ประเด็นน่าสนใจ
- หน่วยงานที่ดูแลความปลอดภัยทางไซเบอร์ของสหรัฐฯ ออกประกาศเตือนการถูกเจาะระบบครั้งใหญ่
- โดยข้อมูลที่หลุดออกไปยังไม่สามารถประเมินได้ว่า มีข้อมูลใดหลุดไปบ้าง แต่กระทบหลายหน่วยงาน
- คาดถูกเจาะมาเป็นเวลาหลายเดือนแล้ว ก่อนรู้ตัว / คาดว่า รัสเซียอยู่เบื้องหลังในการโจมตีในครั้งนี้
เจ้าหน้าที่หน่วยงานความปลอดภัยของสหรัฐ ออกประกาศแจ้งเตือนการถูกเจาะระบบครั้งใหญ่ ในหลายหน่วยงาน โดยเฉพาะในกลุ่มโครงสร้างพื้นฐานทั้งภาครัฐและเอกชน มีข้อมูลหลุดในครั้งนี้เป็นจำนวนมาก
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานสหรัฐฯ หรือ CISA ระบุว่า การโจมตีที่เกิดขึ้นนั้น เป็นการโจมตีครั้งใหญ่ ที่มีความซับซ้อนอย่างมาก
โดยทาง CISA แถลงว่า โครงสร้างพื้นฐานต่าง ๆ ของสหรัฐ ไม่ว่าจะเป็นของรัฐบาลและเอกชน ถูกโจมตีอย่างน้อย 8 – 9 เดือน หรือตั้งแต่ราวเดือน มีนาคม 2020 ที่ผ่านมา เท่าที่ทาง CISA สามารถค้นหาได้ในขณะนี้
ซึ่งระยะเวลาของการโจมตีทีเกิดขึ้นอย่างต่อเนื่องยาวนาน และมีความซับซ้อนอย่างมากในการบุกรุกเข้ามายังระบบโครงสร้างพื้นฐานของสหรัฐฯ แม้ว่าจะยังไม่หลักฐานยืนยันว่า ใครเป็นผู้อยู่เบื้องหลังอย่างชัดเจนในการโจมตีในครั้งนี้ แต่เจ้าหน้าที่ผู้เกี่ยวข้องมั่นใจว่า ไม่ได้เป็นแฮคเกอร์ หรือกลุ่มแฮคเกอร์ธรรมดาทั่วไป น่าจะเป็นกลุ่มที่มีรัฐบาลต่างชาติหนุนหลังในปฏิบัติการดังกล่าว
การเจาะระบบในครั้งล่าสุดเกิดขึ้นเมื่อช่วงสัปดหา์ที่ผ่านมา และยังไม่สามารถสรุปได้ว่า มีข้อมูลใดบ้างที่หลุดออกไป
อาศัยจังหวะเลือกตั้ง-โควิด-19 ระบาด
การโจมตีเกิดอย่างน้อย 8-9 เดือนที่ผ่านมา โดยอยู่ในช่วงที่สหรัฐฯ กำลังเริ่มเข้าสู่โค้งสุดท้ายของการเลือกตั้งประธานาธิบดีสหรัฐฯ มีการระบาดของโควิด-19 รวมถึงการประท้วงที่เกิดขึ้นทั่วสหรัฐฯ
ซึ่งในช่วงท้ายของประธานาธิบดีโดนัลด์ ทรัมป์ มีคำสั่งปลด คริส เครบส์ ผอ.สำนักงานความปลอดภัยด้านไซเบอร์ฯ ของกระทรวงความมั่นคงแห่งมาตุภูมิ ออกจากตำแหน่งอีกด้วย ( เมื่อ 18 พ.ย. ที่ผ่านมา ) ทำให้การประสานงาน และรับมือกับปัญหาการโจมตีที่เกิดขึ้นนี้ ขาดผู้รับผิดชอบ
เส้นทางการโจมตี ( Vector Attacks)
จากการวิเคราะห์เส้นทางการโจมตีนั้น พบว่า มีความซับซ้อนมาก โดยอาศัยการโจมตีไปใน 2เส้นทางหลัก ๆ ด้วยกันในขณะนี้คือ ผ่านระบบของ Microsoft และ Solarwind
Zerologon
การโจมตีเกิดขึ้นโดยอาศัยช่องโหว่ของ NetLogon ที่ใช้ในการยืนยันตัวบุคคล ในการล็อกอินเข้าในเครือข่ายของ Microsoft ทำให้ผู้บุกรุกสามารถเจาะทะลุเข้าถึงรายชื่อผู้ใช้งาน-รหัสผ่านของเครือข่ายและบัญชีอีเมล์ของ Microsoft office 365 ได้อีกด้วย
นอกจากนี้ยังมีการอาศัยช่องโหว่ในส่วนของ Outlook Web App เพื่อเลี่ยงการตรวจสอบยืนยันตัวบุคคล
ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลต่าง ๆ ใน Microsoft office 365 ของหลาย ๆ หน่วยงาน ผ่านปลอม Token ตรวจสอบสิทธิ์ของ Microsoft อีกด้วย
อ้างอิง: Customer Guidance on Recent Nation-State Cyber Attacks
Solarwind
นอกจากนี้ ยังพบว่า ผู้โจมตียังได้เจาะระบบเข้าไปยังซอฟแวร์บริหารเครือข่ายขนาดใหญ่อย่าง Solarwind และทำการแอบฝั่งโค้ดที่เป็น Backdoor ลงไปในซอฟต์แวร์ Orion ของ SolarWinds เวอร์ชั่น 2019.4 ถึง 2020.2.1
ซึ่งในการโจมตี Solarwind ที่เกิดขึ้นนี้ ทาง Solarwind ระบุว่า มีผู้ได้รับผลกระทบราว 18,000 ราย และเป็นหน่วยงานใหญ่ ๆ แทบทั้งสิ้น
จาก Backdoor ที่ฝั่งไว้ ทำให้ผู้โจมตีสามารถแอบเข้าไปติดตั้งโปรแกรมควบคุมระยะไกล หรือ Remote Desktop เพิ่มเติม และหลอกเครื่องในเครือข่ายให้ทำการอัปเดตโปรแกรม ซึ่งเมื่อผู้ใช้งานอัปเดตโปรแกรมก็จะถูกติดตั้งมัลแวร์เข้าไปด้วย เพื่อใช้ในการเปิดทางประตูหลังหรือ Backdoor ไว้โจมตี ติดตั้งโปรแกรมอื่น ๆ เพิ่มเติมต่อไปอีกด้วย เพื่อใช้ในการค้นหา และโจมตีเครื่องคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่ายต่อไป รวมทั้งการเข้าถึงบัญชี Office 365 ที่เชื่อมระบบของ Orion ไว้ด้วย
จึงเป็นไปได้สูงที่ผู้โจมตี จะสามารถเข้าถึงอีเมล์ และเอกสารสำคัญ ๆ หลายรายการ และใช้เป็นช่องทาง – ข้อมูล ในการขโมย หรือเจาะระบบอื่น ๆ ในเครือข่าย
ซึ่งซอฟต์แวร์ Orion ของ Solarwind นั้นถูกใช้ในการบริหาร-จัดการระบบเครือข่ายในหน่วยงานของรัฐบาลสหรัฐฯ หลายหน่วยงานด้วยกัน ไม่ว่าจะเป็นหน่วยงานของรัฐทั่วไป กองทัพ รวมถึงหน่วยราชการลับอีกด้วย
โดยผลการตรวจสอบเบื้องต้นพบว่า มัลแวร์บางตัว มีการเปิดการเชื่อมต่อและรอรับคำสั่งตั้งแต่ช่วงราวเดือน เม.ย. 2020 ที่ผ่านมา จากหลายๆ IP ทั้งในยุโรป, อเมริกาเหนือ รวมถึงจากระบบคลาวด์อย่างเช่น Amazon, MS, Godady ด้วย
อ้างอิง: Tweet
มุ่งเป้ารัสเซียอยู่เบื้องหลัง
ซึ่งก่อนหน้านี้ บริษัทผู้ให้บริการด้านความปลอดภัยอย่าง FireEye ได้ออกมาประกาศว่า เครื่องมือที่ของ Red Team ของ FireEye ถูกขโมยไป ซึ่งมีทั้ง Software, Exploit (ช่องโหว่) และข้อมูลต่าง ๆ เช่น ข้อมูลลูกค้าบางราย ทำให้มีการค้นหาต้นตอ ที่มาที่ไปของการเจาะระบบ ซึ่งทาง FireEye เชื่อว่า มีความเกี่ยวข้องกับกลุ่มแฮคเกอร์จากรัสเซียที่มีหน่วยงานความมั่นคงรัสเซียหนุนหลังอยู่
FYI : ในส่วนของการรักษาความปลอดภัยทางไซเบอร์นั้น บริษัทใหญ่ ๆ จะมีทีมงานที่ทำหน้าที่วิเคราะห์ความปลอดภัยคือ Red Team และ Blue team โดย Red Team จะมีหน้าที่ในการค้นหา-ประเมิน-ตั้งสมมุติฐาน เพื่อทำทดสอบโจมตีระบบ ส่วน Blue Team จะเห็นทีมที่ทำหน้าที่ป้องกัน ไม่ให้ Rea Team เจาะระบบได้
ซึ่งในรายงานการเจาะระบบของ FireEye ได้ถูกรายงานต่อสำนักงานความมั่นคงแห่งชาติสหรัฐฯ หรือ NSA และรายงานดังกล่าว ซึ่ง NSA เริ่มสงสัยในสิ่งที่เกิดขึ้น
ต่อมามีข้อมูลหลุดบางส่วน ที่มีความเชื่อมโยงถึงข้อมูล.ในอีเมล์ของกระทรวงพาณิชย์ของสหรัฐฯ ทำให้การสอบสวนเข้มข้นมากยิ่งขึ้น และพบว่า มีความเชื่อมโยงกับเครื่องมือของ FireEye ถูกนำไปใช้ในการเจาะระบบด้วย ทำให้ชิ้นส่วนของจิ๊กซอว์ ชิ้นต่าง ๆ เริ่มประกอบเข้าด้วยทำ นำไปสู่การสืบสวนเพิ่มเติมของหน่วยงานความมั่นคงของสหรัฐ จนทำให้ทราบว่า หน่วยงานของสหรัฐฯ หลายหน่วยงานถูกโจมตีทางไซเบอร์
ทาง Solarwind เชื่อว่า มัลแวร์ที่ถูกใช้ในการเจาะระบบนั้น เป็นฝีมือของกลุ่มแฮคเกอร์ต่างชาติ ที่รู้จักกันเชื่อว่า Cozy Bear หรือ APT29 ซึ่งมีความเชื่อมโยงกับหน่วยงานสืบราชการลับของรัสเซีย APT29
ซึ่งแน่นอนว่า ทางการรัสเซียออกมาชี้แจงว่า รัสเซียไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว และสหรัฐฯ กำลังกล่าวโทษให้ร้ายกับรัสเซียโดยปราศจากหลักฐานในการโจมตีที่เกิดขึ้น และในขณะนี้รัสเซียเองก็กำลังอยู่ในแนวทางที่ต้องการฟื้นความสัมพันธ์กับทางรัสเซีย (อ้างอิง)
FYI : ผลงานของทีม Cozy Bear ที่มีรายงานว่ามีความเกี่ยวข้องกับการเจาะระบบใหญ่ ๆ เช่น เคยเจาะเพนตากอน เมื่อปี 2015 , ถูกระบุว่า เชื่อมโยงกับการเจาะระบบในการเลือกตั้งเมื่อปี 2016, การโจมตีระบบของหน่วยงานนอร์เวย์, ความพยายามในการเจาะระบบเกี่ยวกับการพัฒนาวัคซีนโควิด-19 ฯลฯ
ผลกระทบที่เกิดขึ้น
ทางการของสหรัฐฯ ประเมินผลกระทบในครั้งนี้ถือว่า เป็นครั้งใหญ่มากทีเดียว เนื่องจากเป็นการเจาะระบบเข้ามาใหลายส่วน หลายหน่วยงานด้วยกัน ซึ่งในระบบของ Soloarwind เองนั้นมีลูกค้ามากกว่า 3 หมื่นรายที่ใช้งานระบบ Orion ในการบริหารจัดการเครือข่าย ซึ่งประมาณ 18,000 หน่วยงานใช้งานอยู่
ซึ่งในขณะนี้การประเมินผลกระทบที่เกิดขึ้น มีการยืนยันแล้วว่า มีหน่วยงานของสหรัฐฯ ที่ได้รับผลกระทบ-มีข้อมูลรั่วไหลออกไปคือ
- The US Treasury Department
- The US Department of Commerce’s National Telecommunications and Information Administration (NTIA)
- The Department of Health’s National Institutes of Health (NIH)
- The Cybersecurity and Infrastructure Agency (CISA)
- The Department of Homeland Security (DHS)
- The US Department of State
- The National Nuclear Security Administration (NNSA)
- The US Department of Energy (DOE)
- Three US states
- City of Austin
ส่วนผลกระทบกับเอกชนในขณะนี้คือ
- FireEye
- Microsoft
- Solarwind
