การโจมตีทางไซเบอร์: กลุ่มแฮกเกอร์ APT31 ใช้บริการคลาวด์สาธารณะเพื่อปกปิดโครงสร้างพื้นฐานควบคุมและสั่งการ
กลุ่มแฮกเกอร์ APT31 ซึ่งเชื่อมโยงกับหน่วยงานรัฐบาลจีน ได้พัฒนาเทคนิคการโจมตีที่ซับซ้อนยิ่งขึ้น โดยใช้บริการคลาวด์สาธารณะจากผู้ให้บริการชั้นนำ เช่น Amazon Web Services (AWS), Microsoft Azure และ Google Cloud เพื่อปกปิดโครงสร้างพื้นฐานเซิร์ฟเวอร์ควบคุมและสั่งการ (Command and Control หรือ C2) ของตน นักวิจัยด้านความมั่นคงทางไซเบอร์จากบริษัท Recorded Future ได้เปิดเผยรายละเอียดในรายงานล่าสุด ซึ่งชี้ให้เห็นว่ากลุ่มนี้หลีกเลี่ยงการใช้เซิร์ฟเวอร์ในจีนโดยตรง แต่หันมาใช้โครงสร้างพื้นฐานคลาวด์จากตะวันตกเพื่อกลมกลืนกับการรับส่งข้อมูลที่ถูกต้องตามกฎหมาย ทำให้การติดตามและกำหนดตัวผู้กระทำผิดทำได้ยากขึ้นอย่างมาก
APT31 หรือที่รู้จักในชื่ออื่นๆ เช่น Zirconium, Violet Typhoon หรือ Judgment Panda เป็นกลุ่มขั้นสูงและยั่งยืน (Advanced Persistent Threat: APT) ที่มุ่งเป้าโจมตีหน่วยงานรัฐบาล นักการเมือง นักวิจัย และบุคคลสำคัญในหลายประเทศ โดยเฉพาะในยุโรปและสหรัฐอเมริกา กลุ่มนี้มีประวัติการโจมตีที่เกี่ยวข้องกับการจารกรรมข้อมูลลับทางการเมือง เศรษฐกิจ และทหาร ตามรายงานของหน่วยงานข่าวกรองหลายแห่ง รวมถึงกระทรวงยุติธรรมสหรัฐอเมริกาที่เคยกล่าวหาผู้ต้องสงสัยสองคนจากกระทรวงความมั่นคงแห่งรัฐจีน (MSS) ในข้อหาแฮกข้อมูลบุคคลอเมริกากว่า 60,000 ราย
เทคนิคหลักที่ APT31 ใช้คือการโฮสต์เซิร์ฟเวอร์ C2 บนบริการคลาวด์ โดยนักวิจัยพบตัวอย่างมัลแวร์หลายตัวที่เชื่อมต่อกับโดเมนและ IP address ในคลาวด์เหล่านี้ เช่น AWS EC2 instances, S3 buckets สำหรับจัดเก็บ payload และ Route 53 สำหรับการลงทะเบียนโดเมน นอกจากนี้ ยังมีการใช้ Azure Virtual Machines และ Google Cloud Platform (GCP) Compute Engine เพื่อรันเครื่องมือโจมตี เช่น Cobalt Strike beacons และ custom backdoors การใช้บริการเหล่านี้ช่วยให้กลุ่มแฮกเกอร์สามารถหลีกเลี่ยงการตรวจจับจากระบบป้องกันขอบเขต (perimeter defenses) เนื่องจากทราฟฟิกไปยังคลาวด์ผู้ให้บริการรายใหญ่ดูเหมือนการใช้งานปกติขององค์กรทั่วไป
จากตัวอย่างที่ตรวจพบ นักวิจัยระบุว่า APT31 สร้างบัญชีคลาวด์โดยใช้ข้อมูลบัตรเครดิตที่ถูกขโมยหรือข้อมูลปลอม เพื่อหลีกเลี่ยงการตรวจสอบตัวตน (KYC) จากผู้ให้บริการ หลังจากนั้น พวกเขาจะอัปโหลดเครื่องมือโจมตี เช่น DLL side-loading payloads หรือ PowerShell scripts ลงใน S3 buckets ซึ่งมีลิงก์ตรงสำหรับดาวน์โหลดโดยเหยื่อ ตัวอย่างโดเมนที่เกี่ยวข้อง ได้แก่ *.amazonaws.com และ *.azurewebsites.net ที่ถูกใช้ในการสื่อสาร C2 ผ่านโปรโตคอล HTTPS เพื่อหลบเลี่ยงการกรองทราฟฟิก
โครงสร้างการโจมตีมักเริ่มต้นด้วยการส่งอีเมลฟิชชิง (spear-phishing) ที่แนบไฟล์ Office documents ผสมมัลแวร์ เมื่อเหยื่อเปิดไฟล์ มัลแวร์จะติดต่อเซิร์ฟเวอร์ C2 ในคลาวด์เพื่อดึงคำสั่งเพิ่มเติม นักวิจัยพบรูปแบบ TTPs (Tactics, Techniques, and Procedures) ที่เป็นเอกลักษณ์ เช่น การใช้ legitimate cloud APIs สำหรับ exfiltration ข้อมูล การหมุนเวียน IP ผ่าน Elastic IPs ของ AWS และการ obfuscate ชื่อโดเมนให้ดูเหมือนบริการจริง เช่น update-service[.]amazonaws.com
การใช้คลาวด์ยังช่วยให้ APT31 สามารถปรับขนาดการโจมตีได้อย่างรวดเร็ว โดย spin up instances ใหม่เมื่อถูกตรวจพบ และลบร่องรอยเก่าได้ทันที นอกจากนี้ บริการคลาวด์เหล่านี้มี SLA สูง ทำให้เซิร์ฟเวอร์ C2 มีความเสถียรดีกว่าการโฮสต์เอง ซึ่งเป็นปัญหาที่กลุ่ม APT จีนหลายกลุ่มเผชิญเนื่องจาก Great Firewall และการเซ็นเซอร์ในประเทศ
ผู้เชี่ยวชาญแนะนำมาตรการป้องกัน ดังนี้
- ตรวจสอบทราฟฟิกขาออกไปยังคลาวด์ provider ที่ผิดปกติ โดยใช้เครื่องมือเช่น Zeek หรือ Suricata
- บล็อกหรือตรวจสอบโดเมนย่อย (*.amazonaws.com, *.azureedge.net) ที่ไม่คุ้นเคย
- ใช้ EDR (Endpoint Detection and Response) เพื่อตรวจจับมัลแวร์ที่เชื่อมต่อ C2 แบบ domain generation algorithm (DGA)-like
- ฝึกอบรมพนักงานรับมือฟิชชิง และใช้ multi-factor authentication (MFA) สำหรับบัญชีคลาวด์องค์กร
- ติดตาม IOCs (Indicators of Compromise) จากรายงานของ Recorded Future เช่น IP ranges ใน AWS us-east-1 region ที่เกี่ยวข้องกับ APT31
รายงานนี้ยืนยันแนวโน้มที่เพิ่มขึ้นของกลุ่ม APT ที่หันมาใช้บริการคลาวด์ legitimate เพื่อ bypass attribution โดยเฉพาะกลุ่มจากจีนที่ต้องการหลีกเลี่ยงการถูกแบน IP จากผู้ให้บริการอินเทอร์เน็ตตะวันตก แม้ผู้ให้บริการคลาวด์จะมีนโยบายต่อต้านการใช้งานผิดวัตถุประสงค์ แต่ปริมาณการใช้งานมหาศาลทำให้การตรวจจับทันทีทำได้ยาก
การค้นพบนี้เน้นย้ำถึงความจำเป็นในการแบ่งปัน IOCs ระหว่างอุตสาหกรรมและรัฐบาล เพื่อเสริมสร้างการป้องกันเชิงรุก หน่วยงานที่ถูกโจมตีควรแจ้งผู้ให้บริการคลาวด์ทันทีเมื่อพบ abuse เพื่อระงับ instances ที่น่าสงสัย สุดท้าย การพัฒนาเครื่องมือ threat intelligence ที่เชี่ยวชาญด้าน cloud-native threats จะเป็นกุญแจสำคัญในการต่อสู้กับวิวัฒนาการของ APT31 และกลุ่มที่คล้ายคลึงกัน
(จำนวนคำประมาณ 728 คำ)
This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)