที่ผมสามารถปฏิเสธข้อกล่าวหาต่างๆ เหล่านี้” ดมิตริ เปสคอฟ (Dmitry Peskov) โฆษกของวังเครมลิน บอกกับพวกผู้สื่อข่าว “ถ้าหากเวลาผ่านไปตั้งหลายเดือนแล้ว ฝ่ายอเมริกันยังไม่สามารถทำอะไรเกี่ยวกับเรื่องนี้ได้ บางทีเราก็ไม่สมควรที่จะประณามรัสเซียสำหรับทุกสิ่งทุกอย่าง โดยที่จริงๆ แล้ว มันไม่มีมูลเอาเลย”

ขณะที่ บูคานัน ผู้เชี่ยวชาญของมหาวิทยาลัยจอร์จทาวน์ บอกว่า “ความสามารถความชำนาญพิเศษในการปฏิบัติการ” (operational tradecraft) ซึ่งหมายถึงวิธีการในการแอบเจาะเข้าเครือข่ายที่ประสงค์ ของพวกคนร้ายเหล่านี้ ดูจะอยู่ในระดับดีอย่างยิ่ง แฮกเกอร์กลุ่มนี้ “มีประสบการณ์และความสามารถ, ช่ำชองในการค้นหาจุดอ่อนของระบบ แล้วจากนั้นก็ฉวยใช้ประโยชน์จากมันอย่างเงียบๆ เป็นเวลาแรมเดือน”สิ่งที่สนับสนุนให้เกิดฉันทามติในประชาคมการวิเคราะห์ภัยคุกคามทางไซเบอร์ว่า พวกรัสเซียเป็นผู้รับผิดชอบกระทำการครั้งนี้ ได้แก่ พวกยุทธวิธี, เทคนิค, และกระบวนวิธี ที่นำเอามาใช้กัน (ดูเพิ่มเติมได้ที่https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html) ซึ่งมีรอยลายนิ้วมือดิจิตอลของพวกเขา แบรนดอน วาเลริอาโน (Brandon Valeriano) นักวิชาการด้านเทคโนโลยีของมหาวิทยาลัยเหล่านาวิกโยธิน (Marine Corps University) บอก

สามารถทำอะไรได้บ้างเพื่อป้องกันและตอบโต้การแฮกเช่นนี้?

การจารกรรมเป็นงานที่ไม่ได้ละเมิดกฎหมายระหว่างประเทศขณะที่งานป้องกันทางไซเบอร์เป็นเรื่องที่ทำได้อย่างลำบากยากเย็นกระนั้นการตอบโต้เอาคืนกับพวกรัฐบาลซึ่งรับผิดชอบกระทำการจารกรรมทางไซเบอร์อย่างชั่วร้ายก็เป็นสิ่งที่กระทำกันอยู่ อาจมีการสั่งขับไล่พวกนักการทูต อาจมีการประกาศมาตรการลงโทษคว่ำบาตร คณะบริหารโอบามาเคยสั่งขับไล่พวกนักการทูตชาวรัสเซีย เพื่อเป็นการตอบโต้การที่พวกแฮกเกอร์ฝ่ายทหารของเครมลิมเข้ามาก้าวก่ายแทรกแซงในการเลือกตั้งของสหรัฐฯเมื่อปี 2016 โดยมุ่งสร้างประโยชน์ให้แก่ โดนัลด์ ทรัมป์ แต่ในช่วงการค องอำนาจของคณะบริหารทรัมป์นั้น ความมั่นคงปลอดภัยทางไซเบอร์ “ไม่เคยกลายเป็นเรื่องที่มีความสำคัญลำดับต้นๆ ของประธานาธิบดี” รวมทั้งประธานาธิบดีที่กำลังจะพ้นตำแหน่งแล้วผู้นี้ก็ไม่สามารถหรือไม่มีความปรารถนาที่จะไล่เลียงเอาผิดกับรัสเซียสำหรับพฤติการณ์ก้าวร้าวในไซเบอร์สเปซ นี่เป็นคำกล่าวของ คริส เพนเทอร์ (Chris Painter) ซึ่งทำหน้าที่ประสานงานด้านนโยบายไซเบอร์อยู่ที่กระทรวงการต่างประเทศสหรัฐฯยุคคณะบริหารโอบามา

“ผมคิดว่าเรื่องนี้มีคุณูปการกลายเป็นการเพิ่มความห้าวหาญของฝ่ายรัสเซีย” เขากล่าว ขณะที่ทีมงานความมั่นคงแห่งชาติที่กำลังจะเข้ามาทำงานของไบเดน ส่งสัญญาณบ่งบอกให้ทราบว่าตนจะมีความอดทนอดกลั้นน้อยกว่า และเป็นที่คาดหมายกันว่าจะมีการฟื้นฟูตำแหน่งผู้ประสานงานความมั่นคงปลอดภัยทางไซเบอร์ของทำเนียบขาว (White House cybersecurity coordinator) ขึ้นมาใหม่ หลังจากถูกทรัมป์ยกเลิกไป

พวกผู้เชี่ยวชาญในอุตสาหกรรมก็บอกว่า การที่ทำเนียบขาวมุ่งโฟกัสที่เรื่องความมั่นคงปลอดภัยทางไซเบอร์เพิ่มขึ้นมากเช่นนี้ จะเป็นสิ่งที่มีความสำคัญยิ่ง

เอกสารแนะนำฉบับหนึ่งที่ออกโดย ไมโครซอฟท์ (ดูได้ที่
https://blogs.microsoft.com/on-the-issues/2020/12/13/customers-protect-nation-state-cyberattacks/) ซึ่งได้เข้าช่วยเหลือ ไฟร์อาย ในการตอบโต้กับการถูกแฮกคราวล่าสุดนี้ ระบุว่า ทางบริษัทได้ “ส่งคำเตือนมากกว่า 13,000 ครั้งไปถึงพวกลูกค้าซึ่งถูกโจมตีจากรัฐชาติต่างๆ ตลอดระยะเวลา 2 ปีที่ผ่านมา และได้พบเห็นว่า สมรรถนะด้านความมั่นคงปลอดภัยทั้งในเชิงความละเอียดซับซ้อนและในเชิงการปฏิบัติการ (ของลูกค้าเหล่านี้) ได้เพิ่มพูนขึ้นมาอย่างรวดเร็ว”
ทั้งหน่วยงานรัฐบาลสหรัฐฯและธุรกิจเป็นหมื่นรายอลเวงหนัก เจอ‘แฮกเกอร์รัสเซีย’แอบเจาะเครือข่ายครั้งมโหฬารมาเป็นแรมเดือน
ทั้งหน่วยงานรัฐบาลสหรัฐฯและธุรกิจเป็นหมื่นรายอลเวงหนัก เจอ‘แฮกเกอร์รัสเซีย’แอบเจาะเครือข่ายครั้งมโหฬารมาเป็นแรมเดือน
กำลังโหลดความคิดเห็น