Back to Blog

แฮกเกอร์จีนเจาะระบบ Google Workspace ขโมยอีเมลงานวิจัยและความมั่นคงสหรัฐฯ

กลุ่มแฮกเกอร์ที่เชื่อมโยงกับจีนแอบฝังตัวในเครือข่ายวิจัยการแพทย์ การศึกษา และกองทัพสหรัฐฯ นานกว่าหนึ่งปี ก่อนใช้ Google Workspace ขโมยอีเมลลับ

Sales
1 min read
แฮกเกอร์จีนเจาะระบบ Google Workspace ขโมยอีเมลงานวิจัยและความมั่นคงสหรัฐฯ

กลุ่มแฮกเกอร์ที่เชื่อมโยงกับประเทศจีนสามารถแทรกซึมเข้าไปในเครือข่ายวิจัยด้านการแพทย์ การศึกษา และการทหารในอเมริกาเหนือได้นานกว่าหนึ่งปี โดยไม่ถูกตรวจพบ พวกเขาไม่เพียงแค่ขโมยข้อมูลประจำตัวเท่านั้น แต่ยังใช้ประโยชน์จากกฎของ Google Workspace เพื่อคัดลอกอีเมลสำคัญทั้งหมดอย่างแนบเนียน

รายงานจาก The Hacker News เปิดเผยว่าการโจมตีครั้งนี้เริ่มต้นจากการเจาะระบบเซิร์ฟเวอร์ REDCap ซึ่งเป็นแพลตฟอร์มที่ใช้เก็บข้อมูลงานวิจัย ด้วยการใช้ช่องโหว่แบ็คดอร์เพื่อขโมยรหัสผ่าน จากนั้นผู้โจมตีก็ปรับแต่งกฎการทำงานของ Google Workspace ที่เหยื่อใช้อยู่ เพื่อให้ส่งสำเนาอีเมลทั้งหมดไปยังบัญชีที่ควบคุมโดยแฮกเกอร์โดยอัตโนมัติ


กลยุทธ์การโจมตีที่ไม่เคยเห็นมาก่อน


สิ่งที่ทำให้การโจมตีครั้งนี้แตกต่างจากแคมเปญอื่นคือวิธีการขโมยข้อมูลที่ไม่ต้องใช้มัลแวร์หรือเครื่องมือซับซ้อน แทนที่จะพยายามเจาะเซิร์ฟเวอร์อีเมลโดยตรง แฮกเกอร์เลือกใช้ฟีเจอร์ปกติของ Google Workspace ที่เรียกว่า Rules หรือกฎการจัดการข้อความ ฟีเจอร์นี้ถูกออกแบบมาเพื่อช่วยผู้ใช้กรองอีเมลเข้า แต่กลับถูกแฮกเกอร์นำมาใช้ในการส่งต่ออีเมลสำคัญแบบเงียบ ๆ


เป้าหมายคือเครือข่ายวิจัยที่ละเอียดอ่อน


กลุ่มเป้าหมายของการโจมตีครั้งนี้คือเครือข่ายวิจัยที่เกี่ยวข้องกับโครงการที่ได้รับทุนจากกองทัพสหรัฐฯ การแพทย์ และการศึกษาระดับสูง โดยเฉพาะสถาบันที่มีงานวิจัยด้านความมั่นคงของชาติ ผู้โจมตีให้ความสนใจกับข้อมูลที่เกี่ยวข้องกับเทคโนโลยีใหม่ ๆ การพัฒนาอาวุธ และข้อมูลทางการแพทย์ที่อาจนำไปใช้ในทางทหาร ข้อมูลเหล่านี้หากตกไปอยู่ในมือของศัตรูอาจสร้างความเสียหายอย่างร้ายแรงต่อความมั่นคงของประเทศ


REDCap กลายเป็นประตูหลังสู่ระบบ


REDCap เป็นซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายในแวดวงวิจัยทางการแพทย์และสถาบันการศึกษา worldwide เพื่อเก็บข้อมูลการทดลองทางคลินิก แต่ในครั้งนี้เซิร์ฟเวอร์ REDCap กลับกลายเป็นจุดอ่อนที่สุดของระบบ ผู้โจมตีใช้แบ็คดอร์ที่ถูกฝังไว้ในเซิร์ฟเวอร์เพื่อขโมยข้อมูลประจำตัวของนักวิจัย จากนั้นจึงใช้สิทธิ์เหล่านั้นในการเข้าถึงบัญชี Google Workspace ขององค์กรเป้าหมาย เมื่อเข้าไปได้แล้วก็จะตั้งกฎการคัดลอกอีเมลทั้งหมดแบบอัตโนมัติ


ผลกระทบระยะยาวต่อความปลอดภัยของอีเมลองค์กร


เหตุการณ์นี้สะท้อนให้เห็นถึงช่องโหว่ที่ซ่อนอยู่ในการใช้ระบบคลาวด์ โดยเฉพาะบริการอีเมลที่หลายองค์กรไว้วางใจ องค์กรที่ใช้ Google Workspace ต้องตระหนักว่าฟีเจอร์ที่ออกแบบมาเพื่อเพิ่มความสะดวกสบายก็สามารถถูกบิดเบือนให้กลายเป็นอาวุธได้ การตั้งค่ากฎการส่งต่ออีเมลโดยไม่มีการตรวจสอบสิทธิ์ที่เข้มงวดกลายเป็นความเสี่ยงใหญ่ การตรวจสอบและจำกัดการใช้งานฟีเจอร์เหล่านี้จึงเป็นสิ่งสำคัญอย่างยิ่ง


แนวทางการป้องกันที่องค์กรควรปฏิบัติ


ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่าองค์กรควรเปิดใช้งานการแจ้งเตือนเมื่อมีการเปลี่ยนแปลงกฎการส่งต่ออีเมล และควรมีการตรวจสอบ Log การเข้าถึงระบบอย่างสม่ำเสมอ นอกจากนี้ การใช้ระบบยืนยันตัวตนหลายขั้นตอน หรือ Multi-Factor Authentication สำหรับบัญชีผู้ดูแลระบบก็เป็นมาตรการที่ขาดไม่ได้ การฝึกอบรมพนักงานให้รู้จักสังเกตพฤติกรรมผิดปกติในบัญชีอีเมลของตัวเองก็เป็นอีกหนึ่งแนวทางที่ช่วยลดความเสี่ยงได้


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด