
ที่มาภาพ: TechRadar
การแฮ็กเครือข่าย HSIN ของ DHS หลังเตือนล้มเหลวสองครั้ง
⚡ สรุป 30 วิ
ผู้โจมตีเจาะระบบ HSIN ของ DHS ได้รับเวลาประมาณสามสัปดาห์หลังกจากสัญญาณเตือนถูกถือว่า false positive.…
การแฮ็กเครือข่ายข้อมูลร่วมของ DHS ผ่านระบบ HSIN ถูกมองว่าผิดพลาดสองครั้งเป็น “false positive” ทำให้ผู้โจมตีได้เวลาทำกิจกรรมโดยไม่ได้รับการตรวจจับเป็นระยะประมาณสามสัปดาห์ก่อนมีการประกาศเหตุการณ์เมื่อ 4 มิถุนายน 2569 การละเลยแจ้งเตือนดังกล่าวเปิดเผยช่องโหว่ในระบบแบ่งปันข้อมูลที่ใช้โดยหลายหน่วยงานของรัฐและพันธมิตรต่างประเทศ ส่งผลต่อความเชื่อมั่นด้านความปลอดภัยของข้อมูลสำคัญในช่วงเหตุการณ์ระดับโลกหลายรายการ
Overview
เครือข่าย HSIN (Homeland Security Information Network) ของกระทรวงความมั่นคงแห่งชาติสหรัฐอเมริกาเป็นระบบแบ่งปันข้อมูลไม่ใช่ลับที่ใช้ในการประสานงานระหว่างหน่วยงานภายในและพันธมิตรต่างประเทศ ระบบนี้มีบทบาทสำคัญในงานระดับโลก เช่น การจัดการด้านความปลอดภัยของ FIFA World Cup และโครงการ America250** แม้ว่า HSIN จะไม่ได้อยู่ในระดับลับ แต่ข้อมูลที่บรรจุอยู่ถือว่ามีความอ่อนไหวสูง การแฮ็กครั้งนี้ทำให้ผู้โจมตีสามารถเข้าถึงและแก้ไขไฟล์บนเซิร์ฟเวอร์ได้อย่างอิสระ
Timeline & Detection
ตามรายงานภายในของ DHS ระบบตรวจจับอัตโนมัติได้ส่งสัญญาณเตือนเกี่ยวกับการเคลื่อนไหวที่ผิดปกติในเดือนพฤษภาคม 2569 สองครั้งโดยแยกกัน (15 พฤษภาคมและอีกหนึ่งครั้งต่อมา) ทั้งสองเหตุการณ์ถูกนักวิเคราะห์มองว่าเป็น false positive และไม่ได้รับการตรวจสอบต่อไป การละเลยเหล่านี้ทำให้ผู้โจมตีมีเวลาประมาณสามสัปดาห์ (ตั้งแต่กลางเดือนพฤษภาคมจนถึง 3 มิถุนายน) ก่อนที่การรบกวนจะได้รับการยืนยันอย่างเป็นทางการเมื่อ 4 มิถุนายน
- 15 พ.ค. 2569 – ระบบแจ้งเตือนครั้งแรก, ปฏิเสธว่าเป็น false positive
- กลาง‑ปลายพ.ค. 2569 – การแจ้งเตือนอีกครั้ง, ถูกละเลยเช่นเดียวกัน
- 4 มิ.ย. 2569 – ประกาศการแฮ็กอย่างเป็นทางการ
Attack Mechanics
นักวิจัยพบว่าผู้โจมตีได้ทำหลายขั้นตอนที่ซับซ้อนบนเซิร์ฟเวอร์ของ HSIN ได้แก่ การเปลี่ยนแปลงไฟล์ระบบ, การรันโค้ดอันตรายผ่านโปรแกรมเว็บ‑เซิร์ฟเวอร์ที่เป็นธรรมชาติ, การลบบันทึก (logs) เพื่อลบร่องรอยการทำงาน, ติดตั้ง backdoors เพื่อเปิดช่องทางเข้าถึงในอนาคต และขโมยไฟล์ credential ที่อาจใช้เพื่อเข้าสู่ระบบอื่น ๆ ต่อไป การกระทำเหล่านี้แสดงให้เห็นว่าผู้โจมตีมีความชำนาญและพร้อมใช้เครื่องมือที่ต้องการการควบคุมแบบมนุษย์ร่วมด้วย
Institutional Response
กระทรวง DHS ตอบสนองโดยอ้างว่าเหตุการณ์เป็น “specific, unclassified legacy information sharing environment” และไม่มีข้อมูลว่าระบบลับ (classified) ถูกโจมตี ส่วน Senate Intelligence Committee รองประธาน Mark Warner ตั้งข้อสังเกตว่าแม้ข้อมูลจะไม่จัดอยู่ในระดับลับ แต่ความอ่อนไหวของ HSIN ทำให้การรั่วไหลมีผลต่อความมั่นคงแห่งชาติได้ การละเลยแจ้งเตือนสองครั้งทำให้สมาชิกคณะกรรมาธิการด้านความปลอดภัยภายในสภาผู้แทนราษฎรเรียกร้องให้มีการบรีฟอย่างเป็นทางการเกี่ยวกับเหตุการณ์นี้
Historical Context
HSIN ไม่ใช่ระบบที่แฮ็กเป็นครั้งแรก รายงานเปิดเผยว่าเคยเกิดเหตุการณ์รั่วไหลสองครั้งก่อนหน้า ได้แก่ การเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาตในปี 2009 และการกำหนดสิทธิ์การเข้าถึงผิดพลาดในปี 2023 เหตุการณ์เหล่านี้แสดงให้เห็นว่าปัญหาด้านความปลอดภัยของ HSIN มีประวัติยาวนานและอาจมีจุดอ่อนที่ยังไม่ได้รับการแก้ไขอย่างเต็มที่
Implications
เหตุการณ์นี้ทำให้เกิดคำถามสำคัญเกี่ยวกับ “why” มากกว่าการสอบสวนว่า “how” การที่สัญญาณเตือนถูกละเลยสองครั้งเป็นสาเหตุหลักของระยะเวลาที่ผู้โจมตีสามารถดำเนินการได้โดยไม่มีการตรวจจับ อีกทั้งการลดจำนวนบุคลากรด้านความปลอดภัยใน DHS และ CISA ในปีที่ผ่านมาอาจทำให้ระบบเฝ้าระวังขาดแคลนทรัพยากรในการตอบสนองต่อเหตุการณ์ที่ซับซ้อน การอภิปรายทางการเมืองเกี่ยวกับงบประมาณและบุคลากรไซเบอร์จะเพิ่มความกดดันต่อหน่วยงานเหล่านี้ในอนาคต
Summary
ผู้โจมตีได้เจาะระบบ HSIN ของ DHS ได้เป็นเวลาประมาณสามสัปดาห์หลังจากที่สัญญาณเตือนถูกปฏิเสธว่าเป็น false positive ทำให้ข้อมูลอ่อนไหวหลายรายการเสี่ยงต่อการรั่วไหล การละเลยแจ้งเตือนและการขาดแคลนบุคลากรด้านไซเบอร์เป็นประเด็นสำคัญที่ต้องได้รับการตรวจสอบเพื่อป้องกันเหตุการณ์ลักษณะนี้ในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Hackers breached DHS after alarms were twice ruled 'false positives'
- ผู้เขียน
- Rahim Amir
- แหล่ง
- TechRadar
- วันที่เผยแพร่
- 18 กรกฎาคม 2569 เวลา 02:30



