เมื่อวันที่ 7 กุมภาพันธ์ที่ผ่านมา หน่วยงานด้านข่าวกรองและความมั่นคงทางไซเบอร์ของรัฐบาลสหรัฐฯ อังกฤษ ออสเตรเลีย แคนาดาและนิวซีแลนด์ กล่าวว่า รัฐบาลจีนได้ดำเนินปฏิบัติการทางไซเบอร์ผ่านแฮกเกอร์ที่เป็นคนของตนเป็นเวลามาหลายปีแล้ว “เพื่อชิงความได้เปรียบในเครือข่ายไอทีในด้านการโจมตีทางไซเบอร์เพื่อก่อกวนหรือทำลายล้าง” ต่อโครงสร้างพื้นฐานสำคัญของประเทศต่าง ๆ
โดยเมื่อวันที่ 5 กุมภาพันธ์ หรือ 2 วันก่อนหน้านั้น รัฐบาลฟิลิปปินส์ เปิดเผยว่า เจ้าหน้าที่ของตนเพิ่งจัดการกับการโจมตีทางไซเบอร์จากจีนที่พุ่งเป้ามายังเว็บไซต์และระบบอีเมลของประธานาธิบดีเฟอร์ดินานด์ มาร์กอส จูเนียร์ และหน่วยงานรัฐบาลต่าง ๆ สำเร็จไป
โฆษกรัฐบาลรายหนึ่งบอกกับสื่อท้องถิ่นว่า รัฐบาลฟิลิปปินส์ไม่ได้จะระบุว่า การแฮกที่เกิดขึ้นเป็นฝีมือของรัฐบาลใดรัฐบาลหนึ่ง แต่การตรวจสอบพบว่า ผู้ทำการดังกล่าวดำเนินการแฮ็คจากพื้นที่ที่ไม่ขอเปิดเผยในประเทศจีน
ต่อมาในวันที่ 6 กุมภาพันธ์ หน่วยงานข่าวกรองของเนเธอร์แลนด์ เปิดเผยว่า สายลับทางไซเบอร์ที่รัฐบาลจีนหนุนหลังอยู่สามารถบุกเข้ามาในเครือข่ายกองทัพของตนในปี 2023 โดยนี่เป็นครั้งแรกที่เนเธอร์แลนด์ออกมาระบุต่อสาธารณะว่า จีนอยู่เบื้องหลังการจารกรรมทางไซเบอร์
สถานทูตจีนในฟิลิปปินส์และในเนเธอร์แลนด์ออกมาโต้ปฏิเสธคำกล่าวหานี้ผ่านคำแถลงการณ์ที่มีการใช้คำพูดคล้าย ๆ กัน ที่มีเนื้อหาดังนี้:
“รัฐบาลจีน... ไม่ยอมให้ประเทศหรือบุคคลใดทำการโจมตีทางไซเบอร์และดำเนินกิจกรรมที่ผิดกฎหมายบนผืนแผ่นดินจีน หรือใช้โครงสร้างพื้นฐานของจีน[เพื่อทำการดังกล่าว]”
นี่เป็นความเท็จ
จีนนั้นมีประวัติการดำเนินการโจมตีทางไซเบอร์เพื่อการจารกรรมข้อมูลและมุ่งร้ายไปทั่วโลก โดยส่วนใหญ่นั้นเชื่อมโยงกับตัวแสดงของรัฐบาลจีน (government actors)
ผู้ที่ทำการโจมตีทางไซเบอร์ของทางการจีนซึ่งมีชื่อดังกระฉ่อนมากที่สุด ได้แก่:
โวลท์ ไต้ฝุ่น (Volt Typhoon)
(หรืออีกชื่อหนึ่งว่า แวนการ์ด แพนด้า (Vanguard Panda), บรอนซ์ ซีลูเอท (BRONZE SILHOUETTE), เดฟ-0391 (Dev-0391), ยูเอ็นซี3236 (UNC3236), โวลท์ไซท์ (Voltzite), อินซิเดียส ทอรัส (Insidious Taurus))
ในเดือนพฤษภาคมของปีที่แล้ว ไมโครซอฟท์ตรวจจับพบและระบุตัว โวลท์ ไต้ฝุ่น ว่าเป็นผู้ที่รัฐบาลจีนหนุนหลังอยู่ โดยแฮกเกอร์กลุ่มนี้เริ่มปฏิบัติการมาตั้งแต่กลางปี 2021 และมุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญของสหรัฐฯ ทั้งยังกล่าวด้วยว่า “องค์กรที่ได้รับผลกระทบนั้นมีตั้งแต่ฝ่ายสื่อสาร การผลิต สาธารณูปโภค คมนาคม ก่อสร้าง เดินเรือ รัฐบาล สารสนเทศ ไปถึงการศึกษา”
บริษัท CrowStrike ที่เชี่ยวชาญด้านความมั่นคงทางไซเบอร์ติดตามตรวจสอบการดำเนินการต่าง ๆ ของ โวลท์ ไต้ฝุ่น ย้อนหลังไปได้ถึง “อย่างน้อยกลางปี 2020” และกล่าวว่า เทคนิคลูกเล่นที่ใช้ในการจารกรรมอย่างหนึ่งของกลุ่มนี้คือ การปลอมแปลงตัวเป็น “ซอฟต์แวร์การให้ความช่วยเหลือทางไอทีที่ถูกต้องตามกฎหมาย” และวิธีนี้คือสิ่งที่ทำให้แฮกเกอร์จีนทำ “การบุกรุกเข้ามาได้อย่างลึก” โดยไม่มีใครตรวจพบเจอ
ไมโครซอฟท์ยังรายงานด้วยว่า การดำเนินการแบบล่องหนของ โวลท์ ไต้ฝุ่น นั้นมีการใช้เทคนิคซับซ้อนที่อาศัยการใช้โปรแกรมที่ได้รับการติดตั้งในระบบมาอยู่แล้วเพื่อใช้ในการโจมตี (living-off-the-land technique) ซึ่งช่วยให้ผู้บุกรุกไม่ต้องทิ้งร่องรอยไว้ให้ตรวจสอบ ขณะที่ ระบบป้องกันไวรัสก็ตรวจไม่เห็นด้วย
สำนักงานความมั่นคงทางไซเบอร์ของสหรัฐฯ (the Cybersecurity and Infrastructure Security Agency - CISA) ระบุในประกาศเตือนสาธารณะว่าด้วยเรื่องของความมั่นคงทางไซเบอร์เมื่อวันที่ 7 กุมภาพันธ์ ว่า “ตัวเลือกเป้าหมายและรูปแบบพฤติกรรมของ โวลท์ ไต้ฝุ่น ไม่ได้สอดคล้องกับการจารกรรมทางไซเบอร์หรือปฏิบัติการรวบรวมข่าวกรองแบบปกติ” และว่า “หน่วยงานทางการสหรัฐฯ ที่ร่วมทำรายงานนี้รู้สึกกังวลเกี่ยวกับโอกาสที่คนเหล่านี้จะใช้ช่องทางการเข้าถึงเครือข่ายของตนเพื่อทำการก่อกวนต่าง ๆ ในกรณีเกิดความตึงเครียดทางภูมิรัฐศาสตร์และ/หรือความขัดแย้งทางหารทหาร”
สตอร์ม-0558 (STORM-0558)
ก่อนที่ แอนโทนี บลิงเคน รัฐมนตรีต่างประเทศของสหรัฐฯ จะเดินทางไปกรุงปักกิ่งเมื่อเดือนมิถุนายนของปีที่แล้ว แฮกเกอร์เชื้อสายจีนที่มีรัฐบาลหนุนหลังกลุ่มหนึ่งและมีชื่อว่า สตอร์ม-0558 ทำการแฮกบัญชีอีเมลของเจ้าหน้าที่รัฐบาลสหรัฐฯ จากหน่วยงานหลายแห่งที่ทำงานด้านที่เกี่ยวข้องกับจีน
หนังสือพิมพ์ เดอะ วอชิงตัน โพสต์ (The Washington Post) รายงานว่า เจ้าหน้าที่ที่ถูกแฮกนั้นรวมถึง จีนา ไรมอนโด รัฐมนตรีจากการกระทรวงพาณิชย์สหรัฐฯ ที่ดูแลการออกคำสั่งควบคุมการส่งออกไปยังตลาดต่างประเทศ ด้วย
อนึ่ง สหรัฐฯ ดำเนินการออกกฎควบคุมการส่งออกหลายรายการเพื่อจำกัดการถ่ายโอนส่วนประกอบการผลิตเซมิคอนดักเตอร์และอุปกรณ์คอมพิวเตอร์ล้ำสมัยต่าง ๆ ไปยังจีน
ต่อมา ไมโครซอฟท์ยอมรับว่า แฮกเกอร์จีนใช้ระบบกุญแจใช้งานบัญชีไมโครซอฟท์ที่ถูกขโมยมาเพื่อปลอมแปลงอุปกรณ์สำหรับการใช้งาน Outlook Web Access และ Outlook.com ขึ้นมา รวมทั้งยังใช้อุปกรณ์ปลอมแปลงที่ว่าในการปลอมเป็นผู้ใช้งานในทำเนียบนาม Azure Active Directory และเข้าไปในบัญชีอีเมลของคนเหล่านั้นด้วย
นอกจากนั้น สตอร์ม-0558 ยังเก็บรักษาการเข้าใช้งานบัญชีอีเมลของ “องค์กรต่าง ๆ ราว 25 แห่งที่รวมถึงหน่วยงานรัฐหลายแห่ง ตั้งแต่กลางเดือนพฤษภาคมที่ผ่านมา” ด้วย ตามข้อมูลในรายงานของไมโครซอฟท์
เอพีที 41 (APT 41)
(หรืออีกชื่อหนึ่งว่า บาเรียม (BARIUM), บรอนซ์ แอตลาส (BRONZE ATLAS), แบล็คฟลาย (Blackfly), แบรส ไต้ฝุ่น (Brass Typhoon), เอิร์ธ บากุ (Earth Baku), G0096, เกรย์ฟลาย (Grayfly), ฮูดู (HOODOO), ลีด (LEAD), เรด เคลพี (Red Kelpie), ทีเอ415 (TA415), วิคคิด แพนด้า (WICKED PANDA), วิคคิด สไปเดอร์ (WICKED SPIDER))
เอพีที 41 คือ กลุ่มแฮกเกอร์ที่มีชื่อกระฉ่อนที่สุดที่ถูกระบุตัวว่า เป็นส่วนหนึ่งของเครื่องมือการจารกรรมทางไซเบอร์ของพรรคคอมมิวนิสต์จีน ขณะที่ หน่วยงานเฝ้าระวังด้านความมั่นคงทางไซเบอร์ติดตามตรวจสอบความเคลื่อนไหวของกลุ่มนี้พบว่า เริ่มมีการดำเนินการมาตั้งแต่ปี 2012 เป็นอย่างน้อย
กลยุทธ์ “ยอดนิยม” ของกลุ่มนี้มีอาทิ การหลอกลวงด้วยการพุ่งเป้าเจาะจงกลุ่มใดกลุ่มหนึ่ง (spear phishing) การโจมตีเว็บที่คาดว่ามีผู้ใช้งานจำนวนมาก (water hole) การโจมตีห่วงโซ่อุปทาน และเจาะระบบหลังบ้าน (backdoor) อ้างอิงข้อมูลจากรายงานประจำเดือนกันยายนปี 2022 ของสำนักความมั่นปลอดภัยข้อมูลสหรัฐฯ (U.S. Office of Information Security) ที่ระบุถึงรายละเอียดการดำเนินการล่าสุดของกลุ่มนี้ที่เกิดขึ้นในอย่างน้อย 14 ประเทศ
ในปี 2019 FireFly Threat Intelligence ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านความมั่นคงทางไซเบอร์ ประเมินว่า “มีความมั่นใจสูงมากว่า กลุ่มเอพีที41 เป็นกลุ่มนักจารกรรมที่มีรัฐบาลจีนหนุนหลังอยู่ซึ่งดำเนินการต่าง ๆ ตามแรงจูงใจด้านการเงินเพื่อประโยชน์ของตัวเองด้วย”
รายงานของบริษัทนี้ยังระบุด้วยว่า “กลุ่ม[เอพีที41]จัดตั้งและทำการดูแลรักษาทางเข้าเชิงยุทธศาสตร์ขององค์กรต่าง ๆ ในอุตสาหกรรมบริการดูแลสุขภาพ ไฮเทคและโทรคมนาคมไว้อยู่”
ในปี 2020 กระทรวงยุติธรรมสหรัฐฯ เดินหน้าสั่งฟ้องชาวจีน 5 คนและชาวมาเลเซีย 2 คนที่มีความเกี่ยวข้องกับเอพีที41 ในข้อการทำการแฮกระบบบริษัทกว่า 100 แห่งทั่วโลกเพื่อขโมย proprietary source code (คำสั่งโปรแกรมซอฟต์แวร์กรรมสิทธิ์) ข้อมูลลูกค้าและข้อมูลธุรกิจสำคัญ ๆ อื่น ๆ
ข้อมูลประกาศจับของสำนักงานสืบสวนกลางของสหรัฐฯ (FBI) สำหรับสมาชิกทั้ง 5 คนของเอพีที41 ระบุว่า กลุ่มแฮกเกอร์นี้ดำเนินกิจกรรมทางไซเบอร์ที่ผิดกฎหมายใน “ออสเตรเลีย บราซิล เยอรมนี อินเดีย ญี่ปุ่นและสวีเดน สหรัฐฯ ออสเตรเลีย จีน(ทิเบต) ชิลี อินโดนีเซีย มาเลเซีย ปากีสถาน สิงคโปร์ เกาหลีใต้ ไต้หวันและประเทศไทย”
- ที่มา: ฝ่าย Polygraph วีโอเอ