PurpleHaze ภัยร้ายจากจีนโจมตี SentinelOne 3 วิธีป้องกันที่คุณต้องรู้!

May 2, 2025

ภัยเงียบไซเบอร์จากจีน เมื่อ SentinelOne ถูกหมายหัวในแคมเปญจารกรรมข้อมูล

SentinelOne บริษัทชั้นนำด้านความปลอดภัยไซเบอร์ ออกมาเปิดเผยเหตุการณ์ที่สร้างแรงสะเทือนในวงการ เมื่อพบว่าองค์กรของตนตกเป็นเป้าหมายใน แคมเปญจารกรรมไซเบอร์จากจีน ซึ่งเจาะเข้ามายังโครงสร้างพื้นฐานระดับลึก รวมถึงลูกค้ากลุ่มองค์กรของบริษัท โดยมีหลักฐานชี้ว่าการโจมตีในครั้งนี้มีความเกี่ยวข้องกับกลุ่มที่ชื่อว่า APT Legion ซึ่งมีลักษณะของรัฐหนุนหลังอย่างชัดเจน

ใครคือเป้าหมายของการโจมตีครั้งนี้?

เป้าหมายของแคมเปญจารกรรมนี้ไม่ได้มีแค่ SentinelOne แต่ขยายไปถึง ลูกค้ารายใหญ่ระดับองค์กรในสหรัฐฯ และ ยุโรป ซึ่งรวมถึงบริษัทในกลุ่มอุตสาหกรรมสำคัญ เช่น พลังงาน เทคโนโลยี และการเงิน จุดร่วมของเหยื่อทั้งหมดคือ “มีการพึ่งพาโครงสร้างพื้นฐานทางไซเบอร์ในระดับสูง”

เทคนิคการแฮกที่ซับซ้อน ไม่ใช่มัลแวร์ธรรมดา

กลุ่ม APT Legion ใช้วิธีการที่แตกต่างจากแคมเปญมัลแวร์ทั่วไป โดยเน้นไปที่

การปลอมแปลงเซิร์ฟเวอร์ DNS เพื่อหลอกล่อผู้ใช้งานให้ส่งข้อมูลไปยังเซิร์ฟเวอร์ปลอม
Backdoor ที่ตรวจจับยาก ฝังในระบบเพื่อสอดแนมและลอบขโมยข้อมูลแบบต่อเนื่อง
ใช้ SSL/TLS ในการเข้ารหัสการส่งข้อมูล ทำให้ยากต่อการตรวจจับโดยระบบรักษาความปลอดภัยทั่วไป

ความซับซ้อนของการโจมตีครั้งนี้ ทำให้ต้องใช้เครื่องมือขั้นสูงในการวิเคราะห์และติดตามพฤติกรรมของผู้บุกรุก

ใครอยู่เบื้องหลัง? เบาะแสชี้ตรงไปที่รัฐจีน

แม้ SentinelOne จะไม่ได้ระบุชื่อรัฐผู้สนับสนุนอย่างชัดเจน แต่มีหลักฐานหลายประการที่โยงไปยัง หน่วยงานของรัฐบาลจีน โดยเฉพาะการใช้โดเมนที่เกี่ยวข้องกับโครงข่ายของกลุ่ม APT ที่เคยถูกเปิดโปงในอดีต เช่น Mustang Panda และ APT41

การโจมตีลักษณะนี้สอดคล้องกับพฤติกรรมที่เรียกว่า Cyber Espionage ซึ่งมีจุดมุ่งหมายเพื่อ

ขโมยความลับทางเทคโนโลยี
วิเคราะห์จุดอ่อนของระบบตะวันตก
สร้างช่องทางสอดแนมแบบระยะยาว

SentinelOne แก้เกมอย่างไร?

บริษัทได้ดำเนินมาตรการป้องกันและตอบสนองอย่างรวดเร็ว เช่น

ปิดระบบที่มีความเสี่ยงทันที
อัปเดตฐานข้อมูลมัลแวร์ เพื่อแจ้งเตือนลูกค้าทั่วโลก
ทำงานร่วมกับพันธมิตรด้านความปลอดภัยไซเบอร์ในระดับสากล เช่น MITRE และหน่วยงานรัฐ เพื่อขยายการตรวจจับภัยคุกคาม

คำถามที่พบบ่อย (FAQ)

1. ฉันเป็นลูกค้า SentinelOne ควรกังวลไหม?
หากคุณใช้ระบบ SentinelOne ที่อัปเดตล่าสุดแล้ว ระบบจะมีการป้องกันเบื้องต้นจากภัยคุกคามนี้ อย่างไรก็ตาม ควรตรวจสอบ log และพฤติกรรมผิดปกติในระบบเสมอ

2. กลุ่ม APT Legion คือใคร?
เป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน มีเป้าหมายด้านการจารกรรมข้อมูลในองค์กรขนาดใหญ่

3. เราจะป้องกันแคมเปญลักษณะนี้ได้อย่างไร?
ใช้ระบบรักษาความปลอดภัยที่มีความสามารถในการตรวจจับพฤติกรรมผิดปกติ (Behavior-based detection) และอัปเดตแพตช์ระบบอย่างสม่ำเสมอ

สรุป

เหตุการณ์ที่เกิดขึ้นกับ SentinelOne ชี้ให้เห็นว่า แม้แต่องค์กรที่เชี่ยวชาญด้านความปลอดภัยไซเบอร์ก็ยังสามารถตกเป็นเป้าหมายได้ สิ่งที่สำคัญคือ การมีระบบเฝ้าระวังเชิงรุก และ ความร่วมมือระหว่างองค์กรระดับโลก ในการตอบโต้ภัยคุกคามแบบบูรณาการ

หากคุณคือองค์กรที่มีข้อมูลสำคัญในระบบ คุณไม่ควรพึ่งพาเพียงแค่ไฟร์วอลล์หรือแอนตี้ไวรัสทั่วไปอีกต่อไป

Post Views: 55