Cyber Attacks Cyber Security การโจมตีทางไซเบอร์ สหรัฐอเมริกา

หน่วยงานสหรัฐฯ ถูกเจาะระบบครั้งใหญ่ กระทบหลายหน่วยงาน / รัสเซียปฏิเสธ ไม่เกี่ยวข้อง

หน่วยงานความปลอดภัยทางไซเบอร์ฯ สหรัฐฯ แถลงยืนยัน "ถูกเจาะ"

Home / NEWS / หน่วยงานสหรัฐฯ ถูกเจาะระบบครั้งใหญ่ กระทบหลายหน่วยงาน / รัสเซียปฏิเสธ ไม่เกี่ยวข้อง

ประเด็นน่าสนใจ

  • หน่วยงานที่ดูแลความปลอดภัยทางไซเบอร์ของสหรัฐฯ ออกประกาศเตือนการถูกเจาะระบบครั้งใหญ่
  • โดยข้อมูลที่หลุดออกไปยังไม่สามารถประเมินได้ว่า มีข้อมูลใดหลุดไปบ้าง แต่กระทบหลายหน่วยงาน
  • คาดถูกเจาะมาเป็นเวลาหลายเดือนแล้ว ก่อนรู้ตัว / คาดว่า รัสเซียอยู่เบื้องหลังในการโจมตีในครั้งนี้

เจ้าหน้าที่หน่วยงานความปลอดภัยของสหรัฐ ออกประกาศแจ้งเตือนการถูกเจาะระบบครั้งใหญ่ ในหลายหน่วยงาน โดยเฉพาะในกลุ่มโครงสร้างพื้นฐานทั้งภาครัฐและเอกชน มีข้อมูลหลุดในครั้งนี้เป็นจำนวนมาก

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานสหรัฐฯ หรือ CISA ระบุว่า การโจมตีที่เกิดขึ้นนั้น เป็นการโจมตีครั้งใหญ่ ที่มีความซับซ้อนอย่างมาก

โดยทาง CISA แถลงว่า โครงสร้างพื้นฐานต่าง ๆ ของสหรัฐ ไม่ว่าจะเป็นของรัฐบาลและเอกชน ถูกโจมตีอย่างน้อย 8 – 9 เดือน หรือตั้งแต่ราวเดือน มีนาคม 2020 ที่ผ่านมา เท่าที่ทาง CISA สามารถค้นหาได้ในขณะนี้

ซึ่งระยะเวลาของการโจมตีทีเกิดขึ้นอย่างต่อเนื่องยาวนาน และมีความซับซ้อนอย่างมากในการบุกรุกเข้ามายังระบบโครงสร้างพื้นฐานของสหรัฐฯ แม้ว่าจะยังไม่หลักฐานยืนยันว่า ใครเป็นผู้อยู่เบื้องหลังอย่างชัดเจนในการโจมตีในครั้งนี้ แต่เจ้าหน้าที่ผู้เกี่ยวข้องมั่นใจว่า ไม่ได้เป็นแฮคเกอร์ หรือกลุ่มแฮคเกอร์ธรรมดาทั่วไป น่าจะเป็นกลุ่มที่มีรัฐบาลต่างชาติหนุนหลังในปฏิบัติการดังกล่าว

การเจาะระบบในครั้งล่าสุดเกิดขึ้นเมื่อช่วงสัปดหา์ที่ผ่านมา และยังไม่สามารถสรุปได้ว่า มีข้อมูลใดบ้างที่หลุดออกไป

อ้างอิง: CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS

อาศัยจังหวะเลือกตั้ง-โควิด-19 ระบาด

การโจมตีเกิดอย่างน้อย 8-9 เดือนที่ผ่านมา โดยอยู่ในช่วงที่สหรัฐฯ กำลังเริ่มเข้าสู่โค้งสุดท้ายของการเลือกตั้งประธานาธิบดีสหรัฐฯ มีการระบาดของโควิด-19 รวมถึงการประท้วงที่เกิดขึ้นทั่วสหรัฐฯ

ซึ่งในช่วงท้ายของประธานาธิบดีโดนัลด์ ทรัมป์ มีคำสั่งปลด คริส เครบส์ ผอ.สำนักงานความปลอดภัยด้านไซเบอร์ฯ ของกระทรวงความมั่นคงแห่งมาตุภูมิ ออกจากตำแหน่งอีกด้วย ( เมื่อ 18 พ.ย. ที่ผ่านมา ) ทำให้การประสานงาน และรับมือกับปัญหาการโจมตีที่เกิดขึ้นนี้ ขาดผู้รับผิดชอบ

เส้นทางการโจมตี ( Vector Attacks)

จากการวิเคราะห์เส้นทางการโจมตีนั้น พบว่า มีความซับซ้อนมาก โดยอาศัยการโจมตีไปใน 2เส้นทางหลัก ๆ ด้วยกันในขณะนี้คือ ผ่านระบบของ Microsoft และ Solarwind

Zerologon

การโจมตีเกิดขึ้นโดยอาศัยช่องโหว่ของ NetLogon ที่ใช้ในการยืนยันตัวบุคคล ในการล็อกอินเข้าในเครือข่ายของ Microsoft ทำให้ผู้บุกรุกสามารถเจาะทะลุเข้าถึงรายชื่อผู้ใช้งาน-รหัสผ่านของเครือข่ายและบัญชีอีเมล์ของ Microsoft office 365 ได้อีกด้วย

นอกจากนี้ยังมีการอาศัยช่องโหว่ในส่วนของ Outlook Web App เพื่อเลี่ยงการตรวจสอบยืนยันตัวบุคคล

ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลต่าง ๆ ใน Microsoft office 365 ของหลาย ๆ หน่วยงาน ผ่านปลอม Token ตรวจสอบสิทธิ์ของ Microsoft อีกด้วย

อ้างอิง: Customer Guidance on Recent Nation-State Cyber Attacks

Solarwind

นอกจากนี้ ยังพบว่า ผู้โจมตียังได้เจาะระบบเข้าไปยังซอฟแวร์บริหารเครือข่ายขนาดใหญ่อย่าง Solarwind และทำการแอบฝั่งโค้ดที่เป็น Backdoor ลงไปในซอฟต์แวร์ Orion ของ SolarWinds เวอร์ชั่น 2019.4 ถึง 2020.2.1

ซึ่งในการโจมตี Solarwind ที่เกิดขึ้นนี้ ทาง Solarwind ระบุว่า มีผู้ได้รับผลกระทบราว 18,000 ราย และเป็นหน่วยงานใหญ่ ๆ แทบทั้งสิ้น

จาก Backdoor ที่ฝั่งไว้ ทำให้ผู้โจมตีสามารถแอบเข้าไปติดตั้งโปรแกรมควบคุมระยะไกล หรือ Remote Desktop เพิ่มเติม และหลอกเครื่องในเครือข่ายให้ทำการอัปเดตโปรแกรม ซึ่งเมื่อผู้ใช้งานอัปเดตโปรแกรมก็จะถูกติดตั้งมัลแวร์เข้าไปด้วย เพื่อใช้ในการเปิดทางประตูหลังหรือ Backdoor ไว้โจมตี ติดตั้งโปรแกรมอื่น ๆ เพิ่มเติมต่อไปอีกด้วย เพื่อใช้ในการค้นหา และโจมตีเครื่องคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่ายต่อไป รวมทั้งการเข้าถึงบัญชี Office 365 ที่เชื่อมระบบของ Orion ไว้ด้วย

จึงเป็นไปได้สูงที่ผู้โจมตี จะสามารถเข้าถึงอีเมล์ และเอกสารสำคัญ ๆ หลายรายการ และใช้เป็นช่องทาง – ข้อมูล ในการขโมย หรือเจาะระบบอื่น ๆ ในเครือข่าย

ซึ่งซอฟต์แวร์ Orion ของ Solarwind นั้นถูกใช้ในการบริหาร-จัดการระบบเครือข่ายในหน่วยงานของรัฐบาลสหรัฐฯ หลายหน่วยงานด้วยกัน ไม่ว่าจะเป็นหน่วยงานของรัฐทั่วไป กองทัพ รวมถึงหน่วยราชการลับอีกด้วย

โดยผลการตรวจสอบเบื้องต้นพบว่า มัลแวร์บางตัว มีการเปิดการเชื่อมต่อและรอรับคำสั่งตั้งแต่ช่วงราวเดือน เม.ย. 2020 ที่ผ่านมา จากหลายๆ IP ทั้งในยุโรป, อเมริกาเหนือ รวมถึงจากระบบคลาวด์อย่างเช่น Amazon, MS, Godady ด้วย

อ้างอิง: Tweet

มุ่งเป้ารัสเซียอยู่เบื้องหลัง

ซึ่งก่อนหน้านี้ บริษัทผู้ให้บริการด้านความปลอดภัยอย่าง FireEye ได้ออกมาประกาศว่า เครื่องมือที่ของ Red Team ของ FireEye ถูกขโมยไป ซึ่งมีทั้ง Software, Exploit (ช่องโหว่) และข้อมูลต่าง ๆ เช่น ข้อมูลลูกค้าบางราย ทำให้มีการค้นหาต้นตอ ที่มาที่ไปของการเจาะระบบ ซึ่งทาง FireEye เชื่อว่า มีความเกี่ยวข้องกับกลุ่มแฮคเกอร์จากรัสเซียที่มีหน่วยงานความมั่นคงรัสเซียหนุนหลังอยู่

FYI : ในส่วนของการรักษาความปลอดภัยทางไซเบอร์นั้น บริษัทใหญ่ ๆ จะมีทีมงานที่ทำหน้าที่วิเคราะห์ความปลอดภัยคือ Red Team และ Blue team โดย Red Team จะมีหน้าที่ในการค้นหา-ประเมิน-ตั้งสมมุติฐาน เพื่อทำทดสอบโจมตีระบบ ส่วน Blue Team จะเห็นทีมที่ทำหน้าที่ป้องกัน ไม่ให้ Rea Team เจาะระบบได้

ซึ่งในรายงานการเจาะระบบของ FireEye ได้ถูกรายงานต่อสำนักงานความมั่นคงแห่งชาติสหรัฐฯ หรือ NSA และรายงานดังกล่าว ซึ่ง NSA เริ่มสงสัยในสิ่งที่เกิดขึ้น

ต่อมามีข้อมูลหลุดบางส่วน ที่มีความเชื่อมโยงถึงข้อมูล.ในอีเมล์ของกระทรวงพาณิชย์ของสหรัฐฯ ทำให้การสอบสวนเข้มข้นมากยิ่งขึ้น และพบว่า มีความเชื่อมโยงกับเครื่องมือของ FireEye ถูกนำไปใช้ในการเจาะระบบด้วย ทำให้ชิ้นส่วนของจิ๊กซอว์ ชิ้นต่าง ๆ เริ่มประกอบเข้าด้วยทำ นำไปสู่การสืบสวนเพิ่มเติมของหน่วยงานความมั่นคงของสหรัฐ จนทำให้ทราบว่า หน่วยงานของสหรัฐฯ หลายหน่วยงานถูกโจมตีทางไซเบอร์

ทาง Solarwind เชื่อว่า มัลแวร์ที่ถูกใช้ในการเจาะระบบนั้น เป็นฝีมือของกลุ่มแฮคเกอร์ต่างชาติ ที่รู้จักกันเชื่อว่า Cozy Bear หรือ APT29 ซึ่งมีความเชื่อมโยงกับหน่วยงานสืบราชการลับของรัสเซีย APT29

ซึ่งแน่นอนว่า ทางการรัสเซียออกมาชี้แจงว่า รัสเซียไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว และสหรัฐฯ กำลังกล่าวโทษให้ร้ายกับรัสเซียโดยปราศจากหลักฐานในการโจมตีที่เกิดขึ้น และในขณะนี้รัสเซียเองก็กำลังอยู่ในแนวทางที่ต้องการฟื้นความสัมพันธ์กับทางรัสเซีย (อ้างอิง)

FYI : ผลงานของทีม Cozy Bear ที่มีรายงานว่ามีความเกี่ยวข้องกับการเจาะระบบใหญ่ ๆ เช่น เคยเจาะเพนตากอน เมื่อปี 2015 , ถูกระบุว่า เชื่อมโยงกับการเจาะระบบในการเลือกตั้งเมื่อปี 2016, การโจมตีระบบของหน่วยงานนอร์เวย์, ความพยายามในการเจาะระบบเกี่ยวกับการพัฒนาวัคซีนโควิด-19 ฯลฯ

ผลกระทบที่เกิดขึ้น

ทางการของสหรัฐฯ ประเมินผลกระทบในครั้งนี้ถือว่า เป็นครั้งใหญ่มากทีเดียว เนื่องจากเป็นการเจาะระบบเข้ามาใหลายส่วน หลายหน่วยงานด้วยกัน ซึ่งในระบบของ Soloarwind เองนั้นมีลูกค้ามากกว่า 3 หมื่นรายที่ใช้งานระบบ Orion ในการบริหารจัดการเครือข่าย ซึ่งประมาณ 18,000 หน่วยงานใช้งานอยู่

ซึ่งในขณะนี้การประเมินผลกระทบที่เกิดขึ้น มีการยืนยันแล้วว่า มีหน่วยงานของสหรัฐฯ ที่ได้รับผลกระทบ-มีข้อมูลรั่วไหลออกไปคือ

  • The US Treasury Department
  • The US Department of Commerce’s National Telecommunications and Information Administration (NTIA)
  • The Department of Health’s National Institutes of Health (NIH)
  • The Cybersecurity and Infrastructure Agency (CISA)
  • The Department of Homeland Security (DHS)
  • The US Department of State
  • The National Nuclear Security Administration (NNSA)
  • The US Department of Energy (DOE)
  • Three US states
  • City of Austin

ส่วนผลกระทบกับเอกชนในขณะนี้คือ

  • FireEye
  • Microsoft
  • Solarwind