แฮกเกอร์เจาะเซิร์ฟเวอร์ ArcGIS สร้าง Backdoor เจาะเข้าองค์กรนานเป็นปี
ผู้ใช้ระบบซอฟท์แวร์แผนที่ ArcGIS ของ Esri ต้องเผชิญความเสี่ยง เมื่อนักวิจัยด้านความปลอดภัยจาก ReliaQuest ได้เปิดเผยเทคนิคการโจมตีที่น่าสนใจของ Flax Typhoon กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งใช้ซอฟต์แวร์แผนที่ชื่อดังอย่าง ArcGIS เป็นเครื่องมือในการสร้าง Backdoor และแฝงตัวอยู่ในระบบของเหยื่อนานกว่าหนึ่งปีโดยไม่มีใครสังเกตเห็น
ความน่าสนใจของการโจมตีครั้งนี้คือ แฮกเกอร์ไม่ได้ใช้มัลแวร์แบบดั้งเดิมที่สามารถตรวจจับได้ด้วยโปรแกรมแอนติไวรัสทั่วไป แต่กลับใช้วิธี “Living off the Land” คือการใช้เครื่องมือหรือฟังก์ชันที่มีอยู่แล้วในระบบของเหยื่อในการโจมตี
การโจมตี ArcGIS จึงไม่ใช่แค่การเจาะระบบแผนที่ แต่เป็นการใช้แอปพลิเคชันที่ดูน่าเชื่อถือและเปิดสู่สาธารณะเป็น จุดเริ่มต้นที่เงียบเชียบ เพื่อแทรกซึมเข้าไปยังหัวใจของเครือข่ายองค์กร ซึ่งเป็นกลยุทธ์ที่อันตรายและตรวจจับได้ยากมาก
ซ่อนตัวในฟีเจอร์ของโปรแกรมอย่างแนบเนียน
กลุ่ม Flax Typhoon ได้เข้าไปแก้ไขส่วนขยายที่ถูกต้องตามกฎหมายของ ArcGIS ที่เรียกว่า Server Object Extension (SOE) ให้ทำหน้าที่เสมือนเป็น Web Shell ซึ่งเปิดทางให้แฮกเกอร์สามารถส่งคำสั่งจากระยะไกลเข้ามายังเซิร์ฟเวอร์ได้ พวกเขาใช้วิธีส่งคำสั่งที่เข้ารหัสแบบ Base64 ผ่าน REST API และมีการใช้กุญแจลับ (Secret Key) ที่ฝังไว้ ทำให้มีเพียงแฮกเกอร์กลุ่มนี้เท่านั้นที่สามารถสื่อสารกับ Backdoor ดังกล่าวได้
การโจมตีเริ่มต้นจากการที่แฮกเกอร์สามารถเข้าถึงบัญชีผู้ดูแลระบบ (Administrator) ได้ ทำให้สามารถติดตั้งส่วนขยาย SOE ที่เป็นอันตรายนี้เข้าไปในระบบได้อย่างแนบเนียน และทำให้กิจกรรมของแฮกเกอร์ดูกลมกลืนไปกับการทำงานปกติของระบบ
กับดักในแผนสำรองข้อมูล
จุดที่ทำให้การโจมตีครั้งนี้อันตรายอย่างยิ่งคือ เมื่อองค์กรเหยื่อพยายามกู้คืนระบบจากไฟล์สำรองข้อมูล (Backup) พวกเขากลับกลายเป็นการติดตั้ง Backdoor ที่แฮกเกอร์ฝังไว้กลับเข้าไปในระบบด้วยตัวเองโดยไม่รู้ตัว นักวิจัยจาก ReliaQuest ระบุว่า “กลยุทธ์นี้เปลี่ยนเครือข่ายความปลอดภัยให้กลายเป็นความเสี่ยง เพราะไฟล์ Backup อาจกลายเป็นอีกหนึ่งช่องทางของการติดเชื้อซ้ำได้”
เบื้องหลังกลุ่ม Flax Typhoon
ข้อมูลระบุว่า Flax Typhoon เป็นกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับรัฐบาลจีน และมีพฤติกรรมเน้นการใช้เทคนิค “Living off the Land” เพื่อแฝงตัวอยู่ในระบบเป้าหมายให้ได้นานที่สุดโดยไม่ให้ถูกตรวจจับ ก่อนหน้านี้ FBI เคยเปิดโปงเครือข่าย Botnet ที่ควบคุมโดยกลุ่มนี้ และทางการสหรัฐฯ ยังได้คว่ำบาตรบริษัท Integrity Technology Group ซึ่งเชื่อว่ามีส่วนเกี่ยวข้องกับการสนับสนุนปฏิบัติการของ Flax Typhoon อีกด้วย
การตอบสนองจาก ESRI และแนวทางรับมือ
เนื่องจากลักษณะการโจมตีไม่ได้เกิดจากช่องโหว่ในตัวซอฟต์แวร์เอง แต่เป็นการใช้ฟังก์ชันที่ถูกต้องตามกฎหมายในทางที่ผิด อย่างไรก็ตาม Esri ผู้พัฒนา ArcGIS ได้รับทราบถึงกรณีนี้แล้ว และได้ทำงานร่วมกับนักวิจัยเพื่อวิเคราะห์การโจมตี ซึ่งถือเป็นครั้งแรกที่มีการบันทึกว่ามีการใช้ SOE ในลักษณะที่เป็นอันตรายเช่นนี้
แม้จะยังไม่มีแพตช์โดยตรงสำหรับกรณีนี้ แต่ Esri ได้แนะนำแนวทางปฏิบัติและการป้องกันหลายอย่างเพื่อลดความเสี่ยงจากการโจมตีในลักษณะคล้ายกัน รวมถึงมีแพตช์สำหรับช่องโหว่อื่นๆ ที่เกี่ยวข้อง ดังนี้:
- การป้องกันการเข้าถึงบัญชีผู้ดูแล: การโจมตีนี้เริ่มต้นได้เพราะแฮกเกอร์สามารถเข้าถึงบัญชีผู้ดูแลระบบ (Administrator) ได้ ดังนั้นการป้องกันบัญชีที่มีสิทธิ์สูงจึงเป็นสิ่งสำคัญที่สุด เช่น การใช้รหัสผ่านที่ซับซ้อน, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) และการจำกัดสิทธิ์การเข้าถึงตามหลักการ “Least Privilege”
- ติดตั้งระบบใหม่ (Rebuild): ในกรณีของเหยื่อที่ถูกโจมตี วิธีการแก้ไขคือการสร้างเซิร์ฟเวอร์ทั้งหมดขึ้นมาใหม่ เพื่อให้แน่ใจว่าไม่มี Backdoor หลงเหลืออยู่
- การตรวจสอบไฟล์สำรองข้อมูล (Backup): เหตุการณ์นี้ชี้ให้เห็นว่าไฟล์ Backup อาจกลายเป็นช่องทางให้แฮกเกอร์กลับเข้ามาในระบบได้อีกครั้ง องค์กรจึงควรมีกระบวนการตรวจสอบความปลอดภัยของไฟล์ Backup ก่อนนำมาใช้งาน
- อัปเดตแพตช์ความปลอดภัยอื่นๆ: Esri ได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่อื่นๆ อยู่เสมอ แม้จะไม่เกี่ยวข้องกับการโจมตีด้วย SOE โดยตรง แต่การอัปเดตอย่างสม่ำเสมอก็ช่วยลดความเสี่ยงโดยรวมได้
- Portal for ArcGIS Security 2025 Update 3: แพตช์ที่ออกมาเมื่อวันที่ 15 กันยายน 2025 เพื่อแก้ไขช่องโหว่ระดับกลาง 9 รายการ
- ArcGIS Server Feature Services Security Patch: แพตช์ที่ออกมาเมื่อวันที่ 7 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่ SQL Injection ที่มีความรุนแรงระดับวิกฤต