บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ Cloudflare ออกคำเตือนอย่างชัดเจนเกี่ยวกับภัยคุกคามที่ทวีความรุนแรงขึ้นที่องค์กรสื่ออิสระทั่วโลกต้องเผชิญ โดยเปิดเผยว่านักข่าว และสำนักข่าวต่าง ๆ ได้กลายเป็นเป้าหมายหลักของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่มีความซับซ้อน
รายงานครบรอบ 11 ปี Project Galileo ล่าสุดของบริษัทฯ เปิดเผยว่า การโจมตีทางไซเบอร์ต่อองค์กรสื่อได้เพิ่มขึ้นอย่างมาก โดยมีการบล็อก requests ที่เป็นอันตรายกว่า 97 พันล้านรายการในองค์กรข่าวต่าง ๆ 315 แห่ง ระหว่างเดือนพฤษภาคม 2024 ถึงเดือนมีนาคม 2025
การโจมตีเหล่านี้สะท้อนถึงการเปลี่ยนแปลงที่น่ากังวลในกลวิธีที่ใช้เพื่อปิดปากสื่ออิสระ โดยเฉพาะการกำหนดเป้าหมายไปที่สำนักข่าวเชิงสืบสวนที่ดำเนินงานในพื้นที่ซึ่งอยู่ภายใต้แรงกดดันจากรัฐบาล เช่น รัสเซีย และเบลารุส
ต่างจากแคมเปญมัลแวร์แบบเดิมที่อาศัยการแทรกซึมระบบผ่านไฟล์ที่ติดมัลแวร์ หรืออีเมลฟิชชิ่ง การโจมตีแบบ DDoS เหล่านี้จะโจมตีเว็บไซต์ข่าวด้วยปริมาณการเข้าชมมหาศาล ทำให้ไม่สามารถเข้าถึงได้โดยผู้อ่านที่แท้จริง และส่งผลกระทบในการรายงานข่าว
ขนาดของการโจมตีในครั้งนี้ถือว่ารุนแรงอย่างที่ไม่เคยเกิดขึ้นมาก่อน โดย Cloudflare ตรวจพบ และบล็อกภัยคุกคามไซเบอร์เฉลี่ยวันละ 325.2 ล้านรายการ ซึ่งเพิ่มขึ้นถึง 241% จากปีก่อน
นักวิเคราะห์ของ Cloudflare ระบุว่า จุดสูงสุดของการโจมตีในรูปแบบนี้เกิดขึ้นเมื่อวันที่ 28 กันยายน 2024 ซึ่งเป็นวันที่ผู้โจมตีเปิดปฏิบัติการครั้งใหญ่ที่สุดต่อองค์กรสื่อ
นักวิจัยสังเกตว่า การโจมตีเหล่านี้ใช้เทคนิค DDoS ใน Layer 7 ระดับแอปพลิเคชัน ซึ่งเป็นการโจมตีที่เน้นทรัพยากรของแอปพลิเคชัน โดยคิดเป็น 92.88% ของปริมาณการรับส่งข้อมูลที่ถูก mitigated เมื่อเทียบกับเพียง 5.93% ของการโจมตีที่พยายามเจาะช่องโหว่ของเว็บแอปพลิเคชันผ่าน Web Application Firewall
ความซับซ้อน และการประสานงานของการโจมตีเหล่านี้ยิ่งชัดเจนมากขึ้นในกรณีของ Belarusian Investigative Center ซึ่งเป็นสำนักข่าวอิสระที่ไม่แสวงหาผลกำไรที่อุทิศตนเพื่อเปิดโปงการทุจริต และต่อต้านข่าวปลอมจากระบอบเผด็จการ
องค์กรนี้ได้สมัครเข้าร่วมโครงการ Project Galileo เพื่อขอความคุ้มครองเมื่อวันที่ 27 กันยายน 2024 ขณะที่กำลังถูกโจมตีอยู่ และต่อมาก็เผชิญกับการโจมตีแบบ DDoS ครั้งใหญ่ ที่สร้าง requests มากกว่า 28 พันล้าน requests ในวันเดียว
การโจมตีครั้งนี้แสดงให้เห็นถึงความสามารถของผู้โจมตีในการดำเนินแคมเปญต่อเนื่องเป็นเวลานาน โดยกินเวลาทั้งหมด 4 วัน พร้อมกับ requests เฉลี่ย 320,000 requests ต่อวินาที
กลไกการโจมตี DDoS และเทคนิคการหลบหลีก
การวิเคราะห์ทางเทคนิคของการโจมตีเหล่านี้ เผยให้เห็นวิวัฒนาการที่น่ากังวลในวิธีการ DDoS ที่ออกแบบมาโดยเฉพาะสำหรับองค์กรสื่อ ซึ่งแตกต่างจากการโจมตีแบบ Volumetric ทั่วไปที่เน้นโจมตีโครงสร้างพื้นฐานของเครือข่าย การโจมตีครั้งนี้ใช้เทคนิค HTTP flood ใน Layer 7 อย่างซับซ้อน เลียนแบบพฤติกรรมผู้ใช้งานจริง เพื่อให้ระบบแอปพลิเคชันล่ม
ผู้โจมตีใช้รูปแบบที่ต้านทานต่อระบบตรวจจับที่ใช้ Machine Learning โดยพยายาม bypass การตรวจจับพฤติกรรมของ Cloudflare โดยกระจาย requests ไปยัง IP Adress ต้นทางหลายที่ และปรับช่วงเวลาการส่ง requests ให้ดูเป็นธรรมชาติมากยิ่งขึ้น
Attack Vector ในครั้งนี้มุ่งเป้าไปที่ความผิดปกติของ HTTP เป็นหลัก โดยคิดเป็น 41.71% ของการ mitigations ที่เกิดจาก Web Application Firewall ซึ่งผู้โจมตีตั้งใจส่ง requests ที่ผิดรูปแบบ เช่น ไม่มี header ที่จำเป็น ใช้วิธีการ requests ที่ไม่รองรับ หรือมีการเข้ารหัสที่ไม่ถูกต้อง
เทคนิคนี้มีจุดประสงค์สองประการ คือ ทำให้เซิร์ฟเวอร์ใช้ทรัพยากรมากขึ้น และในขณะเดียวกันก็ทำการตรวจสอบเพื่อค้นหาช่องโหว่ในแอปพลิเคชันที่อาจนำไปใช้ในการโจมตีขั้นถัดไป
การโจมตีที่มีลักษณะหลายรูปแบบนี้ มักมีการประสานงานโดยใช้เครื่องที่ถูกเจาะระบบจากหลากหลายภูมิภาคทั่วโลก ทำให้การป้องกันแบบบล็อกตาม IP แบบดั้งเดิมไม่มีประสิทธิภาพเพียงพอ จำเป็นต้องใช้ระบบตรวจจับที่ซับซ้อนมากขึ้น ซึ่งวิเคราะห์จากรูปแบบของ requests และลักษณะพฤติกรรม แทนที่จะอ้างอิงเพียงแค่แหล่งที่มาของ requests เท่านั้น
ที่มา : cybersecuritynews
You must be logged in to post a comment.