ភ្នាក់ងារសន្តិសុខជាតិអាមេរិក (NSA) មជ្ឈមណ្ឌលសន្តិសុខសាយប័រជាតិអង់គ្លេស (NCSC) និងដៃគូមកពីប្រទេសជាច្រើនបានភ្ជាប់យុទ្ធនាការហេគជាសកលរបស់ក្រុម Salt Typhoon ទៅនឹងក្រុមហ៊ុនបច្ចេកវិទ្យាដែលមានមូលដ្ឋាននៅប្រទេសចិន។
យោងតាមការណែនាំរួម [NSA, NCSC] បានឱ្យដឹងថា ក្រុមហ៊ុនបច្ចេកវិទ្យាណិតវើក Sichuan Juxinhe ក្រុមហ៊ុនបច្ចេកវិទ្យាព័ត៌មាន Huanyu Tianqiong និងក្រុមហ៊ុនបច្ចេកវិទ្យាណិតវើក Sichuan Zhixin Ruijie បានផ្តល់ផលិតផល និងសេវាសាយប័រទៅឱ្យក្រសួងសន្តិសុខរដ្ឋចិន និងកងទ័ររំដោះប្រជាជនចិនបើកយុទ្ធនាការឈ្លបយកការណ៍សាយប័រតាមដានក្រុម Salt Typhoon។ តាំងពីឆ្នាំ២០២១មក ហេគឃ័រចិនបានបំពានលើរដ្ឋាភិបាល ក្រុមហ៊ុនទូរគមនាគមន៍ ការដឹកជញ្ជូន កន្លែងស្នាក់នៅ និងណិតវើកយោធាទូទាំងពិភពលោក ដោយលួចទិន្នន័យដែលត្រូវបានប្រើសម្រាប់តាមដានសហគមន៍គោលដៅ និងចលនារបស់គោលដៅនៅទូទាំងសកលលោក។
ជាពិសេស ក្នុងរយៈពេលពីរបីឆ្នាំមកនេះ ក្រុម Salt Typhoon បានវាយប្រហាររួមគ្នាលើក្រុមហ៊ុនទូរគមនាគមន៍ ដើម្បីឈ្លបយកការណ៍លើទំនាក់ទំនងឯកជនរបស់បុគ្គលទូទាំងពិភពលោក។
ការកំណត់គោលដៅលើឧបករណ៍ណិតវើក៖ ការណែនាំរួមមួយដោយភ្នាក់ងារសាយប័រ និងស៊ើបការណ៍ទាំង១៣ប្រទេសបានព្រមានថា ហេគឃ័រទទួលបានជោគជ័យគួរឱ្យកត់សម្គាល់ ដោយកេងចំណេញលើបញ្ហាដែលគេស្គាល់យ៉ាងទូលំទូលាយ និងដោះស្រាយបញ្ហានៅលើឧបករណ៍ណិតវើកចុងក្រោយជាជាងពឹងផ្អែកលើបញ្ហា Zero-days។ ភាពងាយរងគ្រោះទាំងនោះរួមមាន៖
- CVE-2025-21887 (ការចាក់បញ្ចូល Ivanti Connect Secure Command)
- CVE-2024-3400 (Palo Alto PAN-OS GlobalProtect RCE)
- CVE-2023-20273 និង CVE-2023-20198 (ឆ្លងកាត់ការផ្ទៀងផ្ទាត់ Cisco IOS XE និងការជំរុញសិទ្ធិពិសេស)
- CVE-2018-0171 (Cisco Smart Install RCE)
ការប្រើកំហុសទាំងនេះ ហេគឃ័រអាចបង្កើនដំណើរការចូលទៅ Rout និងឧបករណ៍ណិតវើក ដែលអនុញ្ញាតឱ្យពួកគេអាចកែប្រែបញ្ជីគ្រប់គ្រងដំណើរការ, បើក SSH នៅលើផតមិនមានស្តង់ដារ, បង្កើតផ្លូវ GRE/IPsec Tunnels និងកេងចំណេញលើ Cisco Guest Shell Containers ដើម្បីថែរក្សាវត្តមាន។ យោងតាមរបាយការណ៍រួមបានឱ្យដឹងទៀតថា ហេគឃ័រ APT ប្រហែលជាមានគោលដៅលើឧបករណ៍ឈានមុខ ដោយមិនគិតពីអ្នកដែលជាម្ចាស់ឧបករណ៍ជាក់លាក់ណាមួយនោះទេ។
ឧបករណ៍ដែលគ្រប់គ្រងដោយអង្គភាពដែលមិនស្របតាមចំណាប់អារម្មណ៍គោលដៅស្នូលរបស់ហេគឃ័រប្រហែលជាអាចប្រើប្រាស់ជាផ្លូវវាយប្រហារចូលទៅកាន់គោលដៅដែលចាប់អារម្មណ៍។ ហេគឃ័រប្រើឧបករណ៍ដែលបានគ្រប់គ្រង (Compromised) និងតភ្ជាប់ដែលទុកចិត្ត ឬភ្ជាប់ទំនាក់ទំនងឯកជន (ភ្ជាប់អ្នកផ្តល់សេវាទៅអ្នកផ្តល់សេវា ឬអ្នកផ្តល់សេវាទៅអតិថិជន) ដើម្បីបង្វែរចូលទៅក្នុងណិតវើកផ្សេងទៀត។ ពួកគេក៏បានប្រមូលកញ្ចប់នៃចរាចរណ៍ផ្ទៀងផ្ទាត់ នាំជនរងគ្រោះទៅកាន់ TACACS+ និងដាក់ពង្រាយធូល Golang-based ផ្ទាល់ខ្លួន (“cmd1, cmd3, new2 និង sft”) ដើម្បីត្រួតពិនិត្យចរាចរណ៍ និងលួចទិន្នន័យ។ ដោយសារភាពងាយរងគ្រោះត្រូវបានដោះស្រាយ ទាំង NCSC និង NSA បានបញ្ចុះបញ្ចូលឱ្យស្ថាប័នផ្តល់អាទិភាពដល់ឧបករណ៍ដែល Patch បន្ទាប់មក Hardening Device Configuration, ត្រួតពិនិត្យសម្រាប់ការផ្លាស់ប្តូរដែលគ្មានការអនុញ្ញាត និងបិទសេវាកម្មដែលមិនប្រើ។ ភ្នាក់ងារក៏បានណែនាំឱ្យ Admins រឹតបន្តឹងសេវាគ្រប់គ្រងដែលចែកចាយណិតវើក អនុវត្ត Protocol សុវត្ថិភាពដូចជា SSHv2, SNMPv3 និងបិទ Cisco Smart Install រួមទាំង Guest Shell ដែលមិនត្រូវការ។ ភ្នាក់ងារ CISA បានព្រមានថា អ្នកគ្រប់គ្រងគួរបិទមុខងារ Cisco Smart Install (SMI) ស្របច្បាប់ បន្ទាប់ពីសង្កេតឃើញថាកំពុងតែត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារដោយហេគឃ័រចិន និងរុស្ស៊ី។ អ្នកគ្រប់គ្រង (Admins) ក៏ត្រូវបានណែនាំឱ្យស្វែងរកសញ្ញានៃការគ្រប់គ្រង (Compromise) ដោយសារយុទ្ធនាការប្រើភាពទន់ខ្សោយមានច្រើនជាជាងប្រើ Zero-days។
សកម្មភាពពីអតីតកាលរបស់ក្រុម Salt Typhoon៖ ការណែនាំថ្មីនេះធ្វើឡើងក្រោយការវាយប្រហារ Salt Typhoon ប្រឆាំងនឹងក្រុមហ៊ុនទូរគមនាគន៍ និងស្ថាប័នរដ្ឋាភិបាល។ ក្រុមនេះពីមុនបានបំពានលើក្រុមហ៊ុនដឹកជញ្ជូនអាមេរិកធំៗដូចជា AT&T, Verizon និង Lumen ដោយបង្កើនដំណើរការតាមរយៈទំនាក់ទំនងរស៊ើបដូចជា សារអត្ថបទ សារសម្លេង និងសូម្បីតែប្រព័ន្ធទំនាក់ទំនង Wiretap របស់អ្នកអនុវត្តច្បាប់អាមេរិក។ ការបំពានទាំងនេះបានបណ្តាលឱ្យ FCC បញ្ជាឱ្យក្រុមហ៊ុន Telecoms ធានាសុវត្ថិភាពដល់ណិតវើករបស់ពួកគេ ក្រោមជំនួយទំនាក់ទំនងសម្រាប់ការអនុវត្តច្បាប់ (CALEA) និង Submit វិញ្ញាបនបត្រប្រចាំឆ្នាំ ដែលបញ្ជាក់ថា ពួកគេបានធ្វើបច្ចុប្បន្នភាពផែនការគ្រប់គ្រងហានិភ័យសន្តិសុខសាយប័រ។ ក្រុម Salt Typhoon ក៏បានកេងចំណេញលើភាពងាយរងគ្រោះ Cisco IOS XE ដែលមិនបាន Patch ដើម្បីជ្រៀតចូលក្រុមហ៊ុន Telecoms អាមេរិក និងកាណាដា ដែលជាទីតាំងពួកគេបានបង្កើត GRE Tunnels សម្រាប់ដំណើរការជាប់លាប់ និងលួចទិន្នន័យ Configuration។ ហេគឃ័របានប្រើមេរោគផ្ទាល់ខ្លួនដែលគេស្គាល់ថា JumbledPath ដើម្បីតាមដាន និងចាប់យកចរាចរណ៍ពីណិតវើកទូរគមនាគមន៍។ ជាងនេះទៀត ដើម្បីបំពានលើក្រុមហ៊ុន Telecom ក្រុម Salt Typhoon បានភ្ជាប់ទៅការបំពានរយៈពេល ៩ខែមួយរបស់ណិតវើក Army National Guard អាមេរិកនៅឆ្នាំ២០២៤ នៅអំឡុងពេលដែលពួកគេបានលួច Configuration Files និងអត្តសញ្ញាណអ្នកគ្រប់គ្រង (Admins) ដែលអាចត្រូវបានប្រើសម្រាប់គ្រប់គ្រងណិតវើករដ្ឋាភិបាលផ្សេង។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៧ ខែសីហា ឆ្នាំ២០២៥
