สรุปสั้น
การบุกรุกระบบคลาวด์ AWS ขนาดใหญ่ครั้งใหม่เผยให้เห็นว่าผู้โจมตีที่ใช้ AI ช่วย สามารถร้อยเรียงเทคนิคบนคลาวด์ที่คุ้นเคยเข้าด้วยกันจนยกระดับจากการเข้าถึงครั้งแรกไปสู่การยึดทั้งสภาพแวดล้อมได้ภายในเวลาเพียงราว 72 ชั่วโมง จุดที่น่ากลัวไม่ใช่การใช้ช่องโหว่ใหม่หรือมัลแวร์แปลกใหม่ แต่เป็นความเร็ว ขนาด และการประสานงานที่ไม่เคยเห็นมาก่อน จากการสอบสวนของบริษัท Sygnia ผู้โจมตีได้ access key เริ่มต้นของบัญชี AWS มาจากการเจาะจุดอ่อนในแอปพลิเคชันที่เปิดสู่อินเทอร์เน็ต แล้วกระโดดข้ามไปยังแอปพลิเคชันอื่น โครงสร้างพื้นฐานคลาวด์ ระบบควบคุมซอร์สโค้ด ไปป์ไลน์ CI/CD และบริการที่รันอยู่จริง
ทุกครั้งที่เก็บเกี่ยวข้อมูลรับรอง (credential) ใหม่ได้ ก็จะกระตุ้นการสำรวจ การเก็บความลับ การฝังตัว และการลงมือสร้างผลกระทบระลอกใหม่ กลายเป็น “คลื่นการโจมตี” ที่ซ้อนทับกันแทนที่จะเป็นสายโซ่โจมตีเส้นเดียวแบบเดิม เป้าหมายของผู้โจมตีคือการรีดไถเงินที่มีแรงจูงใจทางการเงิน โดยแทนที่จะเข้ารหัสข้อมูลแบบแรนซัมแวร์ กลับมุ่งยึดการควบคุมโครงสร้างพื้นฐานคลาวด์ให้มากพอที่จะขู่ทำลายบริการสำคัญเพื่อใช้เป็นเครื่องต่อรอง เหตุการณ์นี้สะท้อนแนวโน้มปี 2569 ที่ AI กำลังบีบอัดเส้นเวลาการโจมตีคลาวด์ให้สั้นลงอย่างมาก
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 9 กรกฎาคม 2569 ว่า บริษัท Sygnia บริษัทด้านการตอบสนองเหตุภัยไซเบอร์ ได้สอบสวนเหตุบุกรุก AWS ที่แสดงให้เห็นว่าผู้โจมตีซึ่งได้รับความช่วยเหลือจาก AI สามารถเคลื่อนจากการเข้าถึงครั้งแรกสู่การยึดสภาพแวดล้อมทั้งหมดได้ในเวลาราว 72 ชั่วโมง ผู้โจมตีเริ่มจากการได้ access key ของบัญชี AWS ผ่านการเจาะจุดอ่อนในแอปพลิเคชันที่เปิดสู่อินเทอร์เน็ต แล้ว pivot ข้ามไปยังแอปพลิเคชัน โครงสร้างพื้นฐานคลาวด์ คลังซอร์สโค้ด ไปป์ไลน์ CI/CD และบริการ runtime โดยแต่ละ credential ที่ได้มาใหม่จะจุดชนวนคลื่นการสำรวจ เก็บความลับ ฝังตัว และสร้างผลกระทบขึ้นอีกระลอกซ้อนทับกัน
หลักฐานทางนิติวิทยาศาสตร์หลายชิ้นบ่งชี้ว่ามีเครื่องมือแบบ AI-assisted หรือ agentic ขับเคลื่อนแคมเปญนี้ ตัวอย่างที่ชัดเจนคือมีการใช้ access key 4 ตัวที่ผูกกับ 4 บัญชีต่างกัน จาก IP ต้นทางและ user-agent เดียวกันภายในวินาทีเดียวที่สังเกตได้ ซึ่งเป็นระดับการทำงานขนานกันที่อธิบายด้วยการลงมือของมนุษย์ได้ยาก นอกจากนี้ผู้โจมตียังรันคำสั่ง SQL ที่ไม่ซ้ำกันหลายร้อยคำสั่งข้ามหลายสิบฐานข้อมูล และปูแผนที่ความสัมพันธ์ระหว่างคิว เวิร์กเกอร์ และไฟล์ deployment บนคลาวด์อย่างรวดเร็ว ซึ่งชี้ว่าเป็นการปรับตัวตามสภาพแวดล้อมเฉพาะ ไม่ใช่สคริปต์ทั่วไปแบบยิงมั่ว ที่น่าสนใจคือ artifact ที่ผู้โจมตีสร้างขึ้นถูกจัดกรอบว่าเป็นการทดสอบเจาะระบบ (pentest) หรือ red team ที่ได้รับอนุญาต ซึ่งอาจเพื่อลวงผู้สอบสวนหรือลดการปฏิเสธจากเครื่องมือ AI ที่ใช้สร้างโค้ดเชิงรุก
วิธีการโจมตี
การค้นพบนี้สอดคล้องกับแนวโน้มปี 2569 ที่นักวิจัยด้านความปลอดภัยพบว่า AI บีบอัดเส้นเวลาการโจมตีคลาวด์ลงอย่างมาก โดยทีม Threat Research ของบริษัท Sysdig เคยเปิดเผยเหตุการณ์แยกต่างหากในเดือนพฤศจิกายน 2568 ที่ผู้โจมตีใช้โมเดลภาษาขนาดใหญ่ (LLM) ยกระดับจากการเข้าถึงครั้งแรกไปสู่สิทธิ์ผู้ดูแลระบบ AWS เต็มรูปแบบภายในเพียง 8 นาที ด้วยการฉีดโค้ดอันตรายเข้าไปในฟังก์ชัน Lambda กรณีนั้นก็ไม่มี zero-day หรือมัลแวร์ใหม่เช่นกัน มีเพียง credential ที่ถูกขโมย บริการเนทีฟของ AWS และระบบอัตโนมัติที่ขับเคลื่อนด้วย AI ในการสำรวจ ยกระดับสิทธิ์ และเคลื่อนที่ด้านข้างข้าม identity ของ AWS ถึง 19 ตัว
นักวิจัยจากบริษัท Vectra AI ระบุว่า AI ช่วย “ขจัดแรงเสียดทาน” ออกจากการโจมตี ทำให้ผู้โจมตีสามารถแจกแจงบริการและประเมินเส้นทางการยกระดับสิทธิ์ได้เร็วกว่าที่มนุษย์คนใดจะทำเองได้ ตารางเปรียบเทียบของ Sygnia แสดงให้เห็นความต่างระหว่างการบุกรุกแบบดั้งเดิมกับแบบเร่งด้วย AI อย่างชัดเจน กล่าวคือ เส้นทางการโจมตีเปลี่ยนจากการไล่ทีละขั้นเป็น “คลื่น” ที่ซ้อนทับกันตามแต่ละ credential ใหม่, การรันเทคนิคเปลี่ยนจากการเลือกเป้าเฉพาะเป็นการกวาดตาม “เช็กลิสต์” เทคนิคที่รู้จักทั้งหมด, การทำงานขนานกันเปลี่ยนจากจังหวะผู้ปฏิบัติการคนเดียวเป็นการควบคุมหลาย identity พร้อมกัน, เครื่องมือเปลี่ยนจากสคริปต์สำเร็จรูปเป็นสคริปต์ที่สร้างขึ้นตามความต้องการทันที และการจัดการ credential เปลี่ยนจากการติดตามด้วยมือเป็น “ความจำเชิงปฏิบัติการ” ที่ต่อเนื่องข้าม key หลายสิบตัว อย่างไรก็ตาม แม้ AI จะเร่งการโจมตี แต่ผลกระทบที่แท้จริงมาจากจุดอ่อนที่มีอยู่เดิม ทั้งการมองเห็นที่กระจัดกระจาย ความลับที่เปิดเผยใน S3 bucket และสภาพแวดล้อม CI/CD สิทธิ์บนคลาวด์ที่กว้างเกินไป และการไม่มีแผนเผชิญเหตุกักกันที่กำหนดไว้ล่วงหน้า
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากทั้งภาคธนาคาร อีคอมเมิร์ซ ฟินเทค และหน่วยงานรัฐ ต่างย้ายระบบขึ้นคลาวด์ AWS เพิ่มขึ้นอย่างต่อเนื่อง แต่มักมีจุดอ่อนตรงกับสิ่งที่ทำให้เหยื่อในกรณีนี้ถูกยึดระบบ ได้แก่ การมองเห็นทรัพยากรบนคลาวด์ที่กระจัดกระจาย การฝัง access key และความลับไว้ในโค้ดหรือ S3 bucket การให้สิทธิ์ IAM แบบกว้างเกินจำเป็น และการไม่มีแผนกักกันเหตุที่ซ้อมไว้ล่วงหน้า เมื่อผู้โจมตีใช้ AI เร่งความเร็วจนยึดระบบได้ในหลักชั่วโมงถึงวัน ทีมความมั่นคงที่ยังตอบสนองแบบไล่ทีละขั้นด้วยมือจะตามไม่ทัน ผลสำรวจ CISO ปี 2569 ของ Sygnia พบว่าผู้บริหารด้านความปลอดภัยระดับสูงถึง 73% เชื่อว่าองค์กรของตนยังไม่พร้อมรับมือการโจมตีร้ายแรงหากเกิดขึ้น “ในวันพรุ่งนี้” ซึ่งเป็นสัญญาณเตือนที่ตรงกับสภาพความพร้อมของหลายองค์กรในไทยเช่นกัน
คำแนะนำ
Sygnia แนะนำให้เปลี่ยนแนวทางการตอบสนองเหตุจากแบบเส้นตรงมาเป็นแบบที่ขับเคลื่อนด้วยโมเมนตัม คือรันการสอบสวนและการกักกันไปพร้อมกัน โดยมาตรการหลักที่ควรทำได้แก่ สมมติว่า credential ถูกเปิดเผยแล้วและหมุนเวียน (rotate) ความลับ คีย์ และโทเคนทั้งหมดอย่างจริงจังทั้งชั้นคลาวด์ CI/CD และแอปพลิเคชัน, บังคับใช้ความปลอดภัยที่ยึด identity เป็นหลักทั้ง MFA การเพิกถอน session และปิดบัญชีที่ถูกเจาะทันที, ใช้การกักกันเครือข่ายในวงกว้างเป็นการตอบสนองแรก เช่น IP allowlisting จำกัดการเชื่อมต่อขาออกและบังคับใช้ WAF, ทำระบบตรวจจับ หมุนเวียน credential และกักกันให้เป็นอัตโนมัติเพื่อเทียบความเร็วผู้โจมตี และสร้างสภาพแวดล้อมที่ไม่ใช่ production ที่ถูกเจาะขึ้นใหม่จากเทมเพลต Infrastructure-as-Code ที่เชื่อถือได้ แทนการพยายามกำจัดร่องรอยด้วยมือทั้งหมด นอกจากนี้ควรกำจัด IAM credential ที่มีอายุยาว จำกัดสิทธิ์บริการ AI ให้แคบ และปฏิบัติต่อ identity เสมือนโครงสร้างพื้นฐานระดับ Tier-0
