กระชากหน้ากาก 'I-Soon' บรรษัทไอที ที่รัฐบาลจีนใช้สอดแนมองค์กรทั่วโลก
<span class="submitted-by">Submitted on Tue, 2024-03-05 14:21</span><div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even" property="content:encoded"><p>มีการแฉข้อมูลรั่วไหลของบริษัทไอทีจีน "I-Soon" ซึ่งเป็นบริษัทที่ได้สัมปทานจากหน่วยงานรัฐบาลจีนและกองทัพจีน ข้อมูลดังกล่าวระบุถึงการที่รัฐบาลจีนใช้บริษัทนี้ทำการสอดส่ององค์กรหลายองค์กรทั่วโลก ไม่ว่าจะเป็นมหาวิทยาลัย, กลุ่มสนับสนุนประชาธิปไตยในฮ่องกง ไปจนถึงนาโต</p>
<p>บทความในเซนติเนลแล็บหน่วยงานวิจัยอาชญากรรมทางไซเบอร์กล่าวถึงกรณี บริษัท I-Soon (上海安洵) เป็นบริษัทที่ได้รับสัมปทานจากหน่วยงานรัฐบาลจีนหลายหน่วยงาน เช่น กระทรวงความมั่นคงสาธารณะ, กระทรวงความมั่นคงแห่งรัฐ และ กองทัพประชาชนจีน (PLA) ข้อมูลของบริษัทแห่งนี้รั่วไหลเมื่อวันที่ 16 ก.พ. ที่ผ่านมา ซึ่งไม่มีใครรู้ว่าผู้ที่ขโมยข้อมูลเหล่านี้ออกมาแฉเป็นใครหรือมีแรงจูงใจอะไร</p>
<p>การรั่วไหลของข้อมูลบริษัท I-Soon ในครั้งนี้นับเป็นครั้งแรกที่เผยให้เห็นปฏิบัติการภายในของบริษัทแห่งนี้ในฐานะ "ผู้รับจ้างแฮ็ก" ที่มีความเกี่ยวข้องกับรัฐบาลจีน ถึงแม้ว่าจะยังมีข้อกังขาเกี่ยวกับเอกสารข้อมูลนี้ แต่เนื้อหาที่รั่วไหลออกมาก็เป็นเครื่องยืนยันว่ามันเกี่ยวข้องกับข่าวกรองด้านภัยความมั่นคงสาธารณะ</p>
<p>ข้อมูลที่รั่วไหลออกมาระบุถึงรายละเอียดที่เป็นรูปธรรมมากที่สุดเท่าที่เคยมีมาในเรื่องของระบบการจารกรรมไซเบอร์ของจีนที่กำลังเติบโตมากขึ้น มันแสดงให้เห็นว่าการตั้งเป้าหมายโดยรัฐบาลจีนได้ผลักดันให้มีการแข่งขันในระบบตลาด "แฮ็กเกอร์รับจ้าง" เหมาช่วงอิสระ</p>
<p>ลูกจ้างของ I-Soon ผู้ที่บ่นว่าค่าแรงต่ำและมีพฤติกรรมเล่นพนันไพ่นกกระจอกในสำนักงาน เป็นกลุ่มเดียวกันกับที่ทำการแทรกซึมเข้าไปในภาคส่วนของรัฐบาลได้อย่างน้อย 14 แห่ง และสามารถแทรกซึมองค์กรสนับสนุนประชาธิปไตยในฮ่องกง, มหาวิทยาลัยต่างๆ และแม้กระทั่งนาโต ข้อมูลจากเอกสารที่รั่วไหลออกมาเป็นไปในทางเดียวกับข่าวกรองที่ออกมาก่อนหน้านี้ของจีนที่ระบุรายชื่อกลุ่มที่พวกเขามองว่าเป็นภัย</p>
<p>เมื่อพิจารณาจากข้อมูลของเหยื่อที่ถูกแฮ็ก รวมถึงข้อมูลรายชื่อของลูกค้าที่ขอให้พวกเขาแฮ็กแล้ว แสดงให้เห็นว่า บริษัทไอทีพยายามแข่งขันกันรับงานราคาต่ำจากหน่วยงานของรัฐบาลจีนจำนวนมาก นอกจากนี้เมื่อพิจารณาจากข้อมูลการวางเป้าหมายแฮ็กในอดีตแล้ว ยังพบว่า ภัยคุกคามแฝงตัวขั้นสูง (APT) ที่น่าจะเป็นผู้รับจ้างจากรัฐบาลจีนไม่ได้รับแจ้งแนวทางการวางเป้าหมายการแฮ็กในอนาคตที่มีความชัดเจน</p>
<p>ข้อมูลรั่วไหลดังกล่าวนี้มาจากผู้ที่อัพโหลดขึ้นเว็บ GitHub เมื่อวันที่ 16 ก.พ. ที่ผ่านมา โดยมีทั้งข้อมูลเอกสารการตลาด, รูปภาพกับภาพแคปจอ, และข้อความ WeChat หลายพันข้อความระหว่างลูกจ้างของบริษัท I-Soon กับลูกค้า มีการวิเคราะห์ข้อมูลเหล่านี้โดยนักวิเคราะห์ในไต้หวัน</p>
<p> </p>
<p>ในข้อมูลเกี่ยวกับการตลาดนั้นมีส่วนหนึ่งที่ระบุถึงการโฆษณาตัวเองเพื่อให้ได้สัญญาจ้างวานในซินเจียง ซึ่งเป็นพื้นที่ที่จีนกระทำการกักกันตัวชาวอุยกูร์จำนวนมากเพื่อปรับทัศนคติ เป็นการกระทำที่คณะมนตรีสิทธิมนุษยชนแห่งสหประชาชาติบอกว่าเป็นการฆ่าล้างเผ่าพันธุ์ ในการโฆษณาตัวเองของ I-Soon ระบุอวดอ้างว่าพวกเขามีประสบการณ์ในงานเชิงต่อต้านการก่อการร้ายมาก่อนในอดีต โดยมีการนำเสนอรายชื่อเป้าหมายที่เกี่ยวข้องกับการก่อการร้ายที่ทางบริษัทเคยทำการแฮ็กมาก่อน เช่น เป้าหมายที่เป็นศูนย์ต่อต้านการก่อการร้ายในปากีสถานและอัฟกานิสถาน</p>
<p>เอกสารที่รั่วไหลนี้ยังชี้ให้เห็นถึงโครงสร้างการสั่งการและควบคุม, มัลแวร์ และเรื่องเหยื่อ ซึ่งเกี่ยวข้องกับกิจกรรมที่ต้องสงสัยว่าเป็นการจารกรรมไซเบอร์จากจีน ตามที่กลุ่มติดตามเรื่องภัยข่าวกรองเคยติดตามสังเกตการณ์ก่อนหน้านี้ จากการสังเกตเบื้องต้นพบว่ามีภาคส่วนอุตสาหกรรมและองค์กรหลากหลายกลุ่มที่ตกเป็นเหยื่อ เรื่องนี้เป็นข้อบ่งชี้ได้มากขึ้นว่ากิจกรรมที่ระบุในเอกสารที่รั่วไหลนี้อาจจะเกี่ยวพันกับการแฮ็กเพื่อแทรกซึมที่เกิดขึ้นในอดีต ซึ่งต้องมีการประเมินในรายละเอียดต่อไป</p>
<p>นอกจากนี้ในเนื้อหาที่รั่วไหลยังมีเรื่องชวนให้บริษัทอับอาย แต่ก็เป็นเรื่องที่ชวนให้ชุมชนความปลอดภัยทางไซเบอร์ตั้งคำถามอยู่ด้วยเหมือนกัน เช่นมีเนื้อหาส่วนหนึ่งที่ระบุถึงการแทรกซึมเก็บข้อมูลจากกระทรวงเศรษฐกิจของเวียดนามซึ่งให้ผลตอบแทนราว 55,000 ดอลลาร์ แต่การแทรกซึมเก็บข้อมูลจากกระทรวงอื่นๆ กลับได้ผลตอบแทนน้อยกว่า มีเนื้อหาอีกส่วนหนึ่งระบุถึงการที่ลูกจ้างบริษัท I-Soon แฮ็กมหาวิทยาลัยที่ไม่ได้อยู่ให้บัญชีเป้าหมาย ทำให้หัวหน้างานแก้ตัวว่าเป็นอุบัติเหตุ มีลูกจ้างบางส่วนที่บ่นเรื่องได้ค่าจ้างน้อยและหวังว่าจะได้ไปทำงานที่บริษัทอื่นแทน</p>
<h2><span style="color:#2980b9;">สรุปบทเรียนของเรื่องนี้</span></h2>
<p>ในบทความดังกล่าวยังได้สรุปถึงเอกสารที่รั่วไหลนี้จะทำให้ชุมชนภัยด้านข่าวกรองได้ทบทวนตัวเองเรื่องการป้องกันการแทรกซึม และมีความเข้าใจมากขึ้นต่อเรื่องภัยด้านข่าวกรองจากจีนที่มีความซับซ้อน การพิจารณาเรื่องเหล่านี้จะช่วยพัฒนาแผนการป้องกันภัยด้านข่าวกรองได้</p>
<p> การแชร์มัลแวร์และระบบโครงสร้างการจัดการไปในหลายกลุ่มทำให้การจัดแบ่งกลุ่มข้อมูลแบบความเชื่อมั่นสูงทำได้ยากขึ้นด้วย มีการแสดงให้เห็นในเอกสารที่รั่วไหลว่า ผู้รับเหมาที่เป็นตัวกลางบุคคลที่ 3 มีบทบาทสำคัญในการอำนวยความสะดวกและสั่งการแทรกซึมทางไอทีจากจีนเป็นจำนวนมาก</p>
<p>สำหรับผู้ป้องกันภัยคุกคามไซเบอร์และกลุ่มผู้นำธุรกิจแล้ว บทเรียนของเรื่องนี้ก็เรียบง่ายและเป็นเรื่องที่ชวนให้ไม่สบายใจ คือการที่องค์กรของพวกคุณอาจจะมีกลุ่มผู้เชี่ยวชาญด้านเทคนิคที่ได้ค่าจ้างน้อยเกินไปไม่คุ้มค่ากับที่พวกเขาทำ จนทำให้พวกเขาอยากลักอะไรจากองค์กรของพวกคุณออกมา เรื่องนี้ควรจะเป็นเครื่องเตือนสติให้ต้องหันมาสนใจและทำอะไรสักอย่าง</p>
<p>เรียบเรียงจาก</p>
<p>
Unmasking I-Soon | The Leak That Revealed China’s Cyber Operations, Sentinel Labs, 21-02-2024</p>
</div></div></div><div class="field field-name-field-variety field-type-taxonomy-term-reference field-label-hidden"><div class="field-items"><div class="field-item even"><a href="/category/%E0%B8%82%E0%B9%88%E0%B8%B2%E0%B8%A7" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">
https://fb.me/prachatai : ทวิตเตอร์
https://twitter.com/prachatai : LINE ไอดี = @prachatai</div></div></div>
https://prachatai.com/journal/2024/03/108322