แฮกเกอร์ของรัฐบาลจีนใช้มัลแวร์ BRICKSTORM ใหม่โจมตีระบบ VMware

CISA, NSA และศูนย์ไซเบอร์แคนาดาเตือนว่า แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลสาธารณรัฐประชาชนจีน (PRC) กำลังใช้ BRICKSTORM ซึ่งเป็นแบ็คดอร์ (backdoor) ที่สร้างด้วยภาษา Go และทำการอย่างลับๆ เพื่อการจารกรรมในระยะยาวในเครือข่ายของรัฐบาลและเครือข่ายไอที

หน่วยงานความมั่นคงหลักจากสหรัฐฯ และแคนาดาได้ออกคำเตือนร้ายแรงเกี่ยวกับ BRICKSTORM ซึ่งเป็นภัยคุกคามทางไซเบอร์ใหม่ที่เชื่อกันว่าถูกใช้โดยแฮกเกอร์ที่ได้รับการสนับสนุนจากสาธารณรัฐประชาชนจีน (PRC)

สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), สำนักงานความมั่นคงแห่งชาติ (NSA) จากสหรัฐฯ และศูนย์ไซเบอร์เพื่อความมั่นคงของแคนาดา (Cyber Centre) ระบุว่า แฮกเกอร์เหล่านี้กำลังใช้เครื่องมือนี้เพื่อแอบเข้าไปในเครือข่ายสำคัญและซ่อนตัวอยู่เป็นเวลานาน

BRICKSTORM คืออะไรและใครบ้างที่เสี่ยง?

BRICKSTORM โดยพื้นฐานแล้วคือแบ็คดอร์ที่ช่วยให้ผู้โจมตีมีช่องทางลับในการควบคุมระบบโดยไม่มีใครตรวจพบ สร้างขึ้นด้วยภาษาโปรแกรม Go เพื่อความเข้ากันได้ในวงกว้าง รวมถึงสภาพแวดล้อม Windows และ Linux โดยมีเป้าหมายหลักคือองค์กรในภาคบริการและสิ่งอำนวยความสะดวกของรัฐบาล และภาคเทคโนโลยีสารสนเทศ CISA ได้อธิบายไว้ในข่าวประชาสัมพันธ์ที่เผยแพร่เมื่อวันที่ 4 ธันวาคม 2025

CISA ยังตั้งข้อสังเกตว่าแฮกเกอร์มุ่งเน้นไปที่แพลตฟอร์ม VMware vSphere ซึ่งจัดการเครือข่ายคอมพิวเตอร์เสมือนขนาดใหญ่เป็นพิเศษ เมื่อแฮกเกอร์เข้าถึงได้แล้ว พวกเขาสามารถขโมยสแนปช็อต (snapshots) ของเครื่องเสมือน (virtual machines) เพื่อรับชื่อผู้ใช้และรหัสผ่าน และแม้กระทั่งสร้างเครื่องเสมือนลับของตนเองที่ซ่อนอยู่

สำหรับข้อมูลของคุณ การเข้าถึงที่ "ถาวร" (persistent) ในระยะยาวนี้ถูกสังเกตพบว่ากินเวลานานตั้งแต่เดือนเมษายน 2024 จนถึงอย่างน้อยวันที่ 3 กันยายน 2025 กิจกรรมนี้เคยถูกรายงานโดย Hackread.com ในเดือนกันยายน โดยขณะนั้นพบว่าแฮกเกอร์กำลังกำหนดเป้าหมายไปที่บริษัทกฎหมาย เทคโนโลยี และเอาท์ซอร์สทางธุรกิจของสหรัฐฯ

การโจมตีทำงานอย่างไร

ตามรายงานการวิเคราะห์มัลแวร์ของ CISA (รูปแบบ PDF) หน่วยงานได้วิเคราะห์ตัวอย่าง BRICKSTORM จำนวนแปดตัวอย่างที่ได้รับจากองค์กรที่ถูกบุกรุก เพื่อช่วยให้ผู้อื่นตรวจจับและกำจัดภัยคุกคาม ในกรณีหนึ่ง แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลได้เจาะเข้าไปในเว็บเซิร์ฟเวอร์ภายในโซนความปลอดภัยของเหยื่อ (DMZ) ก่อน

จากจุดนั้น พวกเขาใช้ข้อมูลประจำตัวของบัญชีบริการที่ถูกขโมยมา ซึ่งเปรียบเสมือนกุญแจหลัก ในการบุกรุกระบบสำคัญอื่น ๆ รวมถึงโดเมนคอนโทรลเลอร์ (domain controllers) และเซิร์ฟเวอร์ Active Directory Federation Services (ADFS) จากนั้น พวกเขาจึงปรับใช้ BRICKSTORM บนเซิร์ฟเวอร์ VMware vCenter ภายในองค์กร

เมื่อติดตั้งแล้ว มัลแวร์จะรับประกันความคงทนของตัวเองโดยใช้ฟังก์ชันในตัวเพื่อติดตั้งตัวเองใหม่โดยอัตโนมัติหากถูกขัดจังหวะ นอกจากนี้ยังใช้การเข้ารหัสหลายชั้นเพื่อซ่อนข้อความ ทำให้การสื่อสารกับศูนย์ควบคุมของแฮกเกอร์เป็นเรื่องยากอย่างยิ่งที่จะถูกตรวจจับ ซึ่งเป็นเรื่องที่น่ากังวลอย่างมาก

เป็นที่น่าสังเกตว่าในขณะที่ตัวอย่างทั้งหมดให้การควบคุมที่ลับๆ แก่แฮกเกอร์ แต่ก็มีความแตกต่างกันเล็กน้อย เช่น วิธีที่พวกเขาบรรลุความคงทน หรือตัวอย่างใดที่มีคุณสมบัติ SOCKS proxy เพื่อช่วยให้พวกเขาเจาะลึกเข้าไปในเครือข่ายของเหยื่อ

หน่วยงานต่างๆ กำลังเรียกร้องให้องค์กรที่ได้รับผลกระทบทั้งหมดใช้ตัวบ่งชี้การบุกรุก (IOCs) และลายเซ็นการตรวจจับที่เพิ่งเปิดเผย เพื่อตรวจสอบระบบของตนและรายงานสัญญาณกิจกรรมของ BRICKSTORM โดยทันที

มุมมองของผู้เชี่ยวชาญ: การกำหนดเป้าหมายไปยังรากฐานของการจำลองเสมือน (Virtualisation Foundation):

Ensar Seker, CISO จากบริษัทข่าวกรองภัยคุกคาม SOCRadar ได้ให้ความเห็นพิเศษเกี่ยวกับคำแนะนำนี้กับ Hackread.com โดยระบุว่า: “สิ่งที่น่าตกใจเป็นพิเศษเกี่ยวกับการโจมตีนี้คือการที่มันกำหนดเป้าหมายไปที่ชั้นของการจำลองเสมือนเอง ไม่ใช่ระบบปฏิบัติการหรือแอปพลิเคชัน ซึ่งในอดีตได้รับความสนใจน้อยกว่า”

Seker เน้นว่าเมื่อคอนโซลการจัดการ (vCenter) ถูกบุกรุก ผู้โจมตีจะ “ได้รับการมองเห็นอย่างกว้างขวางทั่วทั้งโครงสร้างพื้นฐานเสมือน และสามารถหลีกเลี่ยงการป้องกัน Endpoint แบบดั้งเดิมได้มากมาย”

เขาได้สรุปว่ามัลแวร์นี้ “ไม่ใช่แค่การโจมตีด้วยมัลแวร์อีกรูปแบบหนึ่ง มันคือการปลุกให้ตื่นขึ้น โดยแสดงให้เห็นว่าผู้ไม่หวังดีกำลังขยับสูงขึ้นในสแต็ก โดยกำหนดเป้าหมายไปที่รากฐานของการจำลองเสมือนมากกว่าเครื่องเสมือนแต่ละเครื่อง”

Reference : https://hackread.com/chinese-state-hackers-brickstorm-vmware-systems/