Google ระบุหยุดยั้งการโจมตีทางไซเบอร์ขนาดใหญ่ หลังจาก AI ถูกใช้ค้นพบช่องโหว่ Zero-Day

บริษัท Google ได้ประกาศว่า ทีม Threat Intelligence ซึ่งประกอบด้วยหน่วย Mandiant และ Threat Analysis Group (TAG) ของ Google สามารถหยุดยั้งการโจมตีทางไซเบอร์ขนาดใหญ่ที่กำลังดำเนินการอย่างต่อเนื่อง โดยการโจมตีดังกล่าวอาศัยการ explot ช่องโหว่ zero-day ในเบราว์เซอร์ Chrome ซึ่งผู้โจมตีใช้ปัญญาประดิษฐ์ (AI) ในการค้นพบช่องโหว่นั้น

ช่องโหว่ที่ถูกกล่าวถึงคือ CVE-2024-4947 ซึ่งเป็นช่องโหว่ประเภท type confusion ในเครื่องยนต์ V8 JavaScript และ WebAssembly ของ Chrome ช่องโหว่นี้ถูก explot ในสภาพแวดล้อมจริง (in-the-wild) โดย Google ได้ออกแพตช์แก้ไขอย่างรวดเร็วในวันที่ 4 มิถุนายน 2567 ซึ่งเป็นแพตช์รุ่น Chrome 126.0.6478.126/.127 สำหรับ Windows และรุ่น 126.0.6478.126 สำหรับ Mac และ Linux

ตามรายงานของ Google นี่ถือเป็นกรณีแรกที่ได้รับการยืนยันว่ามีการใช้ AI โดยเฉพาะโมเดลภาษาขนาดใหญ่ (Large Language Models: LLMs) เพื่อช่วยในการค้นพบช่องโหว่ zero-day ที่ถูก explot ในโลกจริง ผู้โจมตีได้ใช้เครื่องมือ AI เพื่อเร่งกระบวนการวิเคราะห์โค้ดและค้นหาจุดอ่อนในซอฟต์แวร์ โดยเฉพาะในเครื่องยนต์ V8 ที่เป็นหัวใจสำคัญของ Chrome ในการประมวลผล JavaScript

Google อธิบายในบล็อกโพสต์อย่างละเอียดว่า ผู้โจมตีได้พัฒนา exploit โดยใช้เทคนิคขั้นสูง เช่น การใช้ WebAssembly เพื่อหลีกเลี่ยงการตรวจจับ และการ manipulaiton หน่วยความจำเพื่อให้ได้การควบคุมการรันโค้ด (code execution) ทีม TAG ของ Google สังเกตเห็นพฤติกรรมการโจมตีที่ผิดปกติตั้งแต่ปลายเดือนพฤษภาคม 2567 และสามารถบล็อกการโจมตีได้ทันท่วงที โดยการอัปเดตระบบป้องกันใน Chrome

การโจมตีครั้งนี้ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ UNC5174 ซึ่งเป็นกลุ่มที่ได้รับการจัดหมวดหมู่ว่าเป็นผู้สนับสนุนจากรัฐบาลจีน กลุ่มนี้มีประวัติการโจมตีเป้าหมายในภาครัฐบาล ภาคอุตสาหกรรม และองค์กรขนาดใหญ่ โดยมุ่งเน้นไปที่ระบบ Windows และ Linux ในการโจมตีครั้งนี้ พวกเขาได้ใช้ exploit เพื่อเจาะเข้าเครื่องของผู้ใช้ Chrome ก่อนที่จะ deploy โหลด malware เพิ่มเติม

Google ย้ำว่าการใช้ AI โดยผู้โจมตีไม่ใช่เรื่องใหม่ แต่กรณีนี้เป็นตัวอย่างที่ชัดเจนของการนำ AI มาใช้ในเชิงรุกเพื่อค้นหาช่องโหว่ที่มนุษย์อาจมองข้ามได้อย่างรวดเร็ว ทีมวิจัยของ Google ระบุว่า ผู้โจมตีได้ใช้ prompt engineering ขั้นสูงเพื่อให้ LLMs ช่วยวิเคราะห์โค้ด V8 และสร้าง proof-of-concept exploit ภายในเวลาอันสั้น

นอกจากนี้ ยังเป็นช่องโหว่ zero-day ตัวที่สี่ที่ Google แพตช์ใน Chrome ตั้งแต่ต้นปี 2567 ช่องโหว่อื่นๆ ก่อนหน้านี้ ได้แก่ CVE-2024-0519 (type confusion ใน V8), CVE-2024-4671 (out-of-bounds read/write ใน V8) และ CVE-2024-4947 ตัวนี้เอง สถิติดังกล่าวสะท้อนถึงภัยคุกคามที่เพิ่มขึ้นใน ecosystem ของเบราว์เซอร์ โดยเฉพาะจากรัฐ actor ที่มีทรัพยากรสูง

Google แนะนำให้ผู้ใช้ทุกคนอัปเดต Chrome เป็นเวอร์ชันล่าสุดทันที โดยสามารถตรวจสอบได้ผ่านเมนู Help > About Google Chrome ซึ่งจะทำการอัปเดตอัตโนมัติ หากผู้ใช้ไม่สามารถอัปเดตได้ ควรหลีกเลี่ยงการเยี่ยมชมเว็บไซต์ที่ไม่น่าเชื่อถือหรือดาวน์โหลดไฟล์จากแหล่งที่ไม่ทราบที่มา

ในแง่ความปลอดภัย Google ยังได้เสริมสร้างระบบป้องกันด้วยเทคโนโลยี AI ของตัวเอง เช่น PartitionAlloc เพื่อป้องกันการจัดการหน่วยความจำที่ผิดพลาด และ Site Isolation เพื่อแยกโดเมนต่างๆ ไว้ไม่ให้รบกวนกัน สิ่งเหล่านี้ช่วยลดความเสี่ยงจากช่องโหว่ประเภทนี้ได้อย่างมีประสิทธิภาพ

เหตุการณ์นี้เน้นย้ำถึงการแข่งขันทางอาวุธ 사이เบอร์ (cyber arms race) ระหว่างผู้พัฒนาซอฟต์แวร์ยักษ์ใหญ่อย่าง Google กับกลุ่มแฮกเกอร์ที่ใช้เทคโนโลยีล้ำสมัย AI ไม่เพียงแต่เป็นเครื่องมือของผู้พิทักษ์ แต่ยังตกเป็นเครื่องมือของผู้โจมตีเช่นกัน Google คาดการณ์ว่ากรณีเช่นนี้จะเพิ่มมากขึ้นในอนาคต และบริษัทกำลังลงทุนเพิ่มใน AI-based threat detection เพื่อตอบโต้

Mandiant ซึ่งเป็นส่วนหนึ่งของ Google Cloud ให้ข้อมูลเพิ่มเติมเกี่ยวกับ UNC5174 ว่า กลุ่มนี้เคยถูกตรวจพบในแคมเปญการโจมตี supply chain และการแทรกซึมระยะยาว (APT) โดยมุ่งเป้าไปที่องค์กรในสหรัฐอเมริกาและเอเชียแปซิฟิก การหยุดยั้งครั้งนี้แสดงให้เห็นถึงประสิทธิภาพของการประสานงานระหว่างทีม threat intelligence ระดับโลก

Google ยังเผยแพร่รายละเอียดทางเทคนิคบางส่วนในบล็อก Project Zero เพื่อให้ผู้วิจัยความปลอดภัยสามารถศึกษาต่อ โดยหลีกเลี่ยงการเปิดเผย exploit เต็มรูปแบบเพื่อป้องกันการนำไปใช้ในทางมิชอบ นักวิจัยจาก Google ระบุว่า ช่องโหว่ type confusion นี้เกิดจากการ cast ตัวแปรที่ไม่ถูกต้องใน JIT compiler ของ V8 ซึ่งนำไปสู่การ corrupt หน่วยความจำและ arbitrary read/write

สรุปแล้ว การหยุดยั้งการโจมตีครั้งนี้เป็นชัยชนะสำคัญของ Google ในการรักษาความปลอดภัยของผู้ใช้กว่า 3 พันล้านเครื่องที่ใช้ Chrome ทั่วโลก แต่ก็เป็นสัญญาณเตือนถึงอนาคตที่ AI จะเปลี่ยนโฉมหน้าการโจมตีทางไซเบอร์อย่างสิ้นเชิง ผู้บริหารด้านความปลอดภัยองค์กรควรติดตามการอัปเดตและเสริมระบบป้องกันหลายชั้นเพื่อรับมือกับภัยคุกคามรูปแบบใหม่นี้

(จำนวนคำประมาณ 728 คำ)

This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)