มีการแฉข้อมูลรั่วไหลของบริษัทไอทีจีน "I-Soon" ซึ่งเป็นบริษัทที่ได้สัมปทานจากหน่วยงานรัฐบาลจีนและกองทัพจีน ข้อมูลดังกล่าวระบุถึงการที่รัฐบาลจีนใช้บริษัทนี้ทำการสอดส่ององค์กรหลายองค์กรทั่วโลก ไม่ว่าจะเป็นมหาวิทยาลัย, กลุ่มสนับสนุนประชาธิปไตยในฮ่องกง ไปจนถึงนาโต
บทความในเซนติเนลแล็บหน่วยงานวิจัยอาชญากรรมทางไซเบอร์กล่าวถึงกรณี บริษัท I-Soon (上海安洵) เป็นบริษัทที่ได้รับสัมปทานจากหน่วยงานรัฐบาลจีนหลายหน่วยงาน เช่น กระทรวงความมั่นคงสาธารณะ, กระทรวงความมั่นคงแห่งรัฐ และ กองทัพประชาชนจีน (PLA) ข้อมูลของบริษัทแห่งนี้รั่วไหลเมื่อวันที่ 16 ก.พ. ที่ผ่านมา ซึ่งไม่มีใครรู้ว่าผู้ที่ขโมยข้อมูลเหล่านี้ออกมาแฉเป็นใครหรือมีแรงจูงใจอะไร
การรั่วไหลของข้อมูลบริษัท I-Soon ในครั้งนี้นับเป็นครั้งแรกที่เผยให้เห็นปฏิบัติการภายในของบริษัทแห่งนี้ในฐานะ "ผู้รับจ้างแฮ็ก" ที่มีความเกี่ยวข้องกับรัฐบาลจีน ถึงแม้ว่าจะยังมีข้อกังขาเกี่ยวกับเอกสารข้อมูลนี้ แต่เนื้อหาที่รั่วไหลออกมาก็เป็นเครื่องยืนยันว่ามันเกี่ยวข้องกับข่าวกรองด้านภัยความมั่นคงสาธารณะ
ข้อมูลที่รั่วไหลออกมาระบุถึงรายละเอียดที่เป็นรูปธรรมมากที่สุดเท่าที่เคยมีมาในเรื่องของระบบการจารกรรมไซเบอร์ของจีนที่กำลังเติบโตมากขึ้น มันแสดงให้เห็นว่าการตั้งเป้าหมายโดยรัฐบาลจีนได้ผลักดันให้มีการแข่งขันในระบบตลาด "แฮ็กเกอร์รับจ้าง" เหมาช่วงอิสระ
ลูกจ้างของ I-Soon ผู้ที่บ่นว่าค่าแรงต่ำและมีพฤติกรรมเล่นพนันไพ่นกกระจอกในสำนักงาน เป็นกลุ่มเดียวกันกับที่ทำการแทรกซึมเข้าไปในภาคส่วนของรัฐบาลได้อย่างน้อย 14 แห่ง และสามารถแทรกซึมองค์กรสนับสนุนประชาธิปไตยในฮ่องกง, มหาวิทยาลัยต่างๆ และแม้กระทั่งนาโต ข้อมูลจากเอกสารที่รั่วไหลออกมาเป็นไปในทางเดียวกับข่าวกรองที่ออกมาก่อนหน้านี้ของจีนที่ระบุรายชื่อกลุ่มที่พวกเขามองว่าเป็นภัย
เมื่อพิจารณาจากข้อมูลของเหยื่อที่ถูกแฮ็ก รวมถึงข้อมูลรายชื่อของลูกค้าที่ขอให้พวกเขาแฮ็กแล้ว แสดงให้เห็นว่า บริษัทไอทีพยายามแข่งขันกันรับงานราคาต่ำจากหน่วยงานของรัฐบาลจีนจำนวนมาก นอกจากนี้เมื่อพิจารณาจากข้อมูลการวางเป้าหมายแฮ็กในอดีตแล้ว ยังพบว่า ภัยคุกคามแฝงตัวขั้นสูง (APT) ที่น่าจะเป็นผู้รับจ้างจากรัฐบาลจีนไม่ได้รับแจ้งแนวทางการวางเป้าหมายการแฮ็กในอนาคตที่มีความชัดเจน
ข้อมูลรั่วไหลดังกล่าวนี้มาจากผู้ที่อัพโหลดขึ้นเว็บ GitHub เมื่อวันที่ 16 ก.พ. ที่ผ่านมา โดยมีทั้งข้อมูลเอกสารการตลาด, รูปภาพกับภาพแคปจอ, และข้อความ WeChat หลายพันข้อความระหว่างลูกจ้างของบริษัท I-Soon กับลูกค้า มีการวิเคราะห์ข้อมูลเหล่านี้โดยนักวิเคราะห์ในไต้หวัน
ในข้อมูลเกี่ยวกับการตลาดนั้นมีส่วนหนึ่งที่ระบุถึงการโฆษณาตัวเองเพื่อให้ได้สัญญาจ้างวานในซินเจียง ซึ่งเป็นพื้นที่ที่จีนกระทำการกักกันตัวชาวอุยกูร์จำนวนมากเพื่อปรับทัศนคติ เป็นการกระทำที่คณะมนตรีสิทธิมนุษยชนแห่งสหประชาชาติบอกว่าเป็นการฆ่าล้างเผ่าพันธุ์ ในการโฆษณาตัวเองของ I-Soon ระบุอวดอ้างว่าพวกเขามีประสบการณ์ในงานเชิงต่อต้านการก่อการร้ายมาก่อนในอดีต โดยมีการนำเสนอรายชื่อเป้าหมายที่เกี่ยวข้องกับการก่อการร้ายที่ทางบริษัทเคยทำการแฮ็กมาก่อน เช่น เป้าหมายที่เป็นศูนย์ต่อต้านการก่อการร้ายในปากีสถานและอัฟกานิสถาน
เอกสารที่รั่วไหลนี้ยังชี้ให้เห็นถึงโครงสร้างการสั่งการและควบคุม, มัลแวร์ และเรื่องเหยื่อ ซึ่งเกี่ยวข้องกับกิจกรรมที่ต้องสงสัยว่าเป็นการจารกรรมไซเบอร์จากจีน ตามที่กลุ่มติดตามเรื่องภัยข่าวกรองเคยติดตามสังเกตการณ์ก่อนหน้านี้ จากการสังเกตเบื้องต้นพบว่ามีภาคส่วนอุตสาหกรรมและองค์กรหลากหลายกลุ่มที่ตกเป็นเหยื่อ เรื่องนี้เป็นข้อบ่งชี้ได้มากขึ้นว่ากิจกรรมที่ระบุในเอกสารที่รั่วไหลนี้อาจจะเกี่ยวพันกับการแฮ็กเพื่อแทรกซึมที่เกิดขึ้นในอดีต ซึ่งต้องมีการประเมินในรายละเอียดต่อไป
นอกจากนี้ในเนื้อหาที่รั่วไหลยังมีเรื่องชวนให้บริษัทอับอาย แต่ก็เป็นเรื่องที่ชวนให้ชุมชนความปลอดภัยทางไซเบอร์ตั้งคำถามอยู่ด้วยเหมือนกัน เช่นมีเนื้อหาส่วนหนึ่งที่ระบุถึงการแทรกซึมเก็บข้อมูลจากกระทรวงเศรษฐกิจของเวียดนามซึ่งให้ผลตอบแทนราว 55,000 ดอลลาร์ แต่การแทรกซึมเก็บข้อมูลจากกระทรวงอื่นๆ กลับได้ผลตอบแทนน้อยกว่า มีเนื้อหาอีกส่วนหนึ่งระบุถึงการที่ลูกจ้างบริษัท I-Soon แฮ็กมหาวิทยาลัยที่ไม่ได้อยู่ให้บัญชีเป้าหมาย ทำให้หัวหน้างานแก้ตัวว่าเป็นอุบัติเหตุ มีลูกจ้างบางส่วนที่บ่นเรื่องได้ค่าจ้างน้อยและหวังว่าจะได้ไปทำงานที่บริษัทอื่นแทน
สรุปบทเรียนของเรื่องนี้
ในบทความดังกล่าวยังได้สรุปถึงเอกสารที่รั่วไหลนี้จะทำให้ชุมชนภัยด้านข่าวกรองได้ทบทวนตัวเองเรื่องการป้องกันการแทรกซึม และมีความเข้าใจมากขึ้นต่อเรื่องภัยด้านข่าวกรองจากจีนที่มีความซับซ้อน การพิจารณาเรื่องเหล่านี้จะช่วยพัฒนาแผนการป้องกันภัยด้านข่าวกรองได้
การแชร์มัลแวร์และระบบโครงสร้างการจัดการไปในหลายกลุ่มทำให้การจัดแบ่งกลุ่มข้อมูลแบบความเชื่อมั่นสูงทำได้ยากขึ้นด้วย มีการแสดงให้เห็นในเอกสารที่รั่วไหลว่า ผู้รับเหมาที่เป็นตัวกลางบุคคลที่ 3 มีบทบาทสำคัญในการอำนวยความสะดวกและสั่งการแทรกซึมทางไอทีจากจีนเป็นจำนวนมาก
สำหรับผู้ป้องกันภัยคุกคามไซเบอร์และกลุ่มผู้นำธุรกิจแล้ว บทเรียนของเรื่องนี้ก็เรียบง่ายและเป็นเรื่องที่ชวนให้ไม่สบายใจ คือการที่องค์กรของพวกคุณอาจจะมีกลุ่มผู้เชี่ยวชาญด้านเทคนิคที่ได้ค่าจ้างน้อยเกินไปไม่คุ้มค่ากับที่พวกเขาทำ จนทำให้พวกเขาอยากลักอะไรจากองค์กรของพวกคุณออกมา เรื่องนี้ควรจะเป็นเครื่องเตือนสติให้ต้องหันมาสนใจและทำอะไรสักอย่าง
เรียบเรียงจาก
Unmasking I-Soon | The Leak That Revealed China’s Cyber Operations, Sentinel Labs, 21-02-2024
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)