กลุ่มแฮกเกอร์โยงรัฐบาลจีน ใช้ Zero-Day ใน Dell ฝังรหัสผ่านลับ เจาะองค์กรสหรัฐฯ นานหลายเดือนก่อนมีแพทช์

มีการตรวจพบว่ากลุ่มแฮกเกอร์ที่เกี่ยวข้องกับรัฐบาลจีน กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในซอฟต์แวร์ของ Dell มาอย่างต่อเนื่องตั้งแต่กลางปี 67 โดยที่เหยื่อจำนวนมากไม่รู้ตัว ช่องโหว่ดังกล่าวอยู่ในระบบ Dell RecoverPoint for Virtual Machines เพื่อเจาะเครือข่ายองค์กรเป้าหมาย โดยส่วนใหญ่อยู่ในสหรัฐฯ

ช่องโหว่ดังกล่าวถูกระบุเป็น CVE-2026-22769 มีลักษณะเป็นการฝังรหัสผ่านไว้ในซอฟต์แวร์ (hardcoded credential) ทำให้แฮกเกอร์เข้าถึงระบบได้โดยไม่ต้องผ่านขั้นตอนยืนยันตัวตน จุดอ่อนนี้ถูกใช้จริงก่อนที่ผู้ผลิตอย่าง Dell จะออกแพทช์แก้ไข ส่งผลให้แฮกเกอร์สามารถแทรกซึมเข้าไปติดตั้งมัลแวร์ฝังตัว (backdoor) เพื่อควบคุมระบบและเคลื่อนไหวภายในเครือข่ายได้ระยะยาว

หลังจากเจาะระบบสำเร็จ แฮกเกอร์ได้ติดตั้งมัลแวร์หลายตัว เช่น Brickstorm และ Grimbolt เพื่อเปิดช่องทางควบคุมเครื่องจากระยะไกล พร้อมใช้เทคนิคที่เรียกว่า “Ghost NICs” หรือการสร้างการ์ดเครือข่ายเสมือนแฝงในเครื่อง VM เพื่อซ่อนการสื่อสารและหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย

แม้จำนวนองค์กรที่ยืนยันว่าถูกโจมตีจะยังไม่ถึง 12 แห่ง แต่ผู้เชี่ยวชาญเตือนว่าขอบเขตความเสียหายที่แท้จริงอาจกว้างกว่านั้น เพราะการโจมตีดำเนินมาหลายเดือนก่อนถูกเปิดเผย ซึ่งปัจจุบัน Dell ได้ออกแพทช์แก้ไขแล้ว และแนะนำให้องค์กรที่ใช้งานระบบดังกล่าวเร่งอัปเดตทันที พร้อมตรวจสอบร่องรอยมัลแวร์และความผิดปกติในระบบอย่างละเอียด

ที่มา : The Register