Advanced Persistent Threat (APT)

โดย admin

1 นาที
แชร์
Share this post on Facebook Share this post on Linked In
Blog Thumbnail

Advanced Persistent Threat (APT)

ภัยคุกคามไซเบอร์ยืดเยื้อที่องค์กรไทยต้องรู้

Advanced Persistent Threat (APT)

ในช่วงไม่กี่วันที่ผ่านมา เกิดเหตุการณ์ความขัดแย้งระหว่างประเทศไทยและกัมพูชา ส่งผลให้เกิดความเสียหายในหลายด้าน โดยเฉพาะในแง่ของการป้องกันประเทศที่ก่อให้เกิดความสูญเสียทั้งด้านชีวิต เศรษฐกิจ และความมั่นคง นอกจากนี้ ยังมีอีกหนึ่งความเสียหายที่หลายคนอาจยังไม่ทราบ นั่นคือ “การโจมตีทางไซเบอร์” ซึ่งมีความอันตรายไม่แพ้ความเสียหายในด้านของการป้องกันประเทศ

โดยเพจ Personar Thailand ได้มีการเผยแพร่ข้อมูลที่แสดงให้เห็นว่ามีการโจมตีทางไซเบอร์เกิดขึ้นจากทั้งสองฝ่าย ได้แก่ หน่วยงานรัฐของไทยถูกโจมตีโดยกลุ่มจากกัมพูชา และ กลุ่มแฮกเกอร์ไทยก็ได้โจมตีระบบของหน่วยงานรัฐกัมพูชา เช่นเดียวกัน การโจมตีลักษณะนี้ไม่ได้ส่งผลต่อชีวิตหรือทรัพย์สินโดยตรง แต่ส่งผลกระทบต่อข้อมูลสำคัญและการทำงานต่างๆภายในประเทศหรือองค์กร

การโจมตีที่มุ่งเป้าไปยังหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญเช่นนี้ เราเรียกว่า Advanced Persistent Threat (APT) ในบทความนี้ เราจะอธิบายว่า APT คืออะไร ยกตัวอย่างการโจมตีในอดีต พร้อมแนวทางในการป้องกันและรับมือ

Advanced Persistent Threat (APT) คืออะไร?

Advanced Persistent Threat (APT) คือ การโจมตีรูปแบบหนึ่งทางไซเบอร์ที่มีลักษณะเฉพาะเจาะจง โดยผู้โจมตีหวังให้เป้าหมายการโจมตีส่งผลระยะยาว โดยจะเลือกโจมตีระบบขององค์กรหรือหน่วยงานที่มีความสำคัญทางเศรษฐกิจ การเมือง หรือความมั่นคง โดยผู้โจมตีมักได้รับการสนับสนุนจากรัฐ หรือเป็นกลุ่มอาชญากรรมไซเบอร์ที่มีทรัพยากรและความเชี่ยวชาญสูง ทำให้สามารถแฝงตัวในระบบเป้าหมายได้นานโดยไม่ถูกตรวจจับ

ตัวอย่าง APT ที่โดดเด่นในโลกจริง

Stuxnet เกิดขึ้นในปี 2010

การโจมตีนี้เป็นการโจมตีที่มีชื่อเสียงมากเนื่องจากเป็นการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อระบบการทำงานแบบกายภาพจริงครั้งแรกของโลก โดย Stuxnet เป็นการโจมตีระบบควบคุมโรงงานนิวเคลียร์ของอิหร่าน โดยใช้เวิร์มที่ออกแบบมาเฉพาะเพื่อทำลายระบบ SCADA ส่งผลกระทบต่อการหมุนของเครื่องปั่นยูเรเนียมทำให้เกิดความเสียหายต่อการทำงานและเครื่องจักรภายในโรงงานนิวเคลียร์

เวิร์ม (Worm): มัลแวร์ชนิดหนึ่งที่สามารถแพร่กระจายตัวเองได้โดยไม่ต้องพึ่งพาผู้ใช้

SCADA: ระบบควบคุมและเก็บข้อมูลแบบเรียลไทม์ในอุตสาหกรรม เช่น ไฟฟ้า น้ำมัน โรงงาน และสามารถควบคุมการทำงานได้

ตัวอย่าง APT ที่ใกล้ตัวของประเทศไทยมากขึ้นได้แก่

OceanLotus การโจมตีเริ่มขึ้นในช่วงปี 2014

ถ้าผู้ที่อ่านบทความนี้มีการติดตามข่าวสารเกี่ยวกับภัยทางไซเบอร์อาจจะมีชื่อของ OceanLotus หรืออีกชื่อคือ APT32 ผ่านหูผ่านตามาบ้างแล้ว ที่ยกมาเป็นตัวอย่างในบทความนี้เนื่องจาก APT32 นี้เป็นการโจมตีที่คล้ายสถานการณ์ปัจจุบันของการโจมตีระหว่างประเทศไทยและกัมพูชา นั่นคือการโจมตีหน่วยงานรัฐบาลหรือหน่วยงานที่มีความสำคัญต่อเศรษฐกิจ แต่เป้าหมายของ APT จะไม่ใช่ประเทศใดประเทศหนึ่งแต่เป็นการโจมตีโดยมีเป้าหมายหลักเป็นทวีปเอเชียตะวันออกเฉียงใต้ เช่น ในกัมพูชา ฟิลิปปินส์ เวียดนาม และลาว โดนการโจมตีของ APT32 เป็นการโจมตีที่หลากหลายตัวอย่างเช่นมีการใช้ Phishing เพื่อหลอกให้เหยื่อดาวน์โหลดไฟล์และทำการขโมยข้อมูลผ่านช่องทางที่สร้างขึ้นในเครื่องของเหยื่อ

Phishing: เป็นรูปแบบการโจมตีหนึ่งที่หลอกล่อให้เหยื่อเข้ามากดลิงก์ที่เราส่งไปเพื่อที่จะเข้ายึดครองเครื่องหรือข้อมูลภายในเครื่องของเป้าหมาย

รูปแบบการโจมตีของ APT

โดยในบทความนี้จะอิงตาม MITRE ATT&CK Framework อาจจะสงสัยกันว่าสิ่งนี้คืออะไรก็จะขออธิบายว่า MITRE ATT&CK Framework คือ แหล่งข้อมูลขนาดใหญ่ที่ทำการจัดหมวดหมู่ การผู้โจมตีทางไซเบอร์ มีการอ้างอิงจากเหตุการณ์จริงที่เคยเกิดขึ้นในโลกไซเบอร์ เช่นตัวอย่างในหัวข้อก่อนหน้า เพื่อช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยสามารถเข้าใจและวิเคราะห์การโจมตีได้ ส่งผลให้สามารถรับมือกับการโจมตีได้ดียิ่งขึ้นโดยหมวดหมู่ทั้งหมดจะมีทั้งสิ้น 14 หมวดหมู่แต่จะยกมาให้ทำความรู้จักทั้งสิ้น 5 หมวดหมู่ได้แก่

1.Reconnaissance เป็นหมวดหมู่เกี่ยวกับสอดแนมข้อมูลเป้าหมาย เช่น โครงสร้างองค์กร บุคคล ระบบโดยจะยังไม่ทำการโจมตีใดๆเพียงแต่เก็บข้อมูลเท่านั้น

2.Initial Access เป็นหมวดหมู่ที่ผู้โจมตีเริ่มเข้าสู่ระบบของเหยื่อได้โดยการโจมตี เช่น ส่งอีเมล Phishing หรือเจาะช่องโหว่ของระบบที่มีความล้าหลังทำให้เขายึดครองเครื่องได้

3.Persistence เป็นการแฝงตัวให้คงอยู่ในระบบนั่นคือต่อให้มีการปิด เปิดเครื่องใหม่ก็ตามก็จะยังแอบอยู่ภายในระบบนั้นๆได้ทุกครั้งที่ทำการเปิดเครื่องใหม่

4.Privilege Escalation เป็นกระบวนการยกระดับสิทธิ์ของเราให้สูงขึ้นในระบบของเหยื่อ เช่นเราแฝงตัวในเครื่องได้แล้วแต่มีความสามารถเทียบเท่ากับผู้ใช้งานธรรมดาเราจะทำการหาช่องทางต่างๆเช่นการโจมตีด้วยช่องโหว่เพื่อเพิ่มสิทธิ์ให้เป็นผู้ดูแลระบบเป็นต้น

5.Impact การสร้างผลกระทบให้กับระบบ เช่น เราได้ขโมยข้อมูลจากเหยื่อเรียบร้อยแล้วจากนั้นเราลบข้อมูลทิ้งเพื่อให้ระบบเกิดความผิดพลาดในการทำงาน

โดยการโจมตีของ APT นั้นเกิดจากการใช้งานหมวดหมู่ต่างๆของ MITRE เข้าด้วยกันทำให้ได้ผลลัพธ์ของการโจมตีที่มีประสิทธิภาพมากขึ้น

แนวทางการป้องกัน APT

1.การใช้นโยบาย Zero Trust และ Least Privilege

ไม่เชื่อถือผู้ใช้งานทุกคนที่เข้ามาใช้งานทันทีและมีการจำกัดสิทธิ์การเข้าถึง และใช้ Multi-Factor Authentication (MFA) เข้ามาช่วยในการยืนยันตัวตนเพิ่มขึ้น

2.Patch Management และ Vulnerability Scanning

มีการอัปเดตแพตช์อย่างสม่ำเสมอเพื่อไม่ให้ใช้เครื่องมือที่ล้าหลังส่งผลให้มีช่องโหว่ที่จะเข้ามาควบคุมระบบของเราได้พร้อมทั้งใช้เครื่องมือสแกนช่องโหว่อย่างสม่ำเสมอเมื่อพบจะต้องตอบสนองอย่างรวดเร็วก่อนที่จะส่งผลเสียต่อระบบเป็นวงกว้าง

3.Behavioral Analytics และ SIEM

ทำการตรวจจับพฤติกรรมผู้ใช้ที่ผิดปกติ เช่น มีการส่งคำขอเข้ามาเป็นจำนวนมากจาก IP ซ้ำๆให้ทำการบล็อคการเข้าถึงและติดตั้ง IDS/IPS ตรวจจับพฤติกรรมผิดปกติแบบ Real Time

4.อบรมความรู้ด้านความปลอดภัย (Security Awareness)

ให้ความรู้พนักงานในองค์กรให้รู้ทันการโจมตีในรูปแบบต่างๆ และมีการฝึกซ้อมจำลองว่ามีการโจมตีเกิดขึ้นแล้วทีมงานจะต้องทำอย่างไรยกตัวอย่างเช่นการทำ Tabletop Exercise

5.แผนตอบสนองเหตุการณ์ (Incident Response Plan)

ในองค์กรจำเป็นต้องมีแผนรับมือกับเหตุการณ์ต่างๆที่เกิดขึ้นเช่นการวิเคราะห์สถานการณ์และการเก็บหลักฐานทางไซเบอร์ที่เกิดขึ้นและสามารถแจ้งเตือนหน่วยงานที่เกี่ยวข้องได้อย่างทันท่วงที

สรุป

Advanced Persistent Threat (APT) เป็นภัยคุกคามที่ร้ายแรงต่อองค์กรที่มีความสำคัญต่อเศรษฐกิจและประเทศ มีความซับซ้อน และดำเนินการโดยไม่ให้เหยื่อรู้ตัว การป้องกัน APT ต้องอาศัยหลายๆส่วนทั้งความรู้ความเข้าใจของพนักงานและการอัปเดตเครื่องมือที่ใช้งานอยู่อย่างสม่ำเสมอ

ผู้เขียนบทความนี้หวังว่าจะช่วยให้ผู้ที่เข้ามาอ่านทุกท่านมีความเข้าใจเกี่ยวกับ APT มากขึ้นและเห็นถึงความน่ากลัวที่เกิดขึ้นจากการโจมตีทางไซเบอร์

หากผู้ที่อ่านบทความมาถึงตรงนี้แล้วเกิดไม่แน่ใจว่าข้อมูลของเรานั้นปลอดภัยจริงหรือไม่ขอแนะนำ Personar เครื่องมือที่ช่วยตรวจสอบการรั่วไหลของข้อมูลบน Dark Web และแหล่งข้อมูลอื่นๆ หากมีข้อมูลของเราหลุดอยู่ก็จะสามารถรับมือได้ก่อนที่จะเกิดเหตุการณ์ที่ส่งผลกระทบต่อทรัพย์สินได้ในอนาคต โดยตอนนี้มีแคมเปญพิเศษที่เปิดให้ใช้งานฟรีตั้งแต่วันนี้ — 29 สิงหาคม 2568 ครับ

References:

https://www.wallarm.com/what/advanced-persistent-threat-apt?utm_source=chatgpt.com
 https://www.sentinelone.com/cybersecurity-101/threat-intelligence/advanced-persistent-threat-apt/?utm_source=chatgpt.com
 https://attack.mitre.org/ 
 https://attack.mitre.org/groups/G0050/

แชร์
Share this post on Facebook Share this post on Linked In
กลับไปด้านบน
  • Blog thumbnail

    อ่านต่อ
    • ตอนก่อนหน้า แนวคิดการพัฒนาระบบให้ปลอดภัยจากการโจมตีควรทำอย่างไรดี?
    ตอนถัดไป Shadow AI
  • Blog thumbnail

    อ่านต่อ

    • บทความที่เกี่ยวข้อง

    อัปเดตข้อมูลด้านไซเบอร์ ทุกสัปดาห์
    รับข่าวสารความรู้เชิงลึกเกี่ยวกับความปลอดภัยไซเบอร์จากดาต้าฟาร์มก่อนใคร

    ฟีเจอร์นี้จะเปิดให้ใช้งานเร็ว ๆ นี้ โปรดติดตาม

    ส่งสัปดาห์ละ 1 ครั้ง ไม่มีสแปม ยกเลิกการรับข่าวสารได้ทุกเมื่อ