AI ช่วยแฮกได้จริง แฮกเกอร์ใช้ ChatGPT และ Claude โจมตีระบบน้ำประปาเม็กซิโก
เกิดเหตุการณ์การโจมตีระบบควบคุมน้ำและบำบัดน้ำเสียของหน่วยงานท้องถิ่นในเม็กซิโก โดยมีการเปิดเผยผลวิเคราะห์เหตุโจมตีไซเบอร์ที่เกิดขึ้น โดยพบว่า ผู้โจมตีใช้ทั้ง Claude และ ChatGPT เป็นเครื่องมือช่วยในการเจาะระบบ
เหตุการณ์นี้ถือเป็นหนึ่งในตัวอย่างจริงที่แสดงให้เห็นว่า AI สามารถถูกนำมาใช้ช่วยโจมตีโครงสร้างพื้นฐานสำคัญได้ แม้ที่ผ่านมาเรื่อง “AI โจมตีไซเบอร์อัตโนมัติ” มักถูกมองว่าเป็นความกังวลที่เกินจริงก็ตาม
Dragos ระบุว่า AI ถูกใช้เพื่อช่วยวิเคราะห์ระบบ ค้นหาจุดเชื่อมต่อเข้าสู่เครือข่าย OT หรือ Operational Technology และช่วยออกแบบแนวทางโจมตี แม้ว่าความพยายามในการเจาะระบบสำคัญจะไม่ประสบความสำเร็จก็ตาม
เป้าหมายในการโจมตีครั้งนี้คือ Servicios de Agua y Drenaje de Monterrey หน่วยงานดูแลระบบน้ำและระบายน้ำของเมือง Monterrey ซึ่งเป็นหนึ่งใน 9 หน่วยงานภาครัฐของเม็กซิโกที่ถูกเจาะระบบระหว่างเดือนธันวาคม 2025 ถึงกุมภาพันธ์ 2026
ก่อนหน้านี้ นักวิจัยจาก Gambit Security เป็นผู้เปิดเผยแคมเปญโจมตีดังกล่าว หลังตรวจพบหลักฐานดิจิทัลจำนวนมากบนเซิร์ฟเวอร์เสมือนที่ผู้โจมตีใช้
AI ชี้เป้า “ระบบ OT” ให้แฮกเกอร์
รายงานของ Dragos ระบุว่า ในช่วงแรก ผู้โจมตีดูเหมือนมุ่งเน้นไปที่การขโมยข้อมูลจากระบบ IT ทั่วไปเท่านั้น แต่สถานการณ์เปลี่ยนไปเมื่อ Claude ตรวจพบระบบ OT ภายในเครือข่าย และระบุว่ามันเป็น “ทรัพย์สินสำคัญระดับสูง” หรือ Crown Jewel ขององค์กร
ระบบที่ถูกพบคือ vNode Industrial Gateway ซึ่งเป็นอินเทอร์เฟซสำหรับตรวจสอบและควบคุมกระบวนการอุตสาหกรรมผ่านเว็บ โดยทำหน้าที่เป็นตัวกลางเชื่อมระหว่างระบบ OT กับเครือข่าย IT ขององค์กร
หลังจาก Claude ระบุว่า vNode เป็นเป้าหมายสำคัญ ผู้โจมตีก็เริ่มสั่งให้ AI ช่วยวิเคราะห์และออกแบบการโจมตีต่อทันที
AI ได้ช่วยสร้างแนวทางโจมตีแบบ Password Spray ซึ่งเป็นการลองรหัสผ่านจำนวนมากกับบัญชีผู้ใช้หลายบัญชี แต่สุดท้ายการโจมตีก็ล้มเหลว แม้ว่าผู้โจมตีจะใช้ชุดรหัสผ่านที่ถูกออกแบบมาเฉพาะ ทั้งรหัสผ่านเริ่มต้น ชื่อบัญชีที่อิงกับองค์กร รวมถึงข้อมูล Credential ที่ขโมยมาจากหน่วยงานอื่นก่อนหน้า
นักวิจัยมองว่า ความล้มเหลวนี้สะท้อนว่าระบบเป้าหมายมีการจัดการรหัสผ่านที่ค่อนข้างดี และต่อให้เจาะ vNode สำเร็จ ก็อาจยังไม่สามารถเข้าถึงระบบ OT จริงได้ หากมีการแยกเครือข่ายอย่างเหมาะสม
รายงานอธิบายว่า การติดตั้ง vNode โดยทั่วไปมักใช้สถาปัตยกรรมแบบ “Store & Forward” ที่แยกระบบ OT ออกจากเครือข่าย IT ผ่านโซน DMZ ทำให้ลดโอกาสที่ผู้โจมตีจะข้ามเข้าไปยังระบบควบคุมจริงได้โดยตรง
AI ช่วย “เร่ง” การโจมตี แต่ยังไม่ได้เก่งอย่างที่หลายคนกลัว
แม้ AI จะช่วยลดเวลาในการวิเคราะห์ระบบและช่วยให้ผู้โจมตีที่ไม่มีความรู้เฉพาะด้าน OT มาก่อน สามารถเริ่มโจมตีระบบอุตสาหกรรมได้เร็วขึ้น แต่ Dragos ระบุว่า เครื่องมือที่ AI สร้างขึ้นยังไม่ได้มีความสามารถใหม่ที่เหนือชั้นอย่างที่หลายคนกังวล
สิ่งที่ AI ทำได้จริงในเหตุการณ์นี้ คือช่วยเร่งกระบวนการวิเคราะห์สภาพแวดล้อม ค้นหาเส้นทางเข้าสู่ระบบ OT และช่วยสร้างเครื่องมือโจมตีจากเทคนิคที่เปิดเผยอยู่แล้วบนอินเทอร์เน็ต
นักวิจัยยังพบว่า เครื่องมือที่ AI สร้างขึ้นมีการ “ทิ้งร่องรอยชัดเจน” หรือสร้างกิจกรรมผิดปกติจำนวนมากในระบบ และมีแนวโน้มจะทำงานได้ก็ต่อเมื่อเป้าหมายมีมาตรการรักษาความปลอดภัยที่อ่อนแอหรือเปิดช่องโหว่พื้นฐานเอาไว้
Marcus Sachs รองประธานอาวุโสและหัวหน้าวิศวกรของ Center for Internet Security มองว่า ข้อค้นพบครั้งนี้สะท้อนให้เห็นถึงความสำคัญของมาตรการป้องกันพื้นฐานและการรักษา Cyber Hygiene ที่ดี
เขาระบุว่า องค์กรไม่ได้จำเป็นต้องมีระบบ AI ป้องกันขั้นสูงเสมอไป เพราะแนวทางรักษาความปลอดภัยพื้นฐานที่ทำอย่างสม่ำเสมอ ก็ยังคงมีประสิทธิภาพสูง แม้ผู้โจมตีจะเริ่มใช้ AI มากขึ้นก็ตาม