Google เปิดเผยแฮกเกอร์ชาวจีนที่แทรกซึมเข้าไปในเครือข่ายการแพทย์และการป้องกันประเทศของสหรัฐอเมริกา

ในการเปิดเผยความปลอดภัยทางไซเบอร์ครั้งสำคัญ นักวิจัยด้านความปลอดภัยของ Google ได้ค้นพบปฏิบัติการแฮ็กที่ซับซ้อนที่มีต้นกำเนิดมาจากประเทศจีน ซึ่งประสบความสำเร็จในการแทรกซึมเครือข่ายคอมพิวเตอร์ทั่วทั้งภาคการแพทย์และการป้องกันประเทศของสหรัฐอเมริกา การค้นพบนี้เน้นให้เห็นถึงภัยคุกคามอย่างต่อเนื่องของการโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ โดยกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกา

การค้นพบการแฝงตัว

กลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google ซึ่งเชี่ยวชาญในการติดตามการดำเนินการแฮ็กที่ได้รับการสนับสนุนจากรัฐ ได้ระบุกิจกรรมที่เป็นอันตรายเมื่อต้นปีนี้ แฮกเกอร์ใช้เทคนิคขั้นสูงเพื่อรักษาความคงอยู่ภายในเครือข่ายเป้าหมาย ซึ่งแสดงให้เห็นถึงความซับซ้อนและทรัพยากรในระดับสูงที่มักเกี่ยวข้องกับนักแสดงระดับประเทศ

ปฏิบัติการดังกล่าวดูเหมือนจะเป็นส่วนหนึ่งของการรณรงค์ในวงกว้างโดยผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐจีน เพื่อรวบรวมข่าวกรอง และอาจวางตำแหน่งตนเองสำหรับการกระทำที่ก่อกวนในช่วงเวลาแห่งความตึงเครียดทางภูมิรัฐศาสตร์ เป้าหมาย ได้แก่ สถาบันทางการแพทย์และองค์กรป้องกันประเทศ เป็นตัวแทนของโครงสร้างพื้นฐานที่สำคัญ ซึ่งหากถูกบุกรุก อาจมีผลกระทบต่อความมั่นคงของชาติอย่างมีนัยสำคัญ

วิธีการและเทคนิค

กลุ่มแฮ็กเกอร์ชาวจีนใช้วิธีการหลายขั้นตอนเพื่อประนีประนอมเป้าหมาย:

• การเข้าถึงครั้งแรกผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย
• การใช้ประโยชน์จากช่องโหว่แบบ Zero-day ในซอฟต์แวร์ทั่วไป
• การใช้มัลแวร์ที่กำหนดเองซึ่งออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ
• การจัดตั้งแบ็คดอร์ถาวรภายในเครือข่ายที่ถูกบุกรุก
• การเคลื่อนไหวด้านข้างเพื่อเข้าถึงข้อมูลและระบบที่ละเอียดอ่อน

การวิเคราะห์ทางเทคนิคของการโจมตี

ทีมรักษาความปลอดภัยของ Google ได้ระบุลักษณะเฉพาะหลายประการของการดำเนินการนี้โดยเฉพาะ ซึ่งแยกความแตกต่างจากแคมเปญแฮ็กอื่นๆ ของจีน:

ขอบเขตของการละเมิด

องค์กรที่ได้รับผลกระทบครอบคลุมหลายรัฐและรวมถึง:

• โรงพยาบาลวิจัยหลักและศูนย์การแพทย์
• ผู้รับเหมาด้านการป้องกันที่สามารถเข้าถึงโครงการของรัฐบาลที่มีความละเอียดอ่อน
• ผู้ผลิตอุปกรณ์การแพทย์
• ผู้ให้บริการประกันสุขภาพ
• ผู้รับเหมาช่วงที่สนับสนุนการดำเนินงานของกระทรวงกลาโหม

แม้ว่า Google จะไม่เปิดเผยจำนวนที่แน่นอนขององค์กรที่ถูกบุกรุก ผู้เชี่ยวชาญด้านความปลอดภัยก็ประเมินว่าเป้าหมายที่มีมูลค่าสูงหลายสิบรายอาจได้รับผลกระทบ โดยมีการละเมิดบางอย่างย้อนหลังไปถึง 18 เดือน

วิธีการตอบสนองและการตรวจจับของ Google

กลุ่มวิเคราะห์ภัยคุกคามของ Google ใช้การผสมผสานระหว่างระบบตรวจจับอัตโนมัติและการวิเคราะห์ด้วยตนเองเพื่อระบุและติดตามการดำเนินการแฮ็ก แนวทางของพวกเขาประกอบด้วย:

• การวิเคราะห์ตัวอย่างมัลแวร์ที่แบ่งปันโดยองค์กรที่ได้รับผลกระทบ
• การตรวจสอบโครงสร้างพื้นฐานคำสั่งและการควบคุม
• การติดตามรอยเท้าดิจิทัลของแฮกเกอร์ในเครือข่ายที่ถูกบุกรุกหลายแห่ง
• ความร่วมมือกับบริษัทรักษาความปลอดภัยและหน่วยงานภาครัฐอื่นๆ

หลังจากการค้นพบนี้ Google ได้ทำงานร่วมกับองค์กรที่ได้รับผลกระทบเพื่อช่วยแก้ไขการบุกรุกและรักษาความปลอดภัยเครือข่ายของตน บริษัทยังได้แบ่งปันตัวบ่งชี้ของการประนีประนอมกับหน่วยงานความปลอดภัยทางไซเบอร์เพื่อช่วยป้องกันการติดเชื้อเพิ่มเติม

การแสดงที่มาของนักแสดงของรัฐจีน

แม้ว่าการระบุแหล่งที่มาของการโจมตีทางไซเบอร์ไปยังรัฐชาติที่เฉพาะเจาะจงนั้นเป็นเรื่องที่ท้าทายอย่างมาก แต่นักวิจัยด้านความปลอดภัยของ Google ได้ระบุตัวบ่งชี้หลายประการที่ชี้ไปที่กลุ่มที่ได้รับการสนับสนุนจากรัฐจีน:

• โครงสร้างพื้นฐานที่ทับซ้อนกันกับการดำเนินงานของจีนที่ได้รับการบันทึกไว้ก่อนหน้านี้
• ตัวบ่งชี้ทางภาษาและวัฒนธรรมในหลักปฏิบัติและกลยุทธ์ในการปฏิบัติงาน
• การเลือกเป้าหมายที่สอดคล้องกับลำดับความสำคัญของหน่วยข่าวกรองจีน
• ระดับความซับซ้อนที่สอดคล้องกับความสามารถที่ได้รับการสนับสนุนจากรัฐ

การค้นพบของ Google สอดคล้องกับการประเมินจากบริษัทรักษาความปลอดภัยทางไซเบอร์อื่นๆ และหน่วยงานรัฐบาลของสหรัฐอเมริกา ซึ่งก่อนหน้านี้ระบุว่าจีนเป็นผู้แสดงภัยคุกคามอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

ผลกระทบต่อความมั่นคงของชาติ

การแทรกซึมของเครือข่ายทางการแพทย์และการป้องกันประเทศถือเป็นข้อกังวลด้านความมั่นคงของชาติที่สำคัญด้วยเหตุผลหลายประการ:

• ระบบการดูแลสุขภาพที่อาจหยุดชะงัก: เครือข่ายทางการแพทย์ที่ถูกบุกรุกอาจถูกกำหนดเป้าหมายให้หยุดชะงักในช่วงวิกฤต ซึ่งส่งผลกระทบต่อการตอบสนองด้านสาธารณสุข
• การโจรกรรมข้อมูลการป้องกันที่ละเอียดอ่อน: การเข้าถึงเครือข่ายผู้รับเหมาด้านกลาโหมอาจให้ข้อมูลทางเทคนิคและกลยุทธ์อันมีค่าแก่ฝ่ายตรงข้าม
• ช่องโหว่ในห่วงโซ่อุปทาน: อุปกรณ์ทางการแพทย์และผู้รับเหมาด้านการป้องกันมักจะจัดหาหน่วยงานรัฐบาลหลายแห่ง ทำให้เกิดช่องทางลับๆ ในระบบที่มีความละเอียดอ่อน
• การวางตำแหน่งล่วงหน้าสำหรับการโจมตีในอนาคต: การรักษาการเข้าถึงโครงสร้างพื้นฐานที่สำคัญช่วยให้ฝ่ายตรงข้ามอาจขัดขวางระบบเหล่านี้ในระหว่างความขัดแย้งในอนาคต

เหตุการณ์ที่คล้ายกันก่อนหน้า

เหตุการณ์นี้เป็นส่วนหนึ่งของรูปแบบของปฏิบัติการทางไซเบอร์ของจีนที่กำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ เหตุการณ์สำคัญก่อนหน้านี้ ได้แก่:

เทคนิค	คำอธิบาย	ระดับความซับซ้อน
เวกเตอร์เริ่มต้น	อีเมลฟิชชิ่ง Spear ที่แอบอ้างเป็นผู้เชี่ยวชาญด้านสุขภาพ	สูง
การแสวงหาประโยชน์	ช่องโหว่ Zero-day ในซอฟต์แวร์การแพทย์ทางไกล	สำคัญ
ความคงทน	รูทคิทแบบกำหนดเองพร้อมความสามารถในการป้องกันการตรวจจับ	ขั้นสูง
การขโมยข้อมูล	ช่องทางที่เข้ารหัสซึ่งปลอมแปลงเป็นการถ่ายโอนข้อมูลทางการแพทย์ที่ถูกต้องตามกฎหมาย	สูง

คำแนะนำสำหรับองค์กร

ในแง่ของภัยคุกคามนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำมาตรการหลายประการที่องค์กรสามารถทำได้เพื่อปกป้องตนเอง:

• ใช้การรับรองความถูกต้องแบบหลายปัจจัยกับระบบที่สำคัญทั้งหมด
• อัปเดตและแก้ไขซอฟต์แวร์ทั้งหมดเป็นประจำเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ที่ทราบ
• จัดการฝึกอบรมพนักงานอย่างละเอียดเพื่อรับรู้ถึงความพยายามในการฟิชชิ่ง
• ตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่ผิดปกติและการขโมยข้อมูลที่อาจเกิดขึ้น
• แบ่งกลุ่มเครือข่ายเพื่อจำกัดการเคลื่อนไหวด้านข้างในกรณีของการประนีประนอม
• พัฒนาและทดสอบแผนตอบสนองต่อเหตุการณ์อย่างสม่ำเสมอ
• ร่วมมือกับบริษัทรักษาความปลอดภัยทางไซเบอร์และหน่วยงานภาครัฐเพื่อแบ่งปันข่าวกรองเกี่ยวกับภัยคุกคาม

ความเห็นของผู้เชี่ยวชาญ

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ชั่งน้ำหนักถึงความสำคัญของการค้นพบของ Google:

"เหตุการณ์นี้เน้นย้ำถึงภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องที่นักแสดงที่ได้รับการสนับสนุนจากรัฐจีนมีต่อโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ" ดร. ซาราห์ เจนกินส์ นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ศูนย์ศึกษายุทธศาสตร์และการต่างประเทศกล่าว "การกำหนดเป้าหมายของทั้งภาคการแพทย์และการป้องกัน บ่งบอกถึงความพยายามในการประสานงานเพื่อรวบรวมข้อมูลและอาจเตรียมพร้อมสำหรับการดำเนินการในอนาคตในสถานการณ์วิกฤต"

James Wilson อดีตผู้อำนวยการหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) กล่าวเสริมว่า "สิ่งที่น่ากังวลเป็นพิเศษคือความซับซ้อนและความเพียรพยายามของนักแสดงเหล่านี้ พวกเขาไม่เพียงต้องการขโมยข้อมูลเท่านั้น แต่ยังสร้างสถานะในระยะยาวภายในเครือข่ายที่สามารถเปิดใช้งานได้ในช่วงความขัดแย้งทางภูมิรัฐศาสตร์ในอนาคต"

ทีมรักษาความปลอดภัยของ Google เน้นย้ำถึงความสำคัญของการป้องกันโดยรวมในรายงาน: "ไม่มีองค์กรใดสามารถป้องกันภัยคุกคามเหล่านี้เพียงอย่างเดียวได้ การทำงานร่วมกันระหว่างภาครัฐและเอกชนถือเป็นสิ่งสำคัญในการตรวจจับและตอบสนองต่อปฏิบัติการทางไซเบอร์ที่ซับซ้อนซึ่งสนับสนุนโดยรัฐ"

การตอบสนองของรัฐบาล

รัฐบาลสหรัฐฯ ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการเกี่ยวกับผลการวิจัยของ Google อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์คาดว่าเหตุการณ์ดังกล่าวอาจนำไปสู่การตรวจสอบกิจกรรมทางไซเบอร์ของจีนเพิ่มมากขึ้น และอาจถึงขั้นคว่ำบาตรหรือมาตรการทางการทูตใหม่

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) คาดว่าจะออกคำแนะนำพร้อมรายละเอียดด้านเทคนิคและคำแนะนำในการบรรเทาผลกระทบสำหรับองค์กรที่ได้รับผลกระทบ ก่อนหน้านี้หน่วยงานได้ออกคำแนะนำที่คล้ายกันหลังจากแคมเปญแฮ็กอื่น ๆ ของจีน

บทสรุป

การค้นพบของ Google เกี่ยวกับแฮ็กเกอร์ชาวจีนที่แทรกซึมเครือข่ายทางการแพทย์และการป้องกันประเทศของสหรัฐฯ เน้นให้เห็นถึงการต่อสู้อย่างต่อเนื่องกับภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ในขณะที่ความตึงเครียดทางภูมิรัฐศาสตร์ยังคงดำเนินต่อไป องค์กรต่างๆ จะต้องระมัดระวังและลงทุนในมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อปกป้องระบบและข้อมูลของตน

เหตุการณ์ดังกล่าวทำหน้าที่เป็นเครื่องเตือนใจว่าโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกายังคงเป็นเป้าหมายหลักสำหรับประเทศฝ่ายตรงข้ามที่ต้องการรวบรวมข้อมูลและอาจขัดขวางบริการในช่วงเวลาแห่งความขัดแย้ง แม้ว่าการแทรกแซงของ Google จะช่วยลดภัยคุกคามเฉพาะนี้ได้ แต่ความท้าทายในวงกว้างในการปกป้องผู้มีบทบาทที่มีความซับซ้อนซึ่งได้รับการสนับสนุนจากรัฐต้องใช้ความพยายามและความร่วมมืออย่างต่อเนื่องทั้งภาครัฐและเอกชน

ในขณะที่ภัยคุกคามความปลอดภัยทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง องค์กรต่างๆ จะต้องนำหน้ากลยุทธ์และเทคโนโลยีที่เกิดขึ้นใหม่เพื่อปกป้องเครือข่ายและข้อมูลที่ละเอียดอ่อนที่พวกเขาเก็บไว้ การค้นพบโดยทีมรักษาความปลอดภัยของ Google ไม่เพียงแต่เป็นชัยชนะในกรณีนี้เท่านั้น แต่ยังเป็นการแสดงให้เห็นถึงความสำคัญของการวิจัยด้านความปลอดภัยโดยเฉพาะและข้อมูลภัยคุกคามในการต่อสู้กับศัตรูทางไซเบอร์อย่างต่อเนื่อง

บทความนี้อ้างอิงจากข้อมูลที่ได้รับจาก Threat Analysis Group ของ Google และรายงานอุตสาหกรรมความปลอดภัยทางไซเบอร์ สำหรับข้อมูลล่าสุดเกี่ยวกับเหตุการณ์นี้ โปรดดูคำแถลงอย่างเป็นทางการจาก Google และหน่วยงานรัฐบาลที่เกี่ยวข้อง

Google จับแฮกเกอร์ชาวจีนที่ซุ่มซ่อนอยู่ในเครือข่ายการแพทย์และการป้องกันประเทศของสหรัฐอเมริกา https://ift.tt/PKWvzc3 Google จับแฮกเกอร์ชาวจีนที่ซุ่มซ่อนอยู่ในเครือข่ายการแพทย์และการป้องกันของสหรัฐฯ https://ift.tt/PKWvzc3

เหตุการณ์	ปี	ภาคเป้าหมาย	ผลกระทบ
ปฏิบัติการ APT41 (มังกรคู่)	2020-2021	การดูแลสุขภาพ เทคโนโลยี กลาโหม	การขโมยทรัพย์สินทางปัญญาและข้อมูลส่วนบุคคล
การโจมตีของคลาวด์ฮอปเปอร์	2017	ผู้ให้บริการด้านไอที	บริษัทข้ามชาติจำนวนมากที่ถูกประนีประนอม
สำนักงานฝ่าฝืนการบริหารงานบุคคล	2015	รัฐบาล	การโจรกรรมข้อมูลการสืบสวนเบื้องหลัง
การละเมิด Equifax	2017	บริการทางการเงิน	การขโมยข้อมูลส่วนบุคคลที่ละเอียดอ่อนของผู้คน 147 ล้านคน