FBI เตือน: Salt Typhoon ทำลาย "สามัญสำนึกในการสื่อสาร" ─ 200 บริษัทใน 80 ประเทศ: "ผู้บุกรุกที่เงียบ" Salt Typhoon เชื้อสายจีนวาดภาพโครงร่างการเฝ้าระวังทั่วโลก

FBI เตือน: Salt Typhoon ทำลาย "สามัญสำนึกในการสื่อสาร" ─ 200 บริษัทใน 80 ประเทศ: "ผู้บุกรุกที่เงียบ" Salt Typhoon เชื้อสายจีนวาดภาพโครงร่างการเฝ้าระวังทั่วโลก

2025年08月29日 12:16

1) สิ่งที่เกิดขึ้น: จาก 9 บริษัทสู่ "200 บริษัท"

วันที่ 27 สิงหาคม (เวลาสหรัฐอเมริกา) หัวหน้าฝ่ายไซเบอร์ของ FBI ได้ยืนยันว่าการบุกรุกโดย Salt Typhoon ในสหรัฐอเมริกาได้ถึง อย่างน้อย 200 บริษัท หลังจากที่มีการเปิดเผยการละเมิดในบริษัทใหญ่ด้านการสื่อสารและอินเทอร์เน็ตในสหรัฐอเมริกา 9 บริษัท เมื่อปีที่แล้ว เป้าหมายได้ขยายตัวในแนวราบและแนวตั้ง คำพูดนี้ถูกแชร์อย่างกว้างขวางผ่านรายงานของ TechCrunch และเป็นสัญลักษณ์ของการเปลี่ยนแปลงมุมมองของหน่วยงานสืบสวนไปสู่ "ภาคอุตสาหกรรมข้าม" TechCrunch


การประเมินนี้ได้รับการสนับสนุนจาก 13 ประเทศ (สหรัฐอเมริกา, อังกฤษ, ออสเตรเลีย, แคนาดา, นิวซีแลนด์, เยอรมนี, อิตาลี, ญี่ปุ่น, เนเธอร์แลนด์, ฟินแลนด์, เช็ก, โปแลนด์, สเปน) ที่ลงนามใน คำแนะนำทางไซเบอร์ร่วม เอกสารนี้สอดคล้องกับรายงานที่ชี้ให้เห็นว่ามีผลกระทบใน "ขนาด 80 ประเทศ" ตั้งแต่การสื่อสารไปจนถึงรัฐบาล การขนส่ง การพักแรม และการทหาร CISAThe Washington PostWall Street Journal


2) การละเมิดลึกแค่ไหน

ตามรายงานของหนังสือพิมพ์หลักในสหรัฐอเมริกา ปฏิบัติการนี้ได้ดำเนินมาตั้งแต่ ประมาณปี 2019 และอาจเข้าถึงข้อมูลที่เกี่ยวข้องกับ บันทึกการโทร หรือ ข้อมูลตำแหน่งบางส่วน รวมถึง ระบบสื่อสารที่ใช้บังคับกฎหมาย FBI ได้แจ้งเตือน ประมาณ 600 บริษัทและองค์กร และแจกจ่ายข้อมูลเทคนิคสำหรับการตรวจจับและการควบคุม Wall Street Journal


Salt Typhoon เป็นชื่อที่ Microsoft ใช้เรียก "กลุ่ม" การสอดแนมที่เกี่ยวข้องกับจีน ชื่ออื่นๆ เช่น OPERATOR PANDA, GhostEmperor, UNC5807/UNC2286, FamousSparrow ปรากฏในเอกสารและการสังเกตการณ์ของบริษัทและองค์กรต่างๆ CISAMicrosoft Learnvaronis.comtrustwave.com


3) พวกเขาเข้ามาได้อย่างไร: ประเด็นหลักของ TTP

เมื่อรวมคำแนะนำร่วมและการอธิบายทางเทคนิคจากสื่อต่างๆ จะสามารถสรุป TTP (ยุทธวิธี เทคนิค และขั้นตอน) ได้เป็น 3 ประเด็นหลักดังนี้

  • การใช้ประโยชน์จากช่องโหว่ที่รู้จักในอุปกรณ์ขอบเขต: เริ่มต้นจากจุดที่ยังไม่ได้ติดตั้งแพทช์ในเราเตอร์ VPN และไฟร์วอลล์ การซ่อนร่องรอยการเปลี่ยนแปลงการตั้งค่า และ การแก้ไขการส่งต่อบันทึก เพื่อยืดระยะเวลาการอยู่ในระบบ CISAThe Hacker News

  • การขโมยข้อมูลรับรองและการ "ประจำการ" ของอุปกรณ์: ดึงข้อมูลรับรองจากอุปกรณ์ และเพิ่ม สภาพแวดล้อมเสมือนหรือเครือข่ายท่อ เพื่อเชื่อมต่อกับ C2 ภายนอกอย่างลับๆ CISA

  • การเจาะจงข้อมูลการสื่อสาร: เข้าถึงข้อมูลเมตาของการโทรและการควบคุมในเครือข่ายเพื่อเลือกเป้าหมายที่มีค่าการสังเกตสูง Wall Street Journal

คำแนะนำเรียกร้องให้ยกระดับการตรวจสอบ IOC (ตัวชี้วัดการบุกรุก) และ กฎการตรวจจับ ในรูปแบบ JSON และอื่นๆ การตรวจสอบความสมบูรณ์ของเฟิร์มแวร์อุปกรณ์ และ การตรวจสอบความแตกต่างของการตั้งค่า เป็น "มาตรฐานการดำเนินงานต่อเนื่อง" CISA


4) ปฏิกิริยาบนโซเชียลมีเดีย: ความแตกต่างระหว่างสถานที่และความคิดเห็นของสาธารณชน

 


  • ทางการ FBI ได้กระตุ้นให้มีการอ้างอิงถึงคำแนะนำร่วมบน X และเรียกร้องให้ผู้ป้องกันเครือข่ายนำมาตรการเฉพาะเจาะจงมาใช้ โทนเสียงเป็นการยืนยันถึง "ภัยคุกคามที่ต่อเนื่อง" X (formerly Twitter)

  • นักข่าวด้านความปลอดภัย เน้นย้ำถึงขนาดของ **"200 บริษัทและ 80 ประเทศ"** เป็นสัญญาณที่สำคัญ และมีการแชร์บน Mastodon โดยมีการอ้างอิงถึงรายงานชุดของ Washington Post Mastodon hosted on mastodon.socialThe Washington Post

  • บัญชีทางการของสื่ออุตสาหกรรม รายงานว่า "Salt Typhoon ได้รับการจัดอันดับเป็น ภัยคุกคามสูงสุด ในคำแนะนำร่วมระหว่างประเทศ" และแนะนำการจัดการ CVE และ การเก็บรักษาบันทึกของอุปกรณ์ขอบเขต X (formerly Twitter)

บนโซเชียลมีเดีย "การส่งเสริมการใช้ข้อความ E2EE", "การทบทวนการยืนยันตัวตนที่พึ่งพาการโทรและ SMS", "การจัดการเวอร์ชันการตั้งค่าอุปกรณ์" เป็นสามประเด็นที่กลายเป็นเทรนด์ในเชิงปฏิบัติ ในทางตรงกันข้าม การปฏิเสธการมีส่วนร่วมของรัฐบาลจีนก็แพร่กระจายและมีลักษณะเป็นสงครามข้อมูล Reuters


5) ความหมายสำหรับญี่ปุ่น: การเป็น "ผู้มีส่วนได้ส่วนเสีย" ในแถลงการณ์ร่วม

ญี่ปุ่นเป็นหนึ่งใน ประเทศที่ลงนาม ในคำแนะนำร่วม และโครงสร้างพื้นฐานที่สำคัญในประเทศ (การสื่อสาร การขนส่ง การพักแรม สาธารณะ) เป็น "ผู้มีส่วนได้ส่วนเสีย" ในการดำเนินมาตรการ โดยเฉพาะอย่างยิ่ง

  • การตรวจสอบการตั้งค่าอุปกรณ์ขอบเขต (อุโมงค์ที่ไม่ได้ใช้หรือ NAT/ACL ที่น่าสงสัย)

  • การเก็บรักษาบันทึกอุปกรณ์ภายนอก (การส่งต่อ SIEM + การตรวจจับการแก้ไข)

  • การทำให้การดำเนินงานในสถานที่เป็นอัตโนมัติและมองเห็นได้ (ความแตกต่างของการกำหนดค่าและความสอดคล้องของเฟิร์มแวร์)
    ได้กลายเป็น "ฐาน" ที่ควรดำเนินการแม้จะมีค่าใช้จ่ายในการดำเนินงาน The Hacker NewsCISA


6) การดำเนินการที่สามารถทำได้ในขณะนี้ (สำหรับ CISO/ทีมปฏิบัติการ)

  1. การทำให้คำแนะนำเป็นงานประจำวันทันที: รับและใช้ IOC/กฎการตรวจจับของ AA25-239A และทำการล่าบันทึกใน 90 วันที่ผ่านมา CISA

  2. การตรวจสอบ "SBOM เต

← กลับไปที่รายการบทความ