สรุปสั้น

กลุ่มแฮ็กเกอร์ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear และ Forest Blizzard ซึ่งเป็นหน่วยงานภายใต้สำนักข่าวกรองทหารรัสเซีย (GRU) ได้ทำการโจมตี router รุ่นเก่าของ Mikrotik และ TP-Link ที่ใช้ในบ้านและสำนักงานขนาดเล็ก (SOHO) เพื่อเปลี่ยนค่า DNS ให้ชี้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม จากนั้นจึงดักจับ authentication token ของ Microsoft Office จากผู้ใช้กว่า 18,000 เครือข่ายทั่วโลก สิ่งที่น่าตกใจที่สุดคือการโจมตีนี้ไม่ต้องติดตั้งมัลแวร์ใด ๆ บน router เลย เพียงแค่เปลี่ยนค่า DNS ก็เพียงพอ Microsoft ระบุว่าพบองค์กรกว่า 200 แห่งและอุปกรณ์ผู้บริโภค 5,000 เครื่องที่ตกเป็นเหยื่อ เป้าหมายหลักคือหน่วยงานรัฐบาล กระทรวงการต่างประเทศ และหน่วยงานบังคับใช้กฎหมาย

รายละเอียดข่าว

เว็บไซต์ Krebs on Security รายงานเมื่อวันที่ 28 เมษายน พ.ศ. 2569 ว่า แฮ็กเกอร์ที่เชื่อมโยงกับหน่วยข่าวกรองทหารรัสเซียใช้ช่องโหว่ที่รู้กันอยู่แล้วใน router รุ่นเก่าเพื่อเก็บเกี่ยว authentication token จากผู้ใช้ Microsoft Office เป็นจำนวนมาก โดยกลุ่ม APT28 ไม่จำเป็นต้องติดตั้งมัลแวร์บน router เป้าหมาย แต่ใช้วิธีเปลี่ยนค่า Domain Name System (DNS) ของ router ให้รวมเซิร์ฟเวอร์ DNS ที่ผู้โจมตีควบคุมเข้าไป เมื่อผู้ใช้ในเครือข่ายพยายามเข้าถึงบริการ Microsoft Office ระบบจะถูกเปลี่ยนเส้นทางไปยังหน้า login ปลอมที่ดักจับ token โดยผู้ใช้ไม่รู้ตัว รายงานจาก Lumen ระบุว่าเป้าหมายหลักคือหน่วยงานรัฐบาล กระทรวงการต่างประเทศ หน่วยงานบังคับใช้กฎหมาย และผู้ให้บริการอีเมลบุคคลที่สาม Microsoft โพสต์บล็อกยืนยันว่าพบองค์กรกว่า 200 แห่งและอุปกรณ์ผู้บริโภค 5,000 เครื่องที่ถูกดักจับข้อมูล

วิธีการโจมตี

APT28 ใช้ช่องโหว่ที่เป็นที่รู้จักและมี exploit สาธารณะใน router Mikrotik และ TP-Link รุ่นเก่าที่ไม่ได้อัปเดตเฟิร์มแวร์ เมื่อเข้าถึง router ได้จะเปลี่ยนค่า DNS server ให้ชี้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม เมื่อเหยื่อในเครือข่ายพยายามเข้าถึง Microsoft Office (เช่น login.microsoftonline.com) DNS ปลอมจะเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ที่ทำหน้าที่เป็น proxy ดักจับ authentication token โดยที่ผู้ใช้ยังสามารถ login ได้ตามปกติ ทำให้ไม่มีสัญญาณผิดปกติที่สังเกตเห็นได้ ความเรียบง่ายของเทคนิคนี้ทำให้การโจมตีขยายขอบเขตได้อย่างรวดเร็วโดยไม่ทิ้งร่องรอยมัลแวร์บนอุปกรณ์ใด ๆ

ผลกระทบต่อไทย

ประเทศไทยมีการใช้ router Mikrotik และ TP-Link อย่างแพร่หลาย ทั้งในบ้านพักอาศัย ร้านกาแฟ โรงแรม และสำนักงานขนาดเล็ก จำนวนมากเป็นรุ่นเก่าที่ไม่เคยอัปเดตเฟิร์มแวร์ ทำให้มีความเสี่ยงสูงที่จะถูกเปลี่ยนค่า DNS ในลักษณะเดียวกัน นอกจากนี้หน่วยงานราชการและบริษัทไทยจำนวนมากใช้ Microsoft 365 เป็นระบบอีเมลและเอกสารหลัก หาก router ถูกแก้ไข DNS ข้อมูล authentication token ของผู้ใช้ทั้งหมดในเครือข่ายจะถูกดักจับโดยไม่มีอาการผิดปกติใด ๆ ให้สังเกต

คำแนะนำ

  • ตรวจสอบค่า DNS ของ router ทุกตัวในองค์กร โดยเฉพาะ Mikrotik และ TP-Link ว่าชี้ไปยัง DNS server ที่ถูกต้อง
  • อัปเดตเฟิร์มแวร์ router ให้เป็นเวอร์ชันล่าสุดและเปลี่ยนรหัสผ่านเริ่มต้นทันที
  • ปิดการเข้าถึง management interface ของ router จากอินเทอร์เน็ตภายนอก
  • เปิดใช้ Conditional Access Policy ใน Microsoft 365 เพื่อบล็อก token ที่มาจาก IP หรือ location ที่ผิดปกติ
  • พิจารณาใช้ DNS over HTTPS (DoH) หรือ DNS over TLS (DoT) เพื่อป้องกัน DNS hijacking
  • ตรวจสอบ sign-in log ของ Microsoft 365 เพื่อหาการ login ที่มาจาก IP ที่ไม่คุ้นเคย

แหล่งอ้างอิง