เจาะลึก Red Menshen สายลับดิจิทัล ผู้อยู่เบื้องหลังการจารกรรมเครือข่ายโทรคมนาคมโลก
ในโลกของสงครามไซเบอร์ การตรวจพบภัยคุกคามที่รวดเร็วคือหัวใจสำคัญ แต่จะเกิดอะไรขึ้นถ้าศัตรูสามารถฝังตัวอยู่ในระบบได้นานหลายปีโดยไม่มีใครสังเกตเห็น และนี่คือเรื่องราวของกลุ่มแฮกเกอร์ Red Menshen (หรือที่รู้จักในชื่อ Earth Bluecrow) กลุ่มภัยคุกคามที่มีความเชื่อมโยงกับรัฐบาลจีน ซึ่งล่าสุดถูกเปิดเผยว่าได้สร้างระบบจารกรรมที่ "แนบเนียนที่สุด" เท่าที่เคยมีมาในอุตสาหกรรมโทรคมนาคม
รายงานจาก Rapid7 Labs ระบุว่า Red Menshen ได้เข้าแทรกซึมเครือข่ายโทรคมนาคมในภูมิภาคเอเชียและตะวันออกกลางมาตั้งแต่ปี 2021 โดยมีเป้าหมายหลักไม่ใช่การทำลายระบบ แต่เป็นการ "ฝังตัวระยะยาว" เพื่อจารกรรมข้อมูลของรัฐบาลและบุคคลสำคัญ กลุ่มนี้เปรียบเสมือน "สายลับหรือหน่วยปฏิบัติการที่แฝงตัวอยู่" (Sleeper Cells) ที่คอยเฝ้าดูความเคลื่อนไหวผ่านโครงข่ายหลักของระบบสื่อสาร (Telecom Backbone)
BPFDoor ประตูกลที่ไร้ร่องรอย
อาวุธลับที่ทำให้ Red Menshen น่ากลัวคือ มัลแวร์ที่ชื่อ BPFDoor ซึ่งมีความต่างจากมัลแวร์ทั่วไปอย่างสิ้นเชิง เช่น
ไม่เปิดช่องโหว่ให้เห็น: มันไม่มีการเปิดพอร์ตสื่อสาร (Listening Ports) หรือส่งสัญญาณ Beaconing ออกไปหาแฮกเกอร์เป็นระยะ ทำให้เครื่องมือสแกนไวรัสทั่วไปตรวจไม่พบ
ซ่อนตัวในระดับ Kernel: มัลแวร์นี้ฝังตัวอยู่ในระดับรากฐานของระบบปฏิบัติการ (Kernel) และใช้เทคโนโลยี Berkeley Packet Filter (BPF) เพื่อดักกรองข้อมูล
รอคำสั่ง: BPFDoor จะอยู่นิ่งๆ จนกว่าจะได้รับแพ็กเก็ตข้อมูลที่สร้างขึ้นมาเป็นพิเศษ (Magic Packet) จากแฮกเกอร์เพื่อปลุกให้มันทำงานและเปิดรีโมทให้แฮกเกอร์เข้าควบคุมเครื่องได้ทันที
เส้นทางการโจมตี จากหน้าบ้านสู่หัวใจเครือข่าย
Red Menshen เริ่มต้นจากการเจาะเข้าทาง "อุปกรณ์หน้าบ้าน" ที่เชื่อมต่อกับอินเทอร์เน็ต เช่น VPN, Firewall หรือเซิร์ฟเวอร์จากแบรนด์ดังอย่าง Cisco, Fortinet, VMware และ Palo Alto Networks เมื่อได้จุดยึดแล้ว พวกเขาจะติดตั้งเครื่องมือสนับสนุนอื่นๆ เช่น
Framework สำหรับควบคุม: อย่าง CrossC2 หรือ Sliver
เครื่องมือขโมยรหัสผ่าน: เพื่อใช้ในการเคลื่อนที่ภายในเครือข่าย (Lateral Movement) จากเครื่องหนึ่งไปสู่อีกเครื่องหนึ่ง
วิวัฒนาการใหม่ การพรางตัวขั้นสูง
ล่าสุดพบเวอร์ชันใหม่ของ BPFDoor ที่ยกระดับความแนบเนียนไปอีกขั้น
HTTPS Camouflage: ซ่อนคำสั่งปลุกมัลแวร์ไว้แนบเนียนไปกับทราฟฟิก HTTPS (เว็บปกติ) ทำให้ดูเหมือนการใช้งานอินเทอร์เน็ตทั่วไป
SCTP Support: รองรับโปรโตคอลเฉพาะของเครือข่ายมือถือ ทำให้แฮกเกอร์สามารถ ติดตามตำแหน่งที่อยู่และพฤติกรรมของผู้ใช้โทรศัพท์มือถือ ได้โดยตรง
ICMP Communication: ใช้การสื่อสารผ่านโปรโตคอล ICMP ระหว่างเครื่องที่ติดมัลแวร์ด้วยกันเองเพื่อลดความผิดสังเกต
บทสรุป ความท้าทายใหม่ของความปลอดภัยทางไซเบอร์
การโจมตีของ Red Menshen สะท้อนให้เห็นว่าแฮกเกอร์ในปัจจุบันไม่ได้เล็งแค่การโจมตีซอฟต์แวร์ที่เราใช้งานกันทั่วไป แต่กำลังฝังตัวลึกลงไปในระดับฮาร์ดแวร์และโครงสร้างพื้นฐาน 4G/5G ซึ่งการตรวจจับทำได้ยาก
สำหรับองค์กรและผู้ดูแลระบบ นี่คือสัญญาณเตือนว่าการป้องกันเพียง "ขอบเขตภายนอก" อาจไม่เพียงพออีกต่อไป แต่ต้องอาศัยการตรวจสอบพฤติกรรมในระดับลึก (Deep Packet Inspection) และการเฝ้าระวังภายในเคอร์เนลของระบบอย่างใกล้ชิด
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner .
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #G
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
