สรุปสั้น
ปฏิบัติการไซเบอร์ของจีนพัฒนาไปไกลกว่าภาพแฮ็กเกอร์ที่รัฐสนับสนุนแบบที่คนทั่วไปจินตนาการ แทนที่จะเป็นเจ้าหน้าที่รัฐคนเดียวบุกเจาะเซิร์ฟเวอร์ ปัจจุบันจีนดำเนินเครือข่ายซับซ้อนของบริษัทเอกชน ผู้รับเหมา และนายหน้าข้อมูล ที่ร่วมกันทำจารกรรมในนามของหน่วยข่าวกรอง ขนาดและความซับซ้อนของระบบนิเวศนี้สร้างความประหลาดใจแม้แต่นักวิจัยที่มีประสบการณ์ ศูนย์กลางของเครือข่ายคือบริษัทเทคโนโลยีเอกชนที่พัฒนาและขายเครื่องมือแฮ็ก สร้างบอตเน็ต ขโมยข้อมูล และขายต่อการเข้าถึงให้ลูกค้าภาครัฐ
ปฏิบัติการที่ถูกระบุว่าเป็นฝีมือกลุ่มอย่าง Salt Typhoon, Flax Typhoon และ Volt Typhoon เผยให้เห็นว่าแคมเปญที่รัฐจีนสนับสนุนพึ่งพาชั้นพาณิชย์ที่เฟื่องฟูในการทำงาน ผู้เล่นเอกชนเหล่านี้จัดหาทุกอย่างตั้งแต่มัลแวร์และโครงสร้างพื้นฐานเครือข่าย ไปจนถึงข้อมูลดิบที่ถูกขโมยมา เปลี่ยนการจารกรรมไซเบอร์ให้กลายเป็นตลาดซื้อขาย นักวิเคราะห์จาก BindingHook เสนอกรอบใหม่ในการทำความเข้าใจปฏิบัติการเหล่านี้ เรียกว่า “composite responsibility” หรือความรับผิดชอบแบบประกอบ ที่ยอมรับว่าปฏิบัติการเดียวอาจเกี่ยวข้องกับหลายฝ่าย แต่ละฝ่ายมีบทบาทและระดับความรับผิดชอบต่างกัน แทนที่จะเหมาทั้งแคมเปญให้กลุ่ม APT กลุ่มเดียว
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่า บริษัท BindingHook ได้แชร์รายงานที่อธิบายวิธีที่สหรัฐและพันธมิตรระบุตัวผู้อยู่เบื้องหลัง Salt Typhoon หนึ่งในแคมเปญจารกรรมไซเบอร์ที่สร้างความเสียหายมากที่สุดต่อโครงสร้างพื้นฐานโทรคมนาคมตะวันตก โดยเชื่อมโยงกับบริษัทเอกชนในจีนอย่างน้อย 3 แห่ง บริษัทเหล่านี้จัดหาผลิตภัณฑ์และบริการด้านไซเบอร์ให้หน่วยข่าวกรองของจีน โดย NCSC ของสหราชอาณาจักรระบุว่าบริษัทเหล่านี้ “เอื้ออำนวย” ให้เกิดกิจกรรมดังกล่าว แม้ว่า ณ กลางปี 2025 ความสัมพันธ์ด้านการมอบหมายงานและบทบาทเฉพาะของบริษัทเหล่านี้ยังไม่ถูกอธิบายต่อสาธารณะมากนัก
เอกสารภายในที่รั่วไหลจาก I-Soon ผู้รับเหมาเอกชนของจีนที่เชื่อมโยงกับกระทรวงความมั่นคงแห่งรัฐ (MSS) และกระทรวงความมั่นคงสาธารณะ (MPS) เปิดหน้าต่างหายากให้เห็นวิธีการทำงานของโมเดลนี้ พนักงาน I-Soon ทำการบุกรุกในฐานะผู้รับเหมา ป้อนผลลัพธ์กลับไปยังลูกค้าภาครัฐ และบริหารแคมเปญที่โจมตีรัฐบาลอย่างน้อย 14 ประเทศ การรั่วไหลนี้ยืนยันว่าปฏิบัติการไซเบอร์ของจีนไม่ได้เป็นเอกภาพ แต่เป็นระบบนิเวศที่แบ่งชั้นและขับเคลื่อนด้วยการค้า
โครงสร้างของระบบนิเวศ
หน่วยงานภาคเอกชนในจีนกลายเป็นกระดูกสันหลังของแคมเปญแฮ็กที่รัฐสนับสนุน โดยจัดหาเครื่องมือ โครงสร้างพื้นฐาน และข้อมูลที่ขโมยมาให้ผู้ซื้อภาครัฐ แบ็กดอร์ ShadowPad ที่พัฒนาโดยเอกชนถูกขายให้หน่วยที่ต้องสงสัยว่าเป็นของกองทัพปลดปล่อยประชาชน (PLA) หลายหน่วย รวมถึง RedFoxtrot และ Tonto Team และถูกแบ่งปันให้หน่วยงานอย่าง Chengdu404 ซึ่งพนักงานถูกตั้งข้อหาในกิจกรรมที่ระบุว่าเป็นฝีมือ APT41 สิ่งนี้แสดงว่าความรับผิดชอบขยายไปถึงบริษัทที่นำซอฟต์แวร์อันตรายมาทำเป็นสินค้า ไม่ใช่แค่แฮ็กเกอร์ที่นำไปใช้
บอตเน็ต Raptor Train ที่สหรัฐทลายลงเป็นภาพประกอบที่ชัดเจนของโมเดลผู้รับเหมานี้ มันถูกระบุว่าเป็นฝีมือของบริษัท Integrity Technology Group ในเมืองเฉิงตู ซึ่งพบว่ามีส่วนพัฒนาบอตเน็ตและจึงต้องรับผิดชอบบางส่วนต่อกิจกรรมการบุกรุกที่ระบุว่าเป็นของ Flax Typhoon ทั้งรัฐบาลสหรัฐและสหราชอาณาจักรได้คว่ำบาตร Integrity Tech ฐานควบคุมเครือข่ายไซเบอร์ลับและให้ความช่วยเหลือทางเทคนิคแก่ผู้ก่อการโจมตี การค้าข้อมูลเพิ่มอีกชั้นหนึ่ง บุคคลที่เชื่อมโยงกับ APT27 รวมถึงนาย Yin Kecheng และนาย Zhou Shuai ทำแคมเปญแฮ็กแล้วขายข้อมูลที่ขโมยมาให้ลูกค้าหลายราย บางรายเป็นหน่วยงานรัฐบาลจีน และในบางกรณีข้อมูลที่นาย Yin ขโมยมาถูกขายต่อผ่าน I-Soon เพิ่มชั้นการขายต่อระหว่างการบุกรุกต้นทางกับผู้บริโภคปลายทาง
ผลกระทบต่อไทย
รายงานนี้สะท้อนว่าภัยจารกรรมไซเบอร์ระดับรัฐไม่ได้มาจากแฮ็กเกอร์โดดเดี่ยว แต่เป็นอุตสาหกรรมที่มีห่วงโซ่อุปทานครบวงจร เอกสารรั่วของ I-Soon ก่อนหน้านี้เคยเผยรายชื่อเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ และไทยในฐานะประเทศที่มีความสัมพันธ์ทางเศรษฐกิจและการทูตกับจีนอย่างใกล้ชิด รวมถึงเป็นที่ตั้งของโครงสร้างพื้นฐานโทรคมนาคมและหน่วยงานรัฐที่อาจเป็นเป้าข่าวกรอง ย่อมอยู่ในขอบเขตความสนใจของระบบนิเวศนี้ การที่บอตเน็ตอย่าง Raptor Train ใช้อุปกรณ์ผู้บริโภคทั่วไปเป็นรีเลย์ หมายความว่าอุปกรณ์ในไทยก็อาจถูกดึงเข้าเครือข่ายได้ องค์กรไทยโดยเฉพาะภาคโทรคมนาคม รัฐบาล และโครงสร้างพื้นฐานสำคัญ ควรตระหนักว่าผู้โจมตีอาจเข้าถึงเครื่องมือและข้อมูลระดับรัฐผ่านตลาดเชิงพาณิชย์
คำแนะนำ
ทีมความปลอดภัยที่เผชิญภัยแบบแบ่งชั้นนี้ควรเริ่มจากการทำแผนที่อุปกรณ์ทุกตัวที่เชื่อมต่อเครือข่าย และสร้างความเข้าใจรูปแบบทราฟฟิกปกติให้ชัดเจน ใช้การยืนยันตัวตนหลายปัจจัย (MFA) จำกัดการเข้าถึงด้วย allowlist และนำสถาปัตยกรรม zero-trust มาใช้สำหรับองค์กรที่มีความเสี่ยงสูง ฟีดข่าวกรองภัยคุกคามแบบเรียลไทม์ช่วยให้ผู้ป้องกันระบุกิจกรรมบอตเน็ตก่อนที่จะนำไปสู่การบุกรุกขนาดใหญ่ สำหรับสภาพแวดล้อมเสี่ยงสูง ควรล่าหาทราฟฟิกน่าสงสัยจากอุปกรณ์ระดับผู้บริโภคอย่างเราเตอร์ SOHO อย่างจริงจัง เพราะมักถูกดึงเข้าเครือข่ายลับ พร้อมเฝ้าระวังการไหลของทราฟฟิก ใช้การแบ่งเซกเมนต์เครือข่าย และติดตั้งระบบตรวจจับการบุกรุกบนโฮสต์เพื่อจำกัดความเสียหาย
