แฮ็กเกอร์จีนเจาะระบบ National Guard ของสหรัฐฯ ขโมยข้อมูลเครือข่ายนานถึง 9 เดือน
กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนชื่อว่า Salt Typhoon ถูกเปิดเผยว่าได้แอบเจาะเข้าไปในเครือข่ายคอมพิวเตอร์ของหน่วย National Guard แห่งหนึ่งในสหรัฐอเมริกา และแฝงตัวอยู่ได้นานถึง 9 เดือนเต็ม ระหว่างเดือนมีนาคมถึงธันวาคม 2024 โดยไม่มีใครตรวจพบ
ขโมยข้อมูลสำคัญ: ตั้งแต่ผังเครือข่ายจนถึงบัญชีผู้ดูแลระบบ
รายงานของกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ของสหรัฐฯ ซึ่งเปิดเผยโดย NBC เมื่อวันที่ 11 มิถุนายน 2025 ระบุว่า Salt Typhoon ขโมยข้อมูลจำนวนมากจากระบบเครือข่ายของ National Guard แห่งนั้น ไม่ว่าจะเป็น:
- ผังเครือข่ายภายใน (Network Diagrams)
- ไฟล์การตั้งค่าอุปกรณ์เครือข่าย (Configuration Files)
- บัญชีผู้ดูแลระบบ (Administrator Credentials)
- ข้อมูลส่วนตัวของกำลังพลในหน่วย
ข้อมูลเหล่านี้สามารถนำไปใช้ในการแฮ็กหน่วยงานอื่นของรัฐในสหรัฐฯ หรือแม้แต่การโจมตีเครือข่ายของรัฐอื่น ๆ ได้อีกด้วย
เคยเจาะระบบโครงสร้างพื้นฐานและหน่วยงานรัฐบาลมาแล้ว
รายงานยังเผยว่า Salt Typhoon เคยขโมยไฟล์ตั้งค่าจากหน่วยงานรัฐบาลและโครงสร้างพื้นฐานสำคัญในสหรัฐฯ อย่างน้อย 70 แห่ง ระหว่างปี 2023–2024 โดยข้อมูลที่ถูกขโมยไปนั้นรวมถึงข้อมูลจาก 12 ภาคส่วนสำคัญของประเทศ ซึ่งนำไปสู่การเจาะระบบเพิ่มเติมในภายหลัง
หนึ่งในกรณีดังกล่าวคือการใช้ไฟล์ที่ได้จากหน่วยงานรัฐแห่งหนึ่ง ไปใช้เจาะอุปกรณ์ที่มีช่องโหว่ในหน่วยงานรัฐอีกแห่งหนึ่ง
Salt Typhoon คือใคร?
Salt Typhoon เป็นชื่อเรียกของกลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับ กระทรวงความมั่นคงแห่งรัฐของจีน (Ministry of State Security – MSS) โดยกลุ่มนี้ตกเป็นข่าวในช่วง 2 ปีที่ผ่านมา หลังจากโจมตีบริษัทโทรคมนาคมชื่อดังทั่วโลก เช่น:
- AT&T
- Verizon
- Lumen
- Charter
- Windstream
- Viasat
เป้าหมายของกลุ่มคือการสอดแนมข้อมูลการสื่อสาร ทั้งบันทึกการโทร และระบบดักฟังที่ใช้โดยหน่วยงานรัฐบาลสหรัฐฯ
National Guard คือใคร ทำไมจึงตกเป็นเป้า
National Guard หรือ กองกำลังพิทักษ์มาตุภูมิของสหรัฐฯ เป็นหน่วยทหารกึ่งประจำการที่มีบทบาทสำคัญทั้งในระดับรัฐและระดับประเทศ หน่วยนี้อยู่ภายใต้การควบคุมของ ผู้ว่าการรัฐ แต่สามารถถูก รัฐบาลกลางสั่งระดมกำลังได้ทันที หากเกิดสถานการณ์ฉุกเฉินระดับชาติ
หน้าที่หลักของ National Guard ได้แก่:
- เข้าช่วยเหลือประชาชนในเหตุภัยพิบัติต่าง ๆ เช่น พายุเฮอริเคน ไฟป่า หรือแผ่นดินไหว
- รักษาความสงบเรียบร้อยในรัฐ เช่น การควบคุมการจลาจลหรือความไม่สงบ
- ร่วมปฏิบัติภารกิจทางทหารในต่างประเทศหากได้รับคำสั่งจากรัฐบาล
- สนับสนุนกองทัพสหรัฐฯ ในกรณีที่ต้องระดมพลเพิ่มเติม
แต่ละรัฐในสหรัฐฯ จะมี National Guard ของตนเอง โดยมีระบบเครือข่ายที่เชื่อมโยงกับ National Guard ของรัฐอื่น ๆ รวมถึงหน่วยงานกลางของรัฐบาลสหรัฐฯ ซึ่งทำให้เครือข่ายนี้กลายเป็นจุดยุทธศาสตร์ที่สำคัญ และเป็นเป้าหมายของกลุ่มแฮ็กเกอร์ระดับรัฐอย่าง Salt Typhoon
การที่แฮ็กเกอร์สามารถเข้าถึง ผังเครือข่าย, บัญชีผู้ดูแลระบบ, และ ข้อมูลส่วนบุคคลของกำลังพล จึงมีความเสี่ยงอย่างมากต่อการเจาะระบบต่อเนื่องไปยังหน่วยงานอื่น ๆ ทั่วประเทศ
ช่องโหว่ที่แฮ็กเกอร์ใช้ในการเจาะระบบ
แม้จะไม่มีการระบุแน่ชัดว่า Salt Typhoon เจาะเครือข่ายของ National Guard ได้อย่างไร แต่ในอดีตกลุ่มนี้มีพฤติกรรมใช้ช่องโหว่ของอุปกรณ์เครือข่ายที่ยังไม่ได้อัปเดต โดยเฉพาะจาก Cisco และ Palo Alto โดยตัวอย่างช่องโหว่ที่เคยถูกใช้มีดังนี้:
- CVE-2018-0171: ช่องโหว่รันโค้ดจากระยะไกลใน Cisco IOS/IOS XE Smart Install
- CVE-2023-20198 และ CVE-2023-20273: ช่องโหว่ที่ใช้ร่วมกันเจาะผ่านหน้าเว็บ UI ของ IOS XE เพื่อยกระดับสิทธิ์และควบคุมระบบแบบ root
- CVE-2024-3400: ช่องโหว่ใน PAN-OS GlobalProtect ของ Palo Alto ที่เปิดทางให้รันคำสั่งโดยไม่ต้องยืนยันตัวตน
IP Address ที่เคยใช้ในการโจมตี ได้แก่:43.254.132.118, 146.70.24.144, 176.111.218.190, 113.161.16.130, 23.146.242.131, 58.247.195.208
เคยใช้มัลแวร์เฉพาะทางในการดักฟัง
Salt Typhoon ยังเคยพัฒนามัลแวร์เฉพาะทาง เช่น JumblePath และ GhostSpider เพื่อแฝงตัวในเครือข่ายของบริษัทโทรคมนาคม และสอดแนมการสื่อสารของนักการเมืองหรือหน่วยงานรัฐของสหรัฐฯ
DHS เตือนให้เร่งอุดช่องโหว่และเพิ่มมาตรการความปลอดภัย
ทาง DHS แนะนำให้ทุกหน่วยงานของรัฐบาล โดยเฉพาะ National Guard:
- อัปเดตแพตช์ความปลอดภัยของอุปกรณ์ทั้งหมดทันที
- ปิดบริการที่ไม่จำเป็น
- แยกทราฟฟิก SMB ออกจากเครือข่ายหลัก
- บังคับใช้ SMB Signing
- ควบคุมสิทธิ์การเข้าถึงให้เข้มงวดมากขึ้น
โฆษกของ National Guard Bureau ได้ยืนยันการเจาะระบบในครั้งนี้ แต่ระบุว่า “ไม่กระทบต่อภารกิจระดับรัฐหรือระดับชาติ” ขณะเดียวกัน สถานทูตจีนในกรุงวอชิงตันก็ไม่ได้ปฏิเสธว่า Salt Typhoon เป็นฝีมือรัฐบาลจีน แต่ระบุเพียงว่า สหรัฐฯ ยังไม่มี “หลักฐานที่น่าเชื่อถือและชัดเจน” ที่ชี้ว่ามีส่วนเกี่ยวข้องจริง
บทสรุป
การแฮ็กระบบ National Guard ของสหรัฐฯ ในครั้งนี้ถือเป็นสัญญาณเตือนอีกครั้งถึงความเสี่ยงของหน่วยงานรัฐที่ยังใช้ระบบเก่า หรือไม่ได้อัปเดตอุปกรณ์เครือข่ายให้ทันสมัย Salt Typhoon แสดงให้เห็นถึงขีดความสามารถของกลุ่มแฮ็กเกอร์ระดับรัฐที่ไม่เพียงแค่ขโมยข้อมูล แต่ยังสามารถ “ขยายผล” ไปยังเครือข่ายอื่น ๆ ได้อย่างมีประสิทธิภาพ
ที่มา: bleepingcomputer
