Cyber Attacks Cyber Security การโจมตีทางไซเบอร์ สหรัฐอเมริกา

หน่วยงานสหรัฐฯ ถูกเจาะระบบครั้งใหญ่ กระทบหลายหน่วยงาน / รัสเซียปฏิเสธ ไม่เกี่ยวข้อง

ประเด็นน่าสนใจ

  • หน่วยงานที่ดูแลความปลอดภัยทางไซเบอร์ของสหรัฐฯ ออกประกาศเตือนการถูกเจาะระบบครั้งใหญ่
  • โดยข้อมูลที่หลุดออกไปยังไม่สามารถประเมินได้ว่า มีข้อมูลใดหลุดไปบ้าง แต่กระทบหลายหน่วยงาน
  • คาดถูกเจาะมาเป็นเวลาหลายเดือนแล้ว ก่อนรู้ตัว / คาดว่า รัสเซียอยู่เบื้องหลังในการโจมตีในครั้งนี้

เจ้าหน้าที่หน่วยงานความปลอดภัยของสหรัฐ ออกประกาศแจ้งเตือนการถูกเจาะระบบครั้งใหญ่ ในหลายหน่วยงาน โดยเฉพาะในกลุ่มโครงสร้างพื้นฐานทั้งภาครัฐและเอกชน มีข้อมูลหลุดในครั้งนี้เป็นจำนวนมาก

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานสหรัฐฯ หรือ CISA ระบุว่า การโจมตีที่เกิดขึ้นนั้น เป็นการโจมตีครั้งใหญ่ ที่มีความซับซ้อนอย่างมาก

โดยทาง CISA แถลงว่า โครงสร้างพื้นฐานต่าง ๆ ของสหรัฐ ไม่ว่าจะเป็นของรัฐบาลและเอกชน ถูกโจมตีอย่างน้อย 8 – 9 เดือน หรือตั้งแต่ราวเดือน มีนาคม 2020 ที่ผ่านมา เท่าที่ทาง CISA สามารถค้นหาได้ในขณะนี้

ซึ่งระยะเวลาของการโจมตีทีเกิดขึ้นอย่างต่อเนื่องยาวนาน และมีความซับซ้อนอย่างมากในการบุกรุกเข้ามายังระบบโครงสร้างพื้นฐานของสหรัฐฯ แม้ว่าจะยังไม่หลักฐานยืนยันว่า ใครเป็นผู้อยู่เบื้องหลังอย่างชัดเจนในการโจมตีในครั้งนี้ แต่เจ้าหน้าที่ผู้เกี่ยวข้องมั่นใจว่า ไม่ได้เป็นแฮคเกอร์ หรือกลุ่มแฮคเกอร์ธรรมดาทั่วไป น่าจะเป็นกลุ่มที่มีรัฐบาลต่างชาติหนุนหลังในปฏิบัติการดังกล่าว

การเจาะระบบในครั้งล่าสุดเกิดขึ้นเมื่อช่วงสัปดหา์ที่ผ่านมา และยังไม่สามารถสรุปได้ว่า มีข้อมูลใดบ้างที่หลุดออกไป

อ้างอิง: CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS

อาศัยจังหวะเลือกตั้ง-โควิด-19 ระบาด

การโจมตีเกิดอย่างน้อย 8-9 เดือนที่ผ่านมา โดยอยู่ในช่วงที่สหรัฐฯ กำลังเริ่มเข้าสู่โค้งสุดท้ายของการเลือกตั้งประธานาธิบดีสหรัฐฯ มีการระบาดของโควิด-19 รวมถึงการประท้วงที่เกิดขึ้นทั่วสหรัฐฯ

ซึ่งในช่วงท้ายของประธานาธิบดีโดนัลด์ ทรัมป์ มีคำสั่งปลด คริส เครบส์ ผอ.สำนักงานความปลอดภัยด้านไซเบอร์ฯ ของกระทรวงความมั่นคงแห่งมาตุภูมิ ออกจากตำแหน่งอีกด้วย ( เมื่อ 18 พ.ย. ที่ผ่านมา ) ทำให้การประสานงาน และรับมือกับปัญหาการโจมตีที่เกิดขึ้นนี้ ขาดผู้รับผิดชอบ

เส้นทางการโจมตี ( Vector Attacks)

จากการวิเคราะห์เส้นทางการโจมตีนั้น พบว่า มีความซับซ้อนมาก โดยอาศัยการโจมตีไปใน 2เส้นทางหลัก ๆ ด้วยกันในขณะนี้คือ ผ่านระบบของ Microsoft และ Solarwind

Zerologon

การโจมตีเกิดขึ้นโดยอาศัยช่องโหว่ของ NetLogon ที่ใช้ในการยืนยันตัวบุคคล ในการล็อกอินเข้าในเครือข่ายของ Microsoft ทำให้ผู้บุกรุกสามารถเจาะทะลุเข้าถึงรายชื่อผู้ใช้งาน-รหัสผ่านของเครือข่ายและบัญชีอีเมล์ของ Microsoft office 365 ได้อีกด้วย

นอกจากนี้ยังมีการอาศัยช่องโหว่ในส่วนของ Outlook Web App เพื่อเลี่ยงการตรวจสอบยืนยันตัวบุคคล

ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลต่าง ๆ ใน Microsoft office 365 ของหลาย ๆ หน่วยงาน ผ่านปลอม Token ตรวจสอบสิทธิ์ของ Microsoft อีกด้วย

อ้างอิง: Customer Guidance on Recent Nation-State Cyber Attacks

Solarwind

นอกจากนี้ ยังพบว่า ผู้โจมตียังได้เจาะระบบเข้าไปยังซอฟแวร์บริหารเครือข่ายขนาดใหญ่อย่าง Solarwind และทำการแอบฝั่งโค้ดที่เป็น Backdoor ลงไปในซอฟต์แวร์ Orion ของ SolarWinds เวอร์ชั่น 2019.4 ถึง 2020.2.1

ซึ่งในการโจมตี Solarwind ที่เกิดขึ้นนี้ ทาง Solarwind ระบุว่า มีผู้ได้รับผลกระทบราว 18,000 ราย และเป็นหน่วยงานใหญ่ ๆ แทบทั้งสิ้น

จาก Backdoor ที่ฝั่งไว้ ทำให้ผู้โจมตีสามารถแอบเข้าไปติดตั้งโปรแกรมควบคุมระยะไกล หรือ Remote Desktop เพิ่มเติม และหลอกเครื่องในเครือข่ายให้ทำการอัปเดตโปรแกรม ซึ่งเมื่อผู้ใช้งานอัปเดตโปรแกรมก็จะถูกติดตั้งมัลแวร์เข้าไปด้วย เพื่อใช้ในการเปิดทางประตูหลังหรือ Backdoor ไว้โจมตี ติดตั้งโปรแกรมอื่น ๆ เพิ่มเติมต่อไปอีกด้วย เพื่อใช้ในการค้นหา และโจมตีเครื่องคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่ายต่อไป รวมทั้งการเข้าถึงบัญชี Office 365 ที่เชื่อมระบบของ Orion ไว้ด้วย

จึงเป็นไปได้สูงที่ผู้โจมตี จะสามารถเข้าถึงอีเมล์ และเอกสารสำคัญ ๆ หลายรายการ และใช้เป็นช่องทาง – ข้อมูล ในการขโมย หรือเจาะระบบอื่น ๆ ในเครือข่าย

ซึ่งซอฟต์แวร์ Orion ของ Solarwind นั้นถูกใช้ในการบริหาร-จัดการระบบเครือข่ายในหน่วยงานของรัฐบาลสหรัฐฯ หลายหน่วยงานด้วยกัน ไม่ว่าจะเป็นหน่วยงานของรัฐทั่วไป กองทัพ รวมถึงหน่วยราชการลับอีกด้วย

โดยผลการตรวจสอบเบื้องต้นพบว่า มัลแวร์บางตัว มีการเปิดการเชื่อมต่อและรอรับคำสั่งตั้งแต่ช่วงราวเดือน เม.ย. 2020 ที่ผ่านมา จากหลายๆ IP ทั้งในยุโรป, อเมริกาเหนือ รวมถึงจากระบบคลาวด์อย่างเช่น Amazon, MS, Godady ด้วย

อ้างอิง: Tweet

มุ่งเป้ารัสเซียอยู่เบื้องหลัง

ซึ่งก่อนหน้านี้ บริษัทผู้ให้บริการด้านความปลอดภัยอย่าง FireEye ได้ออกมาประกาศว่า เครื่องมือที่ของ Red Team ของ FireEye ถูกขโมยไป ซึ่งมีทั้ง Software, Exploit (ช่องโหว่) และข้อมูลต่าง ๆ เช่น ข้อมูลลูกค้าบางราย ทำให้มีการค้นหาต้นตอ ที่มาที่ไปของการเจาะระบบ ซึ่งทาง FireEye เชื่อว่า มีความเกี่ยวข้องกับกลุ่มแฮคเกอร์จากรัสเซียที่มีหน่วยงานความมั่นคงรัสเซียหนุนหลังอยู่

FYI : ในส่วนของการรักษาความปลอดภัยทางไซเบอร์นั้น บริษัทใหญ่ ๆ จะมีทีมงานที่ทำหน้าที่วิเคราะห์ความปลอดภัยคือ Red Team และ Blue team โดย Red Team จะมีหน้าที่ในการค้นหา-ประเมิน-ตั้งสมมุติฐาน เพื่อทำทดสอบโจมตีระบบ ส่วน Blue Team จะเห็นทีมที่ทำหน้าที่ป้องกัน ไม่ให้ Rea Team เจาะระบบได้

ซึ่งในรายงานการเจาะระบบของ FireEye ได้ถูกรายงานต่อสำนักงานความมั่นคงแห่งชาติสหรัฐฯ หรือ NSA และรายงานดังกล่าว ซึ่ง NSA เริ่มสงสัยในสิ่งที่เกิดขึ้น

ต่อมามีข้อมูลหลุดบางส่วน ที่มีความเชื่อมโยงถึงข้อมูล.ในอีเมล์ของกระทรวงพาณิชย์ของสหรัฐฯ ทำให้การสอบสวนเข้มข้นมากยิ่งขึ้น และพบว่า มีความเชื่อมโยงกับเครื่องมือของ FireEye ถูกนำไปใช้ในการเจาะระบบด้วย ทำให้ชิ้นส่วนของจิ๊กซอว์ ชิ้นต่าง ๆ เริ่มประกอบเข้าด้วยทำ นำไปสู่การสืบสวนเพิ่มเติมของหน่วยงานความมั่นคงของสหรัฐ จนทำให้ทราบว่า หน่วยงานของสหรัฐฯ หลายหน่วยงานถูกโจมตีทางไซเบอร์

ทาง Solarwind เชื่อว่า มัลแวร์ที่ถูกใช้ในการเจาะระบบนั้น เป็นฝีมือของกลุ่มแฮคเกอร์ต่างชาติ ที่รู้จักกันเชื่อว่า Cozy Bear หรือ APT29 ซึ่งมีความเชื่อมโยงกับหน่วยงานสืบราชการลับของรัสเซีย APT29

ซึ่งแน่นอนว่า ทางการรัสเซียออกมาชี้แจงว่า รัสเซียไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว และสหรัฐฯ กำลังกล่าวโทษให้ร้ายกับรัสเซียโดยปราศจากหลักฐานในการโจมตีที่เกิดขึ้น และในขณะนี้รัสเซียเองก็กำลังอยู่ในแนวทางที่ต้องการฟื้นความสัมพันธ์กับทางรัสเซีย (อ้างอิง)

FYI : ผลงานของทีม Cozy Bear ที่มีรายงานว่ามีความเกี่ยวข้องกับการเจาะระบบใหญ่ ๆ เช่น เคยเจาะเพนตากอน เมื่อปี 2015 , ถูกระบุว่า เชื่อมโยงกับการเจาะระบบในการเลือกตั้งเมื่อปี 2016, การโจมตีระบบของหน่วยงานนอร์เวย์, ความพยายามในการเจาะระบบเกี่ยวกับการพัฒนาวัคซีนโควิด-19 ฯลฯ

ผลกระทบที่เกิดขึ้น

ทางการของสหรัฐฯ ประเมินผลกระทบในครั้งนี้ถือว่า เป็นครั้งใหญ่มากทีเดียว เนื่องจากเป็นการเจาะระบบเข้ามาใหลายส่วน หลายหน่วยงานด้วยกัน ซึ่งในระบบของ Soloarwind เองนั้นมีลูกค้ามากกว่า 3 หมื่นรายที่ใช้งานระบบ Orion ในการบริหารจัดการเครือข่าย ซึ่งประมาณ 18,000 หน่วยงานใช้งานอยู่

ซึ่งในขณะนี้การประเมินผลกระทบที่เกิดขึ้น มีการยืนยันแล้วว่า มีหน่วยงานของสหรัฐฯ ที่ได้รับผลกระทบ-มีข้อมูลรั่วไหลออกไปคือ

  • The US Treasury Department
  • The US Department of Commerce’s National Telecommunications and Information Administration (NTIA)
  • The Department of Health’s National Institutes of Health (NIH)
  • The Cybersecurity and Infrastructure Agency (CISA)
  • The Department of Homeland Security (DHS)
  • The US Department of State
  • The National Nuclear Security Administration (NNSA)
  • The US Department of Energy (DOE)
  • Three US states
  • City of Austin

ส่วนผลกระทบกับเอกชนในขณะนี้คือ

  • FireEye
  • Microsoft
  • Solarwind
WRITER

Suthee C.

คนออนไลน์ ประสบการณ์ใช้ Netcape Navigator เปิดเว็บไซต์, ใช้ Notepad ทำเว็บ ผ่านเรื่องราวหลายๆ อย่างที่ผ่านมา เอามาเล่าให้ฟังกัน

RELATED

‘ทรัมป์’ กล่าวสุนทรพจน์ถล่ม ‘ไบเดน’ เตรียมชิงเก้าอี้ปธน. สหรัฐฯ ปี 2024

‘ทรัมป์’ กล่าวสุนทรพจน์ถล่ม ‘ไบเดน’ เตรียมชิงเก้าอี้ปธน. สหรัฐฯ ปี 2024

โดนัลด์ ทรัมป์ อดีตประธานาธิบดีสหรัฐฯ กล่าวสุนทรพจน์ต่อสาธารณะเป็นครั้งแรก หลังก้าวลงจากตำแหน่งผู้นำสหรัฐฯ

‘ไบเดน’ เตือนอิหร่านระวังตัว หลังสหรัฐฯโจมตีทางอากาศในซีเรีย

‘ไบเดน’ เตือนอิหร่านระวังตัว หลังสหรัฐฯโจมตีทางอากาศในซีเรีย

ก่อนหน้านี้กองทัพสหรัฐฯ ได้เข้าโจมตีทางอากาศต่อฐานที่มั่นทางตะวันออกของซีเรีย โจ ไบเดน เตือนอิหร่าน “ระวังตัว” หลังถูกซักถามว่าการโจมตีทางอากาศในซีเรียเป็นการสื่อสารความใดถึงอิหร่าน

สหรัฐฯ เสียชีวิตจากโควิด-19 ทะลุ 5 แสนราย

สหรัฐฯ เสียชีวิตจากโควิด-19 ทะลุ 5 แสนราย

ซึ่งแนวโน้มผู้ติดเชื้อรายใหม่ ยังคงลดลงอย่างต่อเนื่อง

สหรัฐฯ เตรียมพร้อมรับมือการเปลี่ยนผ่าน ปธน. ทั่วประเทศ

สหรัฐฯ เตรียมพร้อมรับมือการเปลี่ยนผ่าน ปธน. ทั่วประเทศ

เตรียมพร้อมรับมือการจราจล/เหตุรุนแรงที่อาจจะเกิดขึ้น

เฟซบุ๊ก-กูเกิล-ไมโครซอฟต์ ระงับเงินสนับสนุนการเมือง

เฟซบุ๊ก-กูเกิล-ไมโครซอฟต์ ระงับเงินสนับสนุนการเมือง

จากเหตุการจราจลของกลุ่มผู้สนับสนุนโดนัลด์ ทรัมป์ บุกรุกอาคารรัฐสภาเมื่อสัปดาห์ก่อน

ทรัมป์ไฟเขียว ‘ภาวะฉุกเฉิน’ ทั่วเมืองหลวง สกัดเหตุร้ายวัน ‘ไบเดน’ สาบานตน

ทรัมป์ไฟเขียว ‘ภาวะฉุกเฉิน’ ทั่วเมืองหลวง สกัดเหตุร้ายวัน ‘ไบเดน’ สาบานตน

โดนัลด์ ทรัมป์ อนุมัติการประกาศภาวะฉุกเฉินของกรุงวอชิงตัน ดี. ซี. เมืองหลวงของประเทศ โดยมีผลบังคับใช้ระหว่างวันที่ 11-24 ม.ค. 2021

สวนสัตว์ซานดีเอโก, สหรัฐฯ ตรวจพบโควิด-19 ในกอริลลา

สวนสัตว์ซานดีเอโก, สหรัฐฯ ตรวจพบโควิด-19 ในกอริลลา

โดยตรวจเชื้อโควิด-19 ในกอริลลา จำนวน 2 ตัว

สหรัฐฯ ป่วน ผู้สนับสนุนทรัมป์ประท้วง บุกสภาคองเกรส

สหรัฐฯ ป่วน ผู้สนับสนุนทรัมป์ประท้วง บุกสภาคองเกรส

โดยผู้สนับสนุนทรัมป์ ได้บุกเข้าไปในอาคารรัฐสภา