แฮกเกอร์จีนแอบใช้กฎ Google Workspace ขโมยอีเมลการวิจัยและการป้องกัน

การโจมตีของกลุ่มสอดแนมที่เชื่อมโยงกับจีนได้แฝงตัวอยู่ในเครือข่ายการวิจัยทางการแพทย์, การศึกษาและการทหารของอเมริกาเหนือเป็นเวลามากกว่าหนึ่งปี โดยใช้ช่องโหว่บนเซิร์ฟเวอร์ REDCap เพื่อขโมยข้อมูลเข้าสู่ระบบและเปลี่ยนแปลงกฎของ Google Workspace ให้คัดลอกอีเมลทั้งหมด การกระทำนี้ทำให้ข้อมูลวิจัยที่ละเอียดอ่อนและอีเมลด้านการป้องกันถูกรวบรวมโดยไม่ถูกตรวจจับ

Overview

กลุ่มอาชญากรไซเบอร์ที่มีความเชื่อมโยงกับรัฐจีนได้ใช้วิธีการแฝงตัวในระบบเครือข่ายของสถาบันวิจัยในอเมริกาเหนือเป็นระยะเวลานาน การโจมตีไม่ได้เป็นการเจาะระบบแบบเดี่ยว ๆ แต่เป็นการใช้หลายขั้นตอนที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับโดยเครื่องมือความปลอดภัยทั่วไป

การโจมตีเริ่มต้นด้วยการแทรก backdoor เข้าไปในเซิร์ฟเวอร์ REDCap ซึ่งเป็นแพลตฟอร์มจัดการข้อมูลการวิจัยที่นิยมใช้ในสถาบันการศึกษาและโรงพยาบาล หลังจากได้ควบคุมเซิร์ฟเวอร์แล้ว ผู้โจมตีสามารถดึงข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้หลายคนได้

จากนั้นผู้โจมตีได้ใช้ข้อมูลรับรองเหล่านั้นเพื่อเข้าถึง Google Workspace ขององค์กรเป้าหมาย และทำการปรับกฎการส่งต่ออีเมล (email routing rules) ให้คัดลอกข้อความทุกฉบับไปยังบัญชีที่ควบคุมโดยผู้โจมตี การทำเช่นนี้ทำให้การดึงข้อมูลเป็นไปโดยอัตโนมัติและไม่ต้องใช้การเข้าถึงแบบต่อเนื่องจากภายนอก

Attack Vector

REDCap เป็นซอฟต์แวร์โอเพ่นซอร์สที่ใช้เก็บและจัดการข้อมูลการวิจัยในหลายสาขา รวมถึงการทดลองคลินิกและโครงการวิจัยทางชีววิทยา การที่ผู้โจมตีสามารถแทรก backdoor เข้าไปในระบบนี้แสดงให้เห็นถึงการสำรวจจุดอ่อนในโครงสร้างพื้นฐานของสถาบันที่อาจไม่ได้รับการอัปเดตหรือแพตช์อย่างต่อเนื่อง

การใช้ backdoor ทำให้ผู้โจมตีสามารถดักจับข้อมูลรับรอง (credentials) ของผู้ใช้ที่ล็อกอินเข้าสู่ระบบ REDCap ทั้งจากอุปกรณ์ภายในและภายนอกองค์กร การเก็บข้อมูลรับรองเหล่านี้เป็นขั้นตอนสำคัญที่ทำให้การเข้าถึง Google Workspace ขององค์กรเป็นไปได้โดยไม่ต้องใช้เทคนิคการเจาะระบบเพิ่มเติม

ในหลายกรณีผู้โจมตีได้เลือกใช้บัญชีผู้ใช้ที่มีสิทธิ์ระดับสูง (admin) เพื่อให้สามารถแก้ไขกฎของระบบอีเมลได้อย่างเต็มที่ การใช้สิทธิ์เหล่านี้ทำให้การเปลี่ยนแปลงกฎการคัดลอกอีเมลเป็นไปอย่างรวดเร็วและไม่ต้องทำการขโมยข้อมูลเพิ่มเติม

Exfiltration Method

การเปลี่ยนแปลงกฎของ Google Workspace เป็นวิธีการที่ค่อนข้างใหม่และซับซ้อน เนื่องจากผู้โจมตีไม่จำเป็นต้องส่งข้อมูลออกจากเครือข่ายโดยตรง แต่ให้ระบบอีเมลขององค์กรทำการคัดลอกข้อความทั้งหมดไปยังกล่องจดหมายที่ผู้โจมตีควบคุม

การตั้งค่า email routing rule นี้ทำให้ทุกข้อความที่ส่งหรือรับภายในองค์กรถูกส่งสำเนาไปยังบัญชีปลายทางที่ไม่ใช่ของผู้ใช้จริง การคัดลอกอีเมลเหล่านี้รวมถึงหัวข้อ, เนื้อหา, ไฟล์แนบและเมตาดาต้าอื่น ๆ ทำให้ผู้โจมตีสามารถรวบรวมข้อมูลด้านการวิจัยและการป้องกันได้ครบถ้วน

เทคนิคนี้มีความได้เปรียบคือการหลบหลีกการตรวจจับจากระบบตรวจสอบการส่งข้อมูล (Data Loss Prevention) เนื่องจากการคัดลอกทำผ่านระบบอีเมลของผู้ให้บริการ (Google) เอง การบันทึกการคัดลอกอาจถูกบันทึกเป็นการส่งต่อภายในระบบ ซึ่งทำให้การตรวจสอบภายนอกยากต่อการสังเกต

Impact

การโจมตีที่ยืดเวลามากกว่าหนึ่งปีทำให้ข้อมูลวิจัยที่สำคัญและข้อมูลด้านการป้องกันของหลายสถาบันถูกขโมยไปเป็นจำนวนมหาศาล การที่ข้อมูลเหล่านี้อาจถูกใช้เพื่อพัฒนานวัตกรรมทางการทหารหรือเทคโนโลยีทางการแพทย์ของรัฐจีน ส่งผลให้ความได้เปรียบทางด้านวิทยาศาสตร์และการป้องกันของสหรัฐอเมริกาอาจถูกลดทอน

สถาบันที่ถูกโจมตีรวมถึงโรงพยาบาลที่ทำการทดลองคลินิก, มหาวิทยาลัยที่ดำเนินโครงการวิจัยระดับชาติ, และหน่วยงานทหารที่มีการวิจัยเทคโนโลยีการป้องกัน การสูญเสียข้อมูลเหล่านี้อาจทำให้ต้องมีการตรวจสอบและประเมินผลใหม่เกี่ยวกับความปลอดภัยของข้อมูลภายในทุกองค์กรที่เกี่ยวข้อง

นอกจากนี้ การเปิดเผยวิธีการโจมตีแบบนี้ยังเป็นสัญญาณเตือนต่อองค์กรทั่วโลกให้ตรวจสอบการตั้งค่าการคัดลอกอีเมลในระบบคลาวด์ของตนเอง และทบทวนกระบวนการจัดการสิทธิ์การเข้าถึงข้อมูลสำคัญอย่างต่อเนื่อง

Response & Mitigation

ผู้ให้บริการ Google Workspace ได้ออกแถลงการณ์ว่ากำลังทำงานร่วมกับทีมตอบสนองเหตุการณ์ (incident response) ขององค์กรที่ได้รับผลกระทบเพื่อระบุและยุติการตั้งค่ากฎคัดลอกที่ไม่ได้รับอนุญาต

องค์กรที่เกี่ยวข้องควรดำเนินการตรวจสอบดังต่อไปนี้:

• ตรวจสอบและรีเซ็ตข้อมูลรับรองของผู้ใช้ที่เคยเข้าสู่ระบบ REDCap
• ตรวจสอบและลบกฎการคัดลอกอีเมลที่ไม่เป็นทางการใน Google Workspace
• ใช้ระบบตรวจจับพฤติกรรมที่ผิดปกติ (behavioral analytics) เพื่อตรวจหาเหตุการณ์ที่อาจเกิดขึ้นในอนาคต

การอัปเดตแพตช์ของซอฟต์แวร์ REDCap อย่างสม่ำเสมอและการตั้งค่าการเข้าถึงแบบจำกัด (least‑privilege) จะช่วยลดความเสี่ยงจากการแทรก backdoor ในอนาคต

Analysis

การโจมตีครั้งนี้แสดงให้เห็นถึงการผสมผสานระหว่างการแทรกซึมระบบภายใน (internal infiltration) และการใช้ฟีเจอร์ของบริการคลาวด์เพื่อการคัดลอกข้อมูลอย่างอัจฉริยะ ผู้โจมตีไม่จำเป็นต้องสร้างช่องทางการส่งออกข้อมูลใหม่ แต่ใช้โครงสร้างของระบบอีเมลที่มีอยู่แล้วเป็น “ท่อส่ง”

การที่กลุ่มสอดแนมใช้ REDCap เป็นจุดเริ่มต้นสะท้อนถึงการมุ่งเน้นที่ข้อมูลการวิจัยที่มีค่าทางการค้าและการป้องกัน การที่ข้อมูลดังกล่าวถูกเก็บในระบบที่อาจไม่ได้รับการป้องกันอย่างเข้มงวดเท่ากับระบบที่เกี่ยวข้องกับการเงินหรือข้อมูลส่วนบุคคล ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับการสอดแนมระยะยาว

จากมุมมองของการป้องกันไซเบอร์ องค์กรจำเป็นต้องมีการตรวจสอบการตั้งค่าการคัดลอกอีเมลในระบบคลาวด์อย่างสม่ำเสมอ และควรทำการประเมินความเสี่ยงของการใช้ซอฟต์แวร์โอเพ่นซอร์สที่อาจไม่มีการอัปเดตอัตโนมัติ นอกจากนี้ การตรวจสอบการเข้าถึงของผู้ใช้ระดับผู้ดูแลระบบ (admin) ควรเป็นกระบวนการที่ทำเป็นประจำเพื่อป้องกันการละเมิดสิทธิ์ในลักษณะนี้

Summary

กลุ่มสอดแนมที่เชื่อมโยงกับจีนได้ใช้ช่องโหว่บนเซิร์ฟเวอร์ REDCap เพื่อขโมยข้อมูลรับรองและปรับกฎของ Google Workspace ให้คัดลอกอีเมลทั้งหมดเป็นเวลานานกว่า หนึ่งปี การโจมตีส่งผลให้ข้อมูลการวิจัยและการป้องกันของสถาบันทางการแพทย์, การศึกษาและทหารในอเมริกาเหนือถูกขโมย การตอบสนองต้องมุ่งเน้นการตรวจสอบและยุติกฎคัดลอกที่ไม่เป็นทางการ พร้อมเสริมมาตรการป้องกันเพื่อหลีกเลี่ยงการแทรกซึมในอนาคต.