รู้จัก 'เรดอัลฟ่า' แฮกเกอร์ที่รัฐบาลจีนหนุนหลัง โจมตีรัฐบาลและกลุ่มสิทธิมนุษยชนต่างๆ

เผยรายงานเกี่ยวกับกลุ่มแฮกเกอร์ 'เรดอัลฟ่า' ที่ได้รับการสนับสนุนจากพรรคคอมมิวนิสต์จีนให้แทรกซึม โจรกรรมข้อมูล และสอดแนมกลุ่มต่างๆ เช่น แอมเนสตี้ สื่อเรดิโอฟรีเอเชีย ชุมชนชาวทิเบต หน่วยงานรัฐไต้หวัน เป็นกลุ่มเดียวกับที่ปลอมเว็บไซต์ DSI ของไทยเพื่อพยายามล้วงข้อมูลในปี 2560 และ 2564

28 ส.ค. 2565 Recorded Future บริษัทความมั่นคงปลอดภัยทางไซเบอร์ยักษ์ใหญ่ เปิดเผยรายงานเกี่ยวกับกลุ่มแฮกเกอร์กลุ่มหนึ่งที่ได้รับการสนับสนุนจากพรรคคอมมิวนิสต์จีนให้แทรกซึม โจรกรรมข้อมูล และสอดแนมกลุ่มต่างๆ ที่มีส่วนได้ส่วนเสียในผลประโยชน์เชิงยุทธศาสตร์ของรัฐบาลจีน เช่น แอมเนสตี้ สื่อเรดิโอฟรีเอเชีย ชุมชนชาวทิเบต หน่วยงานรัฐไต้หวัน เป็นกลุ่มเดียวกับที่ปลอมเว็บไซต์ DSI ของไทยเพื่อพยายามล้วงข้อมูลในปี 2560 และ 2564

รายงานความยาว 11 หน้าถูกเปิดเผยออกมาเมื่อวันที่ 16 ส.ค. 2565 ที่ผ่านมา โดยระบุว่าวิธีการที่กลุ่มนี้มักใช้เป็นประจำคือการสร้างเว็บไซต์ปลอมขึ้นมาเพื่อหลอกให้ผู้ใช้เข้าใจผิดว่าเป็นบริการที่ตนใช้ประจำ เช่น บริการอีเมล และเครื่องมือค้นหา จากนั้นจึงหลอกให้ผู้ใช้คลิกดาวโหลดไฟล์หรือติดตั้งโปรแกรมต่างๆ จนนำไปสู่การขโมยบัญชี รหัสผ่าน และข้อมูลในระบบบริการต่างๆ ของผู้ใช้ หรือที่ภาษาอังกฤษเรียกว่าการฟิชชิ่ง (phishing)

รายงานของ Recorded Future คาดว่ากลุ่มนี้คาดว่าเริ่มปฏิบัติการมาตั้งแต่ปี 2558 เป็นอย่างน้อย อย่างไรก็ตาม กลุ่มนี้ถูกค้นพบครั้งแรกในปี 2561 โดย CitizenLab ขณะที่แฮกเกอร์กลุ่มนี้กำลังปฏิบัติการปลอมตัวเป็นบุคคลน่าเชื่อถือเพื่อหลอกเอาข้อมูลของชุมชนชาวทิเบต กลุ่มชาติพันธุ์และศาสนาชนกลุ่มน้อยต่างๆ เช่น กลุ่มฝ่าหลุนกง นครรัฐวาติกันและกลุ่มอื่นๆ ซึ่งจีนเชื่อว่าเชื่อมโยงกับคาทอลิกในฮ่องกง รวมถึงขบวนการเคลื่อนไหวทางสังคม สื่อมวลชน และหน่วยงานภาครัฐในเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้อื่นๆ ซึ่งมีส่วนได้ส่วนเสียกับผลประโยชน์ของรัฐบาลจีน

ในช่วง 3 ปีให้หลัง โดยเฉพาะในช่วงปีนี้ที่ความตึงเครียดเกี่ยวกับไต้หวันเพิ่มมากขึ้น กลุ่มเรดอัลฟ่าให้ความสนใจกับองค์กรภาครัฐ องค์กรทางการเมือง และหน่วยงานมันสมองของไต้หวันเป็นพิเศษ ตัวอย่างเช่น สถาบันอเมริกันแห่งไต้หวัน (AIT) ซึ่งในทางปฏิบัติเป็นสถานทูตของอเมริกาในไต้หวัน พรรคประชาธิปไตยก้าวหน้าซึ่งเป็นพรรครัฐบาลของไต้หวัน กระทรวงกิจการเศรษฐกิจและกระทรวงต่างประเทศของไต้หวัน รวมถึงสถาบันวิจัยเศรษฐกิจและสถาบันวิจัยเกี่ยวกับการป้องกันประเทศของไต้หวัน

ในช่วงเดียวกัน เรดอัลฟ่าพยายามเข้าถึงข้อมูลของกระทรวงต่างประเทศของบราซิล โปรตุเกส และเวียดนาม นอกจากหน่วยงานภาครัฐแล้ว กลุ่มเรดอัลฟ่ายังพยายามเจาะระบบของสื่อมวลชน รวมถึงหน่วยงานด้านสิทธิมนุษยชนต่างๆ เช่น แอมเนสตี้อินเตอร์เนชันแนล สำนักข่าวเรดิโอฟรีเอเชีย (RFA) สหพันธ์เพื่อสิทธิมนุษยชนสากล (FIDH) และเมื่อจีนคว่ำบาตรองค์กร 4 แห่งในสหภาพยุโรป (EU) เพื่อตอบโต้ที่ EU คว่ำบาตรจีน จากประเด็นการละเมิดสิทธิมนุษยชนในซินเจียง สถาบันจีนศึกษาเมอร์เคเตอร์ (MERICS) ในเยอรมนีที่ถูกคว่ำบาตร ก็ตกเป็นเป้าหมายของอัลฟ่าเรดด้วยในช่วงเดียวกัน

กลุ่มเรดอัลฟ่ามีปฏิบัติการทางไซเบอร์ที่พุ่งเป้ามายังรัฐบาลไทยด้วย รายงานของ Recorded Futures และ CitizenLab ระบุว่ากลุ่มดังกล่าวพยายามปลอมเป็นเว็บไซต์อีเมลของกรมสอบสวนคดีพิเศษ (DSI) สังกัดกระทรวงยุติธรรม โดยใช้ลิงค์ชื่อว่า mail-dsi-go[.]space (DSI) และปลอมเป็นเว็บต่างๆ ของหน่วยงานอีกในปี 2564 โดยใช้ลิงค์ชื่อว่า files-dsi-go-th[.]link และ files.dsi-go[.]space

เมื่อ 8 ก.ค. 2565 ที่ผ่านมา DSI ได้ออกประกาศเตือนว่ามีการปลอมเว็บไซต์ของหน่วยงาน โดยระบุเพียงว่าเป็นฝีมือของ "ผู้ไม่ประสงค์ดี" ลิงค์ปลอมที่ DSI เตือนไม่ให้เข้าถึง ได้แก่ dsigo-th[.]com และ dsi-go-th[.]com ซึ่งเป็นคนละลิงค์กับที่ปรากฎในรายงานของ Recorded Futures และ CitizenLab เว็บไซต์ดังกล่าว DSI ระบุว่าพยายามหลอกลวงให้ผู้ใช้ลงโปรแกรมและบันทึกข้อมูลส่วนบุคคล ทั้งนี้ หน่วยงานของรัฐบาลไทยเว็บไซต์จะลงท้ายด้วย [.]go[.]th หรือ [.]GO[.]TH เสมอ

"หากประชาชนมีข้อมูลหรือเบาะแสเกี่ยวกับการกระทำความผิดดังกล่าว สามารถแจ้งมายังกรมสอบสวนคดีพิเศษผ่านทางเว็บไซต์ www.dsi.go.th หรือโทรสายด่วน DSI Call Center 1202 (โทร.ฟรีทั่วประเทศ) โดยกรมสอบสวนคดีพิเศษจะเก็บรักษาข้อมูลผู้แจ้งเบาะแสไว้เป็นความลับ" ประกาศของ DSI ระบุ

เมื่อปีที่แล้ว มีการค้นพบว่ากลุ่มเรดอัลฟ่าได้สร้างโดเมนบริการปลอมต่างๆ ขึ้นมากว่า 350 แห่ง ในจำนวนนี้ปลอมเป็น Yahoo Mail 135 แห่ง ปลอมเป็นบริการต่างๆ ของกูเกิล 91 แห่ง และบริการอีเมลต่างๆ ที่เกี่ยวข้องกับไมโครซอฟ 70 แห่ง โดยจำนวนเว็บไซต์ที่ถูกปลอมแปลงโดยแฮกเกอร์กลุ่มนี้เพิ่มขึ้นอย่างมากเมื่อเทียบกับปีก่อน อย่างไรก็ตาม โฆษกของรัฐบาลจีนปฏิเสธการมีอยู่ของกลุ่มเรดอัลฟ่าระบุว่า "ไม่เคยส่งเสริม สนับสนุน หรือมีส่วนรู้เห็น" เกี่ยวกับการโจมตีทางไซเบอร์ไม่ว่ารูปแบบใด

จากการตรวจสอบของ Recorded Futures พบว่าเรดอัลฟ่ามีความเชื่อมโยงกับบริษัทความปลอดภัยด้านข้อมูลของประเทศจีน โดยแฮกเกอร์คนหนึ่งของเรดอัลฟ่าชื่อนายเหลียง เป็นวิศวกรด้านความปลอดภัยข้อมูลให้กับบริษัทในประเทศจีนชื่อว่า Jiangsu Cimer Information Security Technology จำกัด รายงานระบุว่าข้อสรุปนี้มาจากการตรวจสอบบันทึกข้อมูลการเจาะระบบ เปรียบเทียบกับข้อมูลบัญชีแอป QQ ประวัติผลงาน และอีเมลแอดเดรส ซึ่งปรากฎอยู่ตามหน้าเว็บต่างๆ ที่เผยแพร่ตามสาธารณะ

เชลลี เครเมอร์ ผู้สันทัดกรณีระบุว่าการโจมตีเหล่านี้ไม่ใช่เรื่องใหม่ แต่ว่าเป็นปรากฎการณ์ที่น่ากังวล ลักษณะของแฮกเกอร์จีนต่างออกไปจากแฮกเกอร์ทั่วไป เนื่องจากแฮกเกอร์จีน "มีความอดทนสูงอย่างไม่น่าเชื่อ" และต้องการเข้าถึงข้อมูลในระบบของผู้ใช้ให้ได้นานที่สุดตราบเท่าที่จะไม่โดนจับได้ โดยไม่เปิดเผยเกี่ยวกับปฏิบัติการของตนเอง ต่างจากกลุ่มอื่นๆ ที่มักโอ้อวดความสำเร็จของตนเอง หลังจากที่สามารถเจาะเข้าถึงระบบที่ตกเป็นเป้าหมาย

เครเมอร์กล่าวด้วยว่าเรดอัลฟ่ามักจะให้ความสนใจเป็นพิเศษกับการติดตามข่าวสารเกี่ยวกับจุดอ่อนของโปรแกรมต่างๆ ที่ถูกประกาศอย่างเป็นทางการออกมา แล้วค้นหาโปรแกรมทั่วไปที่ผู้ใช้ไม่ยอมอัพเดตเพื่อเจาะระบบ เช่น Microsoft Office และแพลตฟอร์มที่ใช้กันอย่างแพร่หลายอื่นๆ เช่น Gmail และ Yahoo เป็นต้น จากแบบแผนเหล่านี้ เครเมอร์ให้ความเห็นว่าองค์กรและบุคคลต่างๆ ควรระมัดระวังไฟล์ PDF ที่แนบมา และปฏิบัติการหลอกเป็นบุคคลหรือองค์กรที่น่าเชื่อถืออื่นๆ

เครเมอร์ระบุด้วยว่าการโจมตีทางไซเบอร์เป็นปัญหาใหญ่ที่จะยังไม่หมดไปในเร็ววัน หน่วยงานต่างๆ ที่ตกเป็นเป้าโจมตี โดยเฉพาะหน่วยงานของภาครัฐ อาจไม่มีการรักษาความปลอดภัยทางไซเบอร์ทันสมัยมากพอ ข้อมูลของ IBM ระบุว่าหน่วยงานต่างๆ ปกติแล้วต้องใช้เวลากว่า 1 ปีกว่าจะรู้ตัวว่าถูกเจาะระบบและเข้าใจแนวทางการรับมือ เครเมอร์บอกว่าการถูกเจาะระบบมักมาจากความผิดพลาดของมนุษย์มากกว่าความผิดพลาดของระบบ เพราะการโจรกรรมข้อมูลมักเกิดขึ้นเมื่อผู้ใช้หลงเชื่อและคลิกไฟล์

ที่มา

ข่าว