สรุปสั้น
งานวิจัยชิ้นใหม่จากบริษัท SentinelOne เปิดเผยว่ากลุ่มจารกรรมไซเบอร์ที่เชื่อมโยงกับทั้งจีนและอินเดียได้แอบเจาะเข้าเครือข่ายหน่วยงานบังคับใช้กฎหมายของปากีสถานอย่างเงียบเชียบมานานกว่าสองปี โดยตำรวจแคว้นบาลูจิสถาน (Balochistan) ตกเป็นเป้าถูกโจมตีจากทั้งสองฝ่ายของความขัดแย้งในภูมิภาค สิ่งที่โดดเด่นเป็นพิเศษคือการที่กลุ่มสายลับไซเบอร์ซึ่งเชื่อมโยงกับจีนเข้าไปฝังตัวอยู่ในกองกำลังตำรวจของประเทศที่ถือเป็นพันธมิตรใกล้ชิดที่สุดรายหนึ่งของปักกิ่งเอง
ตามข้อมูลของหน่วยข่าวกรองภัยคุกคาม SentinelLabs ในเครือ SentinelOne การบุกรุกดำเนินไปตั้งแต่เดือนกุมภาพันธ์ 2567 จนถึงเดือนเมษายน 2569 พุ่งเป้าไปที่หน่วยงานตำรวจของปากีสถานหลายแห่ง โดยตำรวจบาลูจิสถานรับกิจกรรมการโจมตีไว้มากที่สุด ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ที่เชื่อมต่อกับฐานข้อมูลไบโอเมตริก แฟ้มคดีอาญา ประวัติบุคลากร และระบบที่ให้บริการประชาชน นักวิจัยจัดกลุ่มการบุกรุกออกเป็นสี่คลัสเตอร์ตามมัลแวร์และโครงสร้างพื้นฐานที่เกี่ยวข้อง ได้แก่ PlugX, ShadowPad, Cobalt Strike และ Remcos พร้อมเตือนว่าคลัสเตอร์ที่สร้างจากมัลแวร์ที่ใช้ร่วมกันหรือมัลแวร์สำเร็จรูปอาจมีผู้ปฏิบัติการมากกว่าหนึ่งราย
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 10 กรกฎาคม 2569 ว่า ทีมวิจัย SentinelLabs ของบริษัท SentinelOne ค้นพบการบุกรุกที่กินเวลายาวนานกว่าสองปีในเครือข่ายตำรวจปากีสถาน โดยชี้ให้เห็นสถานการณ์ที่ไม่ปกติ นั่นคือการมีอยู่ของสายลับไซเบอร์ที่เชื่อมโยงกับจีนภายในกองกำลังตำรวจของประเทศที่เป็นหุ้นส่วนใกล้ชิดของปักกิ่ง ซึ่งนักวิจัยประเมินว่าเบื้องหลังน่าจะเป็นเรื่องของผลประโยชน์ส่วนตนของจีนเอง
เหตุผลก็คือชาวจีนที่ทำงานในโครงการหนึ่งแถบหนึ่งเส้นทาง (Belt and Road) ในปากีสถานถูกโจมตีซ้ำแล้วซ้ำเล่าจากการก่อเหตุที่เชื่อมโยงกับกลุ่มติดอาวุธแบ่งแยกดินแดนชาวบาลูช และเจ้าหน้าที่จีนเองก็เคยวิพากษ์วิจารณ์ความสามารถของอิสลามาบัดในการปกป้องพลเมืองของตนอย่างเปิดเผย การเข้าถึงข้อมูลตำรวจปากีสถานได้โดยตรงจึงเปิดทางให้ปักกิ่งประเมินภัยคุกคามด้วยตนเอง ในทางกลับกัน กิจกรรมที่เชื่อมโยงกับอินเดียสอดคล้องกับข้อพิพาทที่อิสลามาบัดและนิวเดลีมีต่อกันมาหลายปี โดยปากีสถานกล่าวหามาโดยตลอดว่าอินเดียหนุนหลังกลุ่มติดอาวุธชาวบาลูช ซึ่งอินเดียปฏิเสธ ขณะที่นิวเดลีก็มีผลประโยชน์ของตนเองต่อสิ่งที่เครือข่ายตำรวจบาลูจิสถานอาจเปิดเผยเกี่ยวกับการรับมือของอิสลามาบัดต่อการก่อความไม่สงบดังกล่าว
นักวิจัยยังพบไฟล์อันตรายที่ปลอมตัวเป็นอัปเดตซอฟต์แวร์ ถูกฝังไว้โดยตรงบนระบบจัดการเรื่องร้องเรียน (Complaint Management System) สาธารณะของตำรวจบาลูจิสถาน ซึ่งเป็นพอร์ทัลที่ประชาชนใช้ยื่นและติดตามเรื่องร้องเรียน การหลอกให้อัปเดตปลอมนี้จะกระทบทุกคนที่ใช้งานเว็บไซต์ ทั้งเจ้าหน้าที่ตำรวจและประชาชนทั่วไป โดย SentinelLabs เชื่อมโยงการบุกรุกนี้กับนักพัฒนาที่พูดภาษาจีนจากรูปแบบโค้ดและร่องรอยที่พบร่วมกันในตัวอย่างมัลแวร์ที่เกี่ยวข้อง
วิธีการโจมตี
นักวิจัยแบ่งการบุกรุกทั้งหมดออกเป็นสี่คลัสเตอร์ตามชุดมัลแวร์และโครงสร้างพื้นฐานที่พบ คลัสเตอร์แรกใช้ PlugX ซึ่งเป็นแบ็กดอร์ที่กลุ่มจารกรรมจีนใช้กันอย่างแพร่หลาย คลัสเตอร์ที่สองใช้ ShadowPad ซึ่งเป็นมัลแวร์แบบโมดูลที่มักถูกเชื่อมโยงกับกลุ่มรัฐหนุนหลังของจีนเช่นกัน คลัสเตอร์ที่สามใช้ Cobalt Strike เครื่องมือ post-exploitation เชิงพาณิชย์ที่ถูกนำไปใช้ในทางมิชอบอย่างกว้างขวาง และคลัสเตอร์ที่สี่ใช้ Remcos ซึ่งเป็นโทรจันควบคุมระยะไกล นักวิจัยระบุว่ากิจกรรมที่ใช้ Remcos ผูกกับผู้ก่อภัยที่ถูกติดตามเพียงรายเดียว ต่างจากคลัสเตอร์ที่สร้างบนมัลแวร์ที่ใช้ร่วมกันหรือมัลแวร์สำเร็จรูปซึ่งอาจเกี่ยวข้องกับผู้ปฏิบัติการหลายราย
เป้าหมายหลักของการโจมตีคือเซิร์ฟเวอร์ที่เชื่อมต่อกับฐานข้อมูลไบโอเมตริก แฟ้มคดีอาญา ประวัติบุคลากร และระบบที่ให้บริการประชาชน ซึ่งล้วนเป็นข้อมูลอ่อนไหวสูงที่มีคุณค่าทั้งในเชิงข่าวกรองและการติดตามบุคคล เทคนิคที่โดดเด่นคือการฝังไฟล์ปลอมเป็นอัปเดตซอฟต์แวร์บนระบบร้องเรียนสาธารณะที่เข้าถึงได้จากภายนอก ทำให้ผู้โจมตีสามารถแพร่มัลแวร์ไปยังทั้งเจ้าหน้าที่และประชาชนที่เข้ามาใช้บริการเว็บไซต์ได้ในคราวเดียว
ผลกระทบต่อไทย
แม้เหตุการณ์นี้จะเกิดในปากีสถาน แต่รูปแบบการโจมตีสะท้อนความเสี่ยงที่หน่วยงานภาครัฐและหน่วยงานบังคับใช้กฎหมายทั่วภูมิภาครวมถึงไทยควรตระหนัก โดยเฉพาะการที่ผู้โจมตีเลือกฝังมัลแวร์ปลอมเป็นอัปเดตบนระบบบริการประชาชนที่เปิดสู่สาธารณะ ซึ่งเป็นช่องทางที่หน่วยงานรัฐไทยจำนวนมากก็มีในลักษณะเดียวกัน ทั้งระบบร้องเรียน ระบบยื่นคำร้องออนไลน์ และระบบฐานข้อมูลไบโอเมตริก การที่กลุ่มรัฐหนุนหลังสามารถแฝงตัวอยู่ในเครือข่ายได้นานกว่าสองปีโดยไม่ถูกตรวจพบยังชี้ให้เห็นถึงความจำเป็นในการเฝ้าระวังภัยคุกคามระยะยาวและตรวจสอบความสมบูรณ์ของไฟล์อัปเดตบนระบบสาธารณะอย่างสม่ำเสมอ
คำแนะนำ
หน่วยงานที่ให้บริการประชาชนผ่านเว็บพอร์ทัลควรตรวจสอบความสมบูรณ์ของไฟล์อัปเดตและไฟล์ที่ให้ดาวน์โหลดบนระบบอย่างสม่ำเสมอ เพื่อป้องกันการถูกฝังมัลแวร์ปลอมเป็นอัปเดต ควรแยกระบบที่เข้าถึงจากภายนอกออกจากเซิร์ฟเวอร์ฐานข้อมูลอ่อนไหว เช่น ข้อมูลไบโอเมตริกและแฟ้มคดี และจำกัดสิทธิ์การเข้าถึงระหว่างกันอย่างเข้มงวด นอกจากนี้ควรติดตั้งระบบตรวจจับภัยคุกคามที่สามารถเฝ้าระวังพฤติกรรมผิดปกติในระยะยาว เนื่องจากกลุ่มจารกรรมมักฝังตัวเงียบเป็นเวลานาน และควรเฝ้าระวังตัวบ่งชี้ที่เกี่ยวข้องกับมัลแวร์ PlugX, ShadowPad, Cobalt Strike และ Remcos รวมถึงหมั่นตรวจสอบล็อกการเข้าถึงเซิร์ฟเวอร์สำคัญ
