Cloudflare เตือน: ภัยคุกคามไซเบอร์ต่อสื่ออิสระพุ่งสูงขึ้น
บริษัท Cloudflare ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ ได้ออกประกาศเตือนที่ชัดเจนเกี่ยวกับภัยคุกคามที่เพิ่มสูงขึ้นซึ่งสื่ออิสระทั่วโลกกำลังเผชิญอยู่ โดยเปิดเผยว่านักข่าวและสำนักข่าวกลายเป็นเป้าหมายหลักของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ซับซ้อน
รายงาน Project Galileo ครบรอบ 11 ปีฉบับล่าสุดของบริษัทได้เปิดเผยถึงการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วต่อองค์กรสื่อ โดยมีการบล็อกคำขอที่เป็นอันตรายมากกว่า 9.7 หมื่นล้านครั้งจากองค์กรข่าว 315 แห่งที่แตกต่างกัน ระหว่างเดือนพฤษภาคม 2567 ถึงเดือนมีนาคม 2568
การโจมตีเหล่านี้แสดงถึงการเปลี่ยนแปลงที่น่ากังวลในกลวิธีที่ใช้เพื่อปิดปากสื่อสารมวลชนอิสระ โดยเฉพาะอย่างยิ่งการพุ่งเป้าไปที่สำนักข่าวเชิงสืบสวนที่ดำเนินงานในภูมิภาคที่อยู่ภายใต้แรงกดดันจากรัฐบาล เช่น รัสเซียและเบลารุส
แตกต่างจากแคมเปญมัลแวร์แบบดั้งเดิมที่อาศัยการแทรกซึมระบบผ่านไฟล์ที่ติดไวรัสหรืออีเมลฟิชชิง การโจมตี DDoS เหล่านี้จะทำให้เว็บไซต์ข่าวมีปริมาณการเข้าชมจำนวนมากเกินไป ทำให้ผู้อ่านทั่วไปไม่สามารถเข้าถึงได้ และเป็นการปิดกั้นความสามารถในการรายงานข่าวของเว็บไซต์อย่างมีประสิทธิภาพ
ขนาดของการโจมตีเหล่านี้เพิ่มขึ้นอย่างไม่เคยปรากฏมาก่อน โดย Cloudflare ได้บล็อกภัยคุกคามทางไซเบอร์โดยเฉลี่ย 325.2 ล้านรายการต่อวัน ซึ่งเพิ่มขึ้นอย่างน่าตกใจถึง 241% จากปีที่แล้ว
นักวิเคราะห์ของ Cloudflare ระบุว่าการโจมตีที่มีการประสานงานกันครั้งนี้ถึงจุดสูงสุดในวันที่ 28 กันยายน 2024 เมื่อผู้โจมตีได้เปิดฉากการโจมตีที่รุนแรงที่สุดต่อองค์กรสื่อ
นักวิจัยตั้งข้อสังเกตว่าการโจมตีเหล่านี้ส่วนใหญ่ใช้เทคนิค DDoS ระดับแอปพลิเคชัน Layer 7 ซึ่งคิดเป็น 92.88% ของทราฟฟิกที่ถูกบรรเทาทั้งหมดที่มุ่งเป้าไปที่องค์กรสื่อสารมวลชน เทียบกับการโจมตีเพียง 5.93% ที่พยายามใช้ประโยชน์จากช่องโหว่ของเว็บแอปพลิเคชันแบบดั้งเดิมผ่าน Web Application Firewall
กรณีศึกษา: Belarusian Investigative Center
ความซับซ้อนและการประสานงานของการโจมตีเหล่านี้เห็นได้ชัดเจนเป็นพิเศษในกรณีของ Belarusian Investigative Center ซึ่งเป็นสำนักข่าวอิสระที่ไม่แสวงหากำไรที่อุทิศตนเพื่อเปิดโปงการทุจริตและหักล้างข้อมูลบิดเบือนจากระบอบเผด็จการ
องค์กรนี้ได้ยื่นขอความคุ้มครองจาก Project Galileo เมื่อวันที่ 27 กันยายน 2024 ขณะที่ยังคงถูกโจมตีอยู่ และต่อมาต้องเผชิญกับการโจมตี DDoS ครั้งใหญ่ที่สร้างคำขอมากกว่า 2.8 หมื่นล้านครั้งในวันเดียว
การโจมตีนี้แสดงให้เห็นถึงความสามารถของผู้โจมตีในการดำเนินการโจมตีที่ยืดเยื้อได้นานถึงสี่วัน โดยมีคำขอเฉลี่ย 320,000 ครั้งต่อวินาที
กลไกการโจมตี DDoS ขั้นสูงและเทคนิคการหลีกเลี่ยง
การวิเคราะห์ทางเทคนิคของการโจมตีเหล่านี้เผยให้เห็นถึงวิวัฒนาการที่น่ากังวลในวิธีการ DDoS ที่ปรับแต่งมาเพื่อโจมตีองค์กรสื่อโดยเฉพาะ ไม่เหมือนกับการโจมตีแบบ Volumetric ทั่วไปที่เพียงแค่ท่วมโครงสร้างพื้นฐานของเครือข่าย การโจมตีเหล่านี้ใช้เทคนิค HTTP flood Layer 7 ที่ซับซ้อนซึ่งเลียนแบบพฤติกรรมของผู้ใช้ปกติในขณะที่ทำให้ทรัพยากรแอปพลิเคชันทำงานเกินกำลัง
ผู้โจมตีใช้รูปแบบที่ ทนทานต่อการเรียนรู้ของเครื่อง (machine learning-resistant patterns) ซึ่งพยายามหลีกเลี่ยงระบบวิเคราะห์พฤติกรรมของ Cloudflare โดยการกระจายคำขอไปยังที่อยู่ IP ต้นทางหลายแห่งและปรับเปลี่ยนเวลาคำขอให้ดูเป็นธรรมชาติมากขึ้น
ในการโจมตีระบบนั้น ผู้โจมตีมักจะใช้ช่องโหว่จาก ความผิดปกติของ HTTP เป็นหลัก ซึ่งคิดเป็น 41.71% ของการป้องกันโดย Web Application Firewall (WAF) โดยผู้โจมตีจะจงใจส่งคำขอที่สร้างขึ้นมาอย่างไม่ถูกต้อง เช่น ไม่มีส่วนหัวของคำขอ (missing headers), ใช้วิธีการร้องขอที่ไม่รองรับ (unsupported request methods) หรือมีการเข้ารหัสอักขระที่ไม่ถูกต้อง (invalid character encoding)
เทคนิคนี้มีวัตถุประสงค์สองประการ: เพื่อใช้ทรัพยากรของเซิร์ฟเวอร์ และในขณะเดียวกันก็เป็นการตรวจสอบช่องโหว่ของแอปพลิเคชันที่อาจถูกนำไปใช้ในการโจมตีครั้งต่อไป
การโจมตีลักษณะนี้มักจะกระจายตัว โดยมีการประสานงานคำขอจากอุปกรณ์ที่ถูกบุกรุกในหลายพื้นที่ทางภูมิศาสตร์ ทำให้การบล็อกด้วย IP แบบเดิมไม่มีประสิทธิภาพ และจำเป็นต้องใช้อัลกอริทึมการตรวจจับที่ซับซับซ้อนมากขึ้น ซึ่งจะวิเคราะห์รูปแบบของคำขอและพฤติกรรมที่น่าสงสัย แทนที่จะพึ่งพาแค่การระบุแหล่งที่มาเพียงอย่างเดียว
ที่มา : cyberdefense / วันที่เผยแพร่ 13 มิถุนายน 2568
Link : https://cyberdefense.co.th/cloudflare-ddos-2/
