อธิบาย: การโจมตีทางไซเบอร์ครั้งใหญ่ในสหรัฐอเมริกาโดยใช้ชุดเครื่องมือใหม่

หนึ่งในการโจมตีทางไซเบอร์ที่ใหญ่ที่สุดที่มุ่งเป้าไปที่หน่วยงานรัฐบาลและบริษัทเอกชนของสหรัฐฯ การ 'แฮ็ก SolarWinds' นั้นกำลังถูกมองว่าเป็นความพยายามระดับโลกที่น่าจะเป็นไปได้ มีการดำเนินการอย่างไร และข้อมูลประเภทใดที่ถูกบุกรุก เหตุใดจึงมีเจ้าหน้าที่รัฐบาลและนักการเมืองสหรัฐชื่อรัสเซีย

เป้าหมายของการโจมตีทางไซเบอร์คือ Orion ซึ่งเป็นซอฟต์แวร์ที่จัดทำโดย SolarWinds (ภาพรอยเตอร์)

'SolarWinds hack' การโจมตีทางไซเบอร์ที่เพิ่งค้นพบในสหรัฐอเมริกาเมื่อเร็ว ๆ นี้ได้กลายเป็นหนึ่งใน ใหญ่ที่สุดเท่าที่เคยมีมา มุ่งเป้าไปที่รัฐบาลสหรัฐ หน่วยงาน และบริษัทเอกชนอื่นๆ อีกหลายแห่ง อันที่จริงมีแนวโน้มว่าจะเป็นการโจมตีทางไซเบอร์ทั่วโลก

มันถูกค้นพบครั้งแรกโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา FireEye และตั้งแต่นั้นมาการพัฒนาเพิ่มเติมก็ยังคงปรากฏให้เห็นทุกวัน ระดับสูงสุดของการโจมตีทางไซเบอร์ยังไม่เป็นที่ทราบแน่ชัด แม้ว่ากระทรวงการคลังสหรัฐ กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงพาณิชย์ บางส่วนของเพนตากอนจะได้รับผลกระทบทั้งหมด

ในอัน ความคิดเห็น เขียนเพื่อ The New York Times โธมัส พี. บอสเซิร์ต ซึ่งเป็นที่ปรึกษาด้านความมั่นคงแห่งมาตุภูมิของประธานาธิบดีโดนัลด์ ทรัมป์ ได้เสนอชื่อรัสเซียให้เป็นผู้โจมตี เขาเขียนหลักฐานในการโจมตีของ SolarWinds ไปยังหน่วยข่าวกรองของรัสเซียที่รู้จักกันในชื่อ SVR ซึ่งการค้าขายนั้นก้าวหน้าที่สุดในโลก เครมลินได้ปฏิเสธการมีส่วนร่วม

ดังนั้น 'การแฮ็ก SolarWinds' คืออะไร?

ข่าวการโจมตีทางไซเบอร์ในทางเทคนิคเกิดขึ้นครั้งแรกเมื่อวันที่ 8 ธันวาคม เมื่อ FireEye เผยแพร่บล็อกที่ตรวจพบการโจมตีในระบบของตน บริษัทช่วยในการจัดการความปลอดภัยของบริษัทเอกชนขนาดใหญ่หลายแห่งและหน่วยงานรัฐบาลกลาง

Kevin Mandia ซีอีโอของ FireEye เขียนในบล็อกโพสต์ว่าบริษัทถูกโจมตีโดยผู้คุกคามที่มีความซับซ้อนสูง โดยเรียกมันว่าการโจมตีที่ได้รับการสนับสนุนจากรัฐ แม้ว่าจะไม่ได้ระบุชื่อรัสเซียก็ตาม มันกล่าวว่าการโจมตีดำเนินการโดยประเทศที่มีความสามารถเชิงรุกระดับแนวหน้า และผู้โจมตีค้นหาข้อมูลที่เกี่ยวข้องกับลูกค้าของรัฐบาลเป็นหลัก นอกจากนี้ยังกล่าวอีกว่าวิธีการที่ผู้โจมตีใช้นั้นแปลกใหม่

จากนั้นเมื่อวันที่ 13 ธันวาคม FireEye กล่าวว่าการโจมตีทางไซเบอร์ซึ่งมีชื่อว่า Campaign UNC2452 ไม่ได้จำกัดอยู่ที่บริษัท แต่มุ่งเป้าไปที่องค์กรภาครัฐและเอกชนหลายแห่งทั่วโลก แคมเปญน่าจะเริ่มในเดือนมีนาคม 2020 และดำเนินต่อเนื่องมาหลายเดือนแล้ว โพสต์ระบุ ที่แย่ไปกว่านั้น ขอบเขตของข้อมูลที่ถูกขโมยหรือถูกบุกรุกยังไม่ทราบ เนื่องจากยังคงมีการค้นพบขนาดของการโจมตี หลังจากที่ระบบถูกบุกรุก การเคลื่อนไหวด้านข้างและการขโมยข้อมูลก็เกิดขึ้น

หน่วยงานและบริษัทของรัฐบาลสหรัฐฯ จำนวนมากถูกโจมตีได้อย่างไร

สิ่งนี้เรียกว่าการโจมตีแบบ 'Supply Chain': แทนที่จะโจมตีรัฐบาลกลางโดยตรงหรือเครือข่ายขององค์กรเอกชน แฮกเกอร์มุ่งเป้าไปที่ผู้จำหน่ายบุคคลที่สามซึ่งจัดหาซอฟต์แวร์ให้กับพวกเขา ในกรณีนี้ เป้าหมายคือซอฟต์แวร์การจัดการไอทีชื่อ Orion ซึ่งจัดหาโดย SolarWinds บริษัทในเท็กซัส

Orion เป็นซอฟต์แวร์ที่โดดเด่นจาก SolarWinds ที่มีลูกค้า ซึ่งรวมถึงบริษัทมากกว่า 33,000 แห่ง SolarWinds กล่าวว่าลูกค้า 18,000 รายได้รับผลกระทบ อนึ่ง บริษัทได้ลบรายชื่อลูกค้าออกจากเว็บไซต์อย่างเป็นทางการ

ตามหน้าดังกล่าว ซึ่งถูกคัดออกจากคลังข้อมูลเว็บของ Google เช่นกัน รายชื่อดังกล่าวประกอบด้วยบริษัท 425 แห่งใน Fortune 500 ซึ่งเป็นผู้ให้บริการโทรคมนาคม 10 อันดับแรกในสหรัฐฯ รายงานของ New York Times ระบุว่าบางส่วนของเพนตากอน ศูนย์ควบคุมและป้องกันโรค กระทรวงการต่างประเทศ กระทรวงยุติธรรม และอื่นๆ ได้รับผลกระทบทั้งหมด

Microsoft ยืนยันว่าพบหลักฐานของมัลแวร์ในระบบของพวกเขาแล้ว แม้ว่าจะเสริมว่าไม่มีหลักฐานการเข้าถึงบริการการผลิตหรือข้อมูลลูกค้า หรือระบบของมันถูกใช้เพื่อโจมตีผู้อื่น แบรด สมิธ ประธานไมโครซอฟท์กล่าวว่า บริษัทได้เริ่มแจ้งลูกค้ามากกว่า 40 รายว่าผู้โจมตีกำหนดเป้าหมายอย่างแม่นยำและถูกบุกรุกมากขึ้น

รายงานของสำนักข่าวรอยเตอร์กล่าวว่าแม้แต่อีเมลที่ส่งโดยเจ้าหน้าที่กระทรวงความมั่นคงแห่งมาตุภูมิก็ยังถูกตรวจสอบโดยแฮกเกอร์

พวกเขาเข้าถึงได้อย่างไร?

จากข้อมูลของ FireEye แฮกเกอร์ได้เข้าถึงเหยื่อผ่านการอัปเดตโทรจันสำหรับซอฟต์แวร์ตรวจสอบและการจัดการ Orion IT ของ SolarWinds โดยทั่วไป การอัปเดตซอฟต์แวร์ถูกใช้เพื่อติดตั้งมัลแวร์ 'Sunburst' ใน Orion ซึ่งติดตั้งโดยลูกค้ามากกว่า 17,000 ราย

FireEye กล่าวว่าผู้โจมตีใช้เทคนิคหลายอย่างเพื่อหลีกเลี่ยงการถูกตรวจจับและปิดบังกิจกรรมของพวกเขา มัลแวร์สามารถเข้าถึงไฟล์ระบบได้ สิ่งที่ได้ผลในความโปรดปรานของมัลแวร์คือสามารถผสมผสานกับกิจกรรม SolarWinds ที่ถูกต้องตาม FireEye

เมื่อติดตั้งแล้ว มัลแวร์ได้ให้แฮ็กเกอร์เข้าถึงระบบและเครือข่ายของลูกค้า SolarWinds ทางลับๆ ที่สำคัญกว่านั้น มัลแวร์ยังสามารถขัดขวางเครื่องมือต่างๆ เช่น แอนตี้ไวรัสที่สามารถตรวจจับได้

รัสเซียเข้ามาไหน?

ในบทความความคิดเห็นของ NYT Bossert ได้ตั้งชื่อรัสเซียและหน่วยงาน SVR ซึ่งมีความสามารถในการโจมตีด้วยความเฉลียวฉลาดและขนาดดังกล่าว

Microsoft ตั้งข้อสังเกตในบล็อกว่าการโจมตีในลักษณะนี้ทำให้เกิดช่องโหว่ของห่วงโซ่อุปทานที่มีความสำคัญเกือบทั่วโลก โดยเข้าถึงเมืองหลวงที่สำคัญหลายแห่งนอกรัสเซีย กล่าวต่อไปว่าการโจมตีที่ซับซ้อนจากรัสเซียกลายเป็นเรื่องธรรมดา

อย่างไรก็ตาม FireEye ยังไม่ได้ระบุว่ารัสเซียเป็นผู้รับผิดชอบ และกล่าวว่าเป็นการสอบสวนอย่างต่อเนื่องกับ FBI, Microsoft และพันธมิตรหลักอื่นๆ ที่ไม่ได้ระบุชื่อ

SolarWinds และรัฐบาลสหรัฐฯ พูดถึงการแฮ็กนี้อย่างไร

ตอนนี้ SolarWinds แนะนำให้ลูกค้าทุกคนอัปเดตแพลตฟอร์ม Orion ที่มีอยู่ทันที ซึ่งมีโปรแกรมแก้ไขสำหรับมัลแวร์นี้ หากพบกิจกรรมของผู้โจมตีในสภาพแวดล้อม เราแนะนำให้ทำการตรวจสอบอย่างครอบคลุมและออกแบบและดำเนินกลยุทธ์การแก้ไขที่ขับเคลื่อนโดยผลการสอบสวนและรายละเอียดของสภาพแวดล้อมที่ได้รับผลกระทบ

ผู้ที่ไม่สามารถอัปเดตจะได้รับคำสั่งให้แยกเซิร์ฟเวอร์ SolarWinds และควรรวมถึงการบล็อกอินเทอร์เน็ตทั้งหมดออกจากเซิร์ฟเวอร์ SolarWinds คำแนะนำขั้นต่ำสุดคือการเปลี่ยนรหัสผ่านสำหรับบัญชีที่สามารถเข้าถึงเซิร์ฟเวอร์/โครงสร้างพื้นฐาน SolarWinds

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้ออกคำสั่งฉุกเฉิน 21-01 ขอให้หน่วยงานพลเรือนของรัฐบาลกลางตรวจสอบเครือข่ายของตนเพื่อหาตัวบ่งชี้การประนีประนอม ได้ขอให้พวกเขาถอดหรือปิดผลิตภัณฑ์ SolarWinds Orion ทันที

FBI, CISA และสำนักงานผู้อำนวยการหน่วยข่าวกรองแห่งชาติได้ออกแถลงการณ์ร่วมและประกาศสิ่งที่เรียกว่า 'Cyber ​​Unified Coordination Group (UCG) เพื่อประสานการตอบสนองของรัฐบาลต่อวิกฤตการณ์ แถลงการณ์เรียกสิ่งนี้ว่าแคมเปญความปลอดภัยทางไซเบอร์ที่สำคัญและต่อเนื่อง

ทำเนียบขาวและประธานาธิบดีโดนัลด์ ทรัมป์ ต่างนิ่งเงียบ วุฒิสมาชิก Mitt Romney ได้สรุปว่าดีที่สุดในความคิดเห็นของเขาต่อนักข่าว Olivier Knox แห่งวิทยุ SiriusXM ซึ่งเขาเปรียบเทียบการโจมตีครั้งนี้กับเครื่องบินทิ้งระเบิดรัสเซียที่ตรวจไม่พบทั่วประเทศซึ่งเผยให้เห็นจุดอ่อนของสงครามไซเบอร์ของสหรัฐฯ เขากล่าวว่าความเงียบและความเกียจคร้านจากทำเนียบขาวเป็นเรื่องที่ให้อภัยไม่ได้

วุฒิสมาชิก Richard Blumenthal พรรคประชาธิปัตย์ทวีต: การโจมตีทางไซเบอร์ของรัสเซียทำให้ฉันตื่นตระหนกอย่างมาก อันที่จริงก็กลัวจริงๆ

โจ ไบเดน ว่าที่ประธานาธิบดีคนใหม่กล่าวในแถลงการณ์ว่า การป้องกันที่ดีไม่เพียงพอ เราจำเป็นต้องขัดขวางและขัดขวางไม่ให้คู่ต่อสู้ของเราทำการโจมตีทางไซเบอร์ที่สำคัญตั้งแต่แรก

แบ่งปันกับเพื่อนของคุณ: