FBI สกัดกั้นเครือข่ายเราเตอร์ที่ถูกแฮ็ก DNS ของหน่วยข่าวกรองทหาร GRU รัสเซีย

FBI และ DOJ รื้อถอนเครือข่ายเราเตอร์ของหน่วยข่าวกรองทหารรัสเซีย

กระทรวงยุติธรรมสหรัฐฯ และ FBI ประกาศเมื่อวันที่ 7 เมษายน 2026 ว่าได้ดำเนินการที่ได้รับอนุญาตจากศาลเสร็จสิ้นแล้ว เพื่อสกัดกั้นเครือข่ายเราเตอร์ที่ถูกโจมตีซึ่งถูกใช้งานโดยหน่วยงานหนึ่งในกองอำนวยการข่าวกรองหลักของรัสเซีย หรือที่รู้จักกันในชื่อ GRU การปฏิบัติการดังกล่าวมุ่งเป้าไปที่เราเตอร์สำหรับสำนักงานขนาดเล็กและใช้งานในบ้าน (SOHO) หลายพันเครื่อง ที่ถูกแฮ็กอย่างเงียบๆ เพื่อใช้โจมตีด้วยการจี้ DNS ต่อบุคคลและองค์กรในภาคส่วนทางทหาร ภาครัฐ และโครงสร้างพื้นฐานที่สำคัญ

ขนาดและวิธีการของการปฏิบัติการนี้เปิดเผยให้เห็นอย่างชัดเจนว่าผู้กระทำการที่ได้รับการสนับสนุนจากรัฐใช้ประโยชน์จากฮาร์ดแวร์สำหรับผู้บริโภคที่มักถูกมองข้ามเพื่อดำเนินการรวบรวมข่าวกรองที่ซับซ้อนได้อย่างไร

การโจมตีด้วยการจี้ DNS ทำงานอย่างไร

หน่วยงาน GRU ใช้ประโยชน์จากช่องโหว่ที่รู้จักในเราเตอร์ TP-Link ซึ่งเป็นยี่ห้อที่พบได้ทั่วไปตามบ้านเรือนและธุรกิจขนาดเล็กทั่วโลก เมื่อเข้าถึงอุปกรณ์ได้แล้ว ผู้โจมตีจะดัดแปลงการตั้งค่า DNS ของอุปกรณ์นั้น DNS หรือระบบชื่อโดเมน คือกระบวนการที่แปลที่อยู่เว็บไซต์อย่างเช่น "example.com" ให้เป็นที่อยู่ IP ในรูปแบบตัวเลขที่คอมพิวเตอร์ใช้ในการเชื่อมต่อ โดยพื้นฐานแล้วมันทำหน้าที่เป็นสมุดที่อยู่ของอินเทอร์เน็ต

ด้วยการเปลี่ยนการตั้งค่า DNS บนเราเตอร์ที่ถูกโจมตี GRU สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลผ่านเซิร์ฟเวอร์ที่ตนควบคุมได้ โดยที่เจ้าของอุปกรณ์ไม่รู้ตัวเลย เทคนิคนี้เรียกว่าการโจมตีแบบ Actor-in-the-Middle เมื่อเหยื่อพยายามเยี่ยมชมเว็บไซต์ที่ถูกกฎหมายหรือเข้าสู่ระบบบัญชี คำขอของพวกเขาจะถูกเปลี่ยนเส้นทางอย่างเงียบๆ เนื่องจากการรับส่งข้อมูลส่วนใหญ่ไม่ได้รับการเข้ารหัส ผู้โจมตีจึงสามารถดักจับรหัสผ่าน โทเค็นการยืนยันตัวตน และเนื้อหาอีเมลในรูปแบบข้อความธรรมดาได้

เหยื่อไม่จำเป็นต้องทำสิ่งผิดใดๆ พวกเขาใช้เราเตอร์ปกติของตัวเองและเยี่ยมชมเว็บไซต์ทั่วไป การโจมตีเกิดขึ้นที่ระดับโครงสร้างพื้นฐาน ต่ำกว่าระดับที่ผู้ใช้ส่วนใหญ่และแม้แต่ทีม IT หลายทีมจะสังเกตเห็นได้

ทำไมเราเตอร์ SOHO จึงเป็นเป้าหมายที่ถูกโจมตีอยู่เสมอ

เราเตอร์สำหรับสำนักงานขนาดเล็กและใช้งานในบ้านได้กลายเป็นจุดเข้าถึงที่นิยมใช้โดยผู้โจมตีที่มีความซับซ้อนด้วยเหตุผลหลายประการ อุปกรณ์เหล่านี้มีจำนวนมาก มักได้รับการดูแลรักษาไม่ดี และแทบไม่มีการตรวจสอบ การอัปเดตเฟิร์มแวร์บนเราเตอร์สำหรับผู้บริโภคเกิดขึ้นไม่บ่อยนัก และผู้ใช้จำนวนมากไม่เคยเปลี่ยนข้อมูลรับรองเริ่มต้นหรือตรวจสอบการตั้งค่าอุปกรณ์หลังการติดตั้งครั้งแรก

นี่ไม่ใช่ครั้งแรกที่ FBI ต้องเข้าแทรกแซงเพื่อทำความสะอาดเครือข่ายเราเตอร์ที่ถูกโจมตี การปฏิบัติการที่คล้ายกันเคยมุ่งเป้าไปที่โครงสร้างพื้นฐานบอตเน็ตในปีก่อนๆ ซึ่งเกี่ยวข้องกับฮาร์ดแวร์จากผู้ผลิตหลายราย ความสม่ำเสมอของช่องทางการโจมตีนี้สะท้อนให้เห็นปัญหาเชิงโครงสร้าง นั่นคือเราเตอร์อยู่ที่ขอบเขตของทุกเครือข่าย แต่ได้รับความสนใจด้านความปลอดภัยน้อยกว่าอุปกรณ์ที่อยู่เบื้องหลังมากนัก

การปฏิบัติการที่ได้รับอนุญาตจากศาลของกระทรวงยุติธรรมเกี่ยวข้องกับการแก้ไขเราเตอร์ที่ถูกโจมตีจากระยะไกลเพื่อตัดการเข้าถึงของ GRU และลบการตั้งค่าที่เป็นอันตรายออก การแทรกแซงประเภทนี้เกิดขึ้นได้ยากและต้องได้รับการอนุมัติจากศาล ซึ่งบ่งชี้ว่าเจ้าหน้าที่สหรัฐฯ มองว่าภัยคุกคามนี้มีความร้ายแรงเพียงใด

สิ่งนี้หมายความว่าอะไรสำหรับคุณ

หากคุณใช้เราเตอร์สำหรับผู้บริโภคที่บ้านหรือในสำนักงานขนาดเล็ก การปฏิบัติการนี้เป็นสัญญาณโดยตรงว่าฮาร์ดแวร์ของคุณสามารถกลายเป็นส่วนหนึ่งของการปฏิบัติการข่าวกรองได้โดยที่คุณไม่รู้ตัวหรือมีส่วนร่วม การโจมตีไม่ได้ต้องการให้เหยื่อคลิกลิงก์อันตรายหรือดาวน์โหลดสิ่งใดๆ สิ่งที่ต้องการมีเพียงให้เราเตอร์ของพวกเขาทำงานด้วยเฟิร์มแวร์ที่มีช่องโหว่ และให้การรับส่งข้อมูลทางอินเทอร์เน็ตไหลผ่านโดยไม่มีการเข้ารหัสเท่านั้น

มีขั้นตอนที่เป็นรูปธรรมที่ควรดำเนินการเพื่อตอบสนองต่อข่าวนี้

ประการแรก ตรวจสอบว่าเราเตอร์ของคุณมีการอัปเดตเฟิร์มแวร์ที่พร้อมใช้งานหรือไม่ และทำการติดตั้ง ผู้ผลิตเราเตอร์แก้ไขช่องโหว่ที่รู้จักอยู่เสมอ แต่แพตช์เหล่านั้นจะมีประโยชน์ก็ต่อเมื่อได้รับการติดตั้งเท่านั้น เราเตอร์หลายรุ่นอนุญาตให้เปิดใช้งานการอัปเดตอัตโนมัติผ่านอินเทอร์เฟซการตั้งค่าของอุปกรณ์

ประการที่สอง เปลี่ยนข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นบนเราเตอร์ของคุณ อุปกรณ์ที่ถูกโจมตีจำนวนมากในการปฏิบัติการเช่นนี้ถูกเข้าถึงโดยใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้นจากโรงงานที่มีการบันทึกไว้อย่างเปิดเผย

ประการที่สาม พิจารณาว่าการรับส่งข้อมูลทางอินเทอร์เน็ตของคุณมีลักษณะอย่างไรเมื่อออกจากเราเตอร์ของคุณ การรับส่งข้อมูลที่ไม่ได้รับการเข้ารหัส ไม่ว่าจะเป็นการเชื่อมต่อ HTTP โปรโตคอลอีเมลบางประเภท หรือการสื่อสารของแอปพลิเคชันบางอย่าง สามารถถูกอ่านได้หาก DNS ของคุณถูกเปลี่ยนเส้นทาง การใช้โปรโตคอล DNS ที่เข้ารหัส เช่น DNS-over-HTTPS (DoH) หรือ DNS-over-TLS (DoT) จะช่วยให้มั่นใจได้ว่าคำขอ DNS ของคุณไม่สามารถถูกดักจับหรือดัดแปลงโดยเราเตอร์ที่ถูกโจมตีหรือเซิร์ฟเวอร์ที่เราเตอร์นั้นส่งการรับส่งข้อมูลผ่าน

ประการที่สี่ VPN สามารถให้การป้องกันเพิ่มเติมอีกชั้นหนึ่งโดยการเข้ารหัสการรับส่งข้อมูลระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์ที่เชื่อถือได้ก่อนที่จะถึงเราเตอร์หรือผู้ให้บริการอินเทอร์เน็ตของคุณ ซึ่งหมายความว่าแม้ DNS ของเราเตอร์ของคุณจะถูกดัดแปลง เนื้อหาของการรับส่งข้อมูลก็ยังคงอ่านไม่ออกสำหรับใครก็ตามที่อยู่ระหว่างคุณและปลายทาง

มาตรการเหล่านี้ไม่มีความซับซ้อนหรือมีค่าใช้จ่ายสูง แต่การปฏิบัติการของ GRU แสดงให้เห็นอย่างชัดเจนว่าการรับส่งข้อมูลที่ไม่ได้รับการเข้ารหัสและฮาร์ดแวร์ที่ไม่ได้รับการแพตช์สร้างความเสี่ยงที่แท้จริงให้กับผู้คนจริงๆ ไม่ใช่แค่ความเสี่ยงในเชิงนามธรรม

การแทรกแซงของ FBI สกัดกั้นเครือข่ายเฉพาะนี้ได้ แต่ช่องโหว่พื้นฐานในฮาร์ดแวร์เราเตอร์สำหรับผู้บริโภคยังคงอยู่ การติดตามข้อมูลข่าวสารและดำเนินการป้องกันขั้นพื้นฐานเป็นการตอบสนองที่ปฏิบัติได้จริงมากที่สุดต่อพื้นผิวการโจมตีที่ไม่น่าจะหายไปได้ง่ายๆ