กูเกิลเตือน! แฮกเกอร์จีนเจาะเซิร์ฟเวอร์วิจัย ก่อนเนียนใช้กฎ Google Workspace แอบสูบอีเมลกลาโหมนานนับปี

กูเกิล (Google) ออกรายงานแจ้งเตือนการตรวจพบแคมเปญจารกรรมไซเบอร์ครั้งใหญ่ โดยฝีมือของกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับรัฐบาลจีน (ติดตามในชื่อ UNC6508) ซึ่งสามารถแฝงตัวอยู่ในเครือข่ายทางการแพทย์ วิชาการ และการทหารในทวีปอเมริกาเหนือมานานกว่า 1 ปี เพื่อแอบขโมยข้อมูลงานวิจัยที่ละเอียดอ่อนและอีเมลด้านการกลาโหม

วิธีการโจมตีแบ่งเป็น 2 ขั้นตอนหลัก:

•     ทางเข้า (REDCap): แฮกเกอร์เริ่มจากการเจาะเข้าเซิร์ฟเวอร์ REDCap (ระบบจัดการฐานข้อมูลงานวิจัยยอดนิยมของโรงพยาบาลและมหาวิทยาลัย) ที่เปิดออกสู่ภายนอก จากนั้นได้ฝังมัลแวร์ตัวใหม่ชื่อ "INFINITERED" เพื่อดักจับรหัสผ่าน และไต่เต้าสิทธิ์จนสามารถยึดบัญชีผู้ดูแลระบบ (Domain Administrator) ขององค์กรได้สำเร็จ
•     ทางออก (Google Workspace): ความแยบยลเกิดขึ้นในขั้นตอนนี้ เมื่อแฮกเกอร์ไม่ได้ใช้มัลแวร์หรือเครื่องมือขโมยข้อมูลใดๆ บนระบบอีเมลเลย แต่ใช้วิธีเข้าไปแก้ไขกฎความปลอดภัยด้านเนื้อหา (Content Compliance Rules) ซึ่งเป็นฟีเจอร์มาตรฐานของ Google Workspace โดยตั้งค่าให้ระบบส่งสำเนาลับ (BCC) ของอีเมลใดๆก็ตามที่มีคำสำคัญ (Keywords) เกี่ยวกับยุทธศาสตร์ทหาร, AI, ยานยนต์ไร้คนขับ และงานวิจัยโรคระบาด (เช่น ไวรัส Chikungunya) ตรงไปยังกล่องอีเมล Gmail ของแฮกเกอร์โดยอัตโนมัติและเงียบเชียบ

•     ฝั่งเซิร์ฟเวอร์: ให้เร่งอัปเดตแพตช์ระบบ REDCap และลบเวอร์ชันเก่าที่รันคู่ขนานกันทิ้ง เพื่อป้องกันการโจมตีแบบถอยชนเวอร์ชันเก่า (Downgrade Attack)
•     ฝั่งระบบอีเมล: เข้าไปตรวจสอบกฎ Content Compliance และการตั้งค่าส่งต่ออีเมล (Mail-forwarding) ทั้งหมดบนระบบคลาวด์ ว่ามีการแอบส่ง BCC ออกไปภายนอกหรือไม่ พร้อมทั้งบังคับใช้ระบบยืนยันตัวตนหลายปัจจัย (MFA) บนบัญชีแอดมินทุกบัญชีทันที