Fri. Jan 22nd, 2021

แฮกเกอร์รัสเซียที่ต้องสงสัยว่าอยู่เบื้องหลังการละเมิดที่หน่วยงานรัฐบาลสหรัฐยังสามารถเข้าถึง บริษัทเทคโนโลยีและบัญชีรายใหญ่ของสหรัฐโรงพยาบาลและมหาวิทยาลัยอย่างน้อยหนึ่งแห่งการวิเคราะห์บันทึกทางอินเทอร์เน็ตของ Wall Street Journal ที่พบ

วารสารระบุคอมพิวเตอร์ที่ติดเชื้อในองค์กรสองโหลที่ติดตั้งซอฟต์แวร์ตรวจสอบเครือข่ายที่ปนเปื้อนที่เรียกว่า SolarWinds Orion ซึ่งอนุญาตให้แฮกเกอร์เข้ามาทางประตูหลังที่ซ่อนไว้ ทำให้พวกเขาสามารถเข้าถึงคะแนนของข้อมูลองค์กรและข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้

รัสเซียที่ถูกกล่าวหาว่าแฮ็กกับเราคือการคุกคาม ‘GRAVE’ หน่วยงานด้านความปลอดภัยกล่าวว่า

ทิกเกอร์ ความปลอดภัย ล่าสุด เปลี่ยน เปลี่ยน%
SWI SOLARWINDS CORPORATION 14.18 -3.42 -19.43%
ตารางหุ้น TD Ameritrade
ในหมู่พวกเขา: บริษัท ยักษ์ใหญ่ด้านเทคโนโลยี Cisco Systems Inc. ผู้ผลิตชิป Intel Corp. และ Nvidia Corp. บริษัท บัญชี Deloitte LLP ผู้ผลิตซอฟต์แวร์คอมพิวเตอร์ระบบคลาวด์ VMware Inc. และ Belkin International Inc. ซึ่งจำหน่ายเราเตอร์และเครือข่าย Wi-Fi ในบ้านและที่ทำงาน อุปกรณ์ภายใต้แบรนด์ LinkSys และ Belkin ผู้โจมตียังสามารถเข้าถึง California Department of State Hospitals และ Kent State University

ผู้ที่ตกเป็นเหยื่อเสนอหน้าต่างเล็ก ๆ ในขอบเขตที่กว้างขวางของการแฮ็กซึ่งอาจทำให้ลูกค้าของ SolarWinds Corp. ในออสตินได้มากถึง 18,000 ราย บริษัท กล่าวหลังจากแฮกเกอร์ทำการอัปเดตซอฟต์แวร์ตามปกติด้วยรหัสที่เป็นอันตราย

SolarWinds กล่าวว่าได้ติดตามกิจกรรมจากแฮกเกอร์ย้อนหลังไปถึงอย่างน้อยเดือนตุลาคม 2019 และตอนนี้กำลังทำงานร่วมกับ บริษัท รักษาความปลอดภัยหน่วยงานบังคับใช้กฎหมายและหน่วยข่าวกรองเพื่อตรวจสอบการโจมตี

Cisco ยืนยันในแถลงการณ์ว่าพบซอฟต์แวร์ที่เป็นอันตรายในระบบพนักงานบางระบบและระบบห้องปฏิบัติการจำนวนเล็กน้อย บริษัท ยังอยู่ระหว่างการตรวจสอบ “ในขณะนี้ยังไม่ทราบผลกระทบต่อข้อเสนอหรือผลิตภัณฑ์ของ Cisco” โฆษกของ บริษัท กล่าว

Intel ดาวน์โหลดและรันซอฟต์แวร์ที่เป็นอันตรายจากการวิเคราะห์ของ Journal พบ บริษัท กำลังตรวจสอบเหตุการณ์และไม่พบหลักฐานว่าแฮ็กเกอร์ใช้แบ็คดอร์เพื่อเข้าถึงเครือข่ายของ บริษัท โฆษกกล่าว

Deloitte ซึ่งติดเชื้อในช่วงปลายเดือนมิถุนายนตามการวิเคราะห์ของ Journal ระบุในแถลงการณ์ว่า “ได้ดำเนินการตามขั้นตอนเพื่อแก้ไขปัญหา” มัลแวร์ แต่ยังไม่ “สังเกตเห็นข้อบ่งชี้ของการเข้าถึงระบบของเราโดยไม่ได้รับอนุญาตในขณะนี้”

VMware กล่าวว่าพบซอฟต์แวร์ที่เป็นอันตรายในระบบ “อินสแตนซ์ จำกัด ” แต่ “การตรวจสอบภายในไม่ได้เปิดเผยข้อบ่งชี้ใด ๆ ของการแสวงหาประโยชน์” โฆษกกล่าว

Belkin กล่าวในอีเมลว่าได้ลบประตูหลังออกทันทีหลังจากที่เจ้าหน้าที่ของรัฐบาลกลางได้แจ้งเตือนเมื่อสัปดาห์ที่แล้ว “ยังไม่มีการระบุถึงผลกระทบเชิงลบที่เป็นที่รู้จักในปัจจุบัน” โฆษกหญิงของ บริษัท กล่าว

โฆษกหญิงของมหาวิทยาลัย Kent State กล่าวว่าโรงเรียน “ตระหนักถึงสถานการณ์และกำลังประเมินเรื่องร้ายแรงนี้”

โรงพยาบาลแห่งรัฐแคลิฟอร์เนียได้ติดตั้งประตูหลังภายในต้นเดือนสิงหาคมตามการวิเคราะห์ของวารสาร เจ้าหน้าที่ของรัฐกำลังทำงานร่วมกับหน่วยงานของรัฐบาลกลางและรัฐเพื่อจัดการกับผลกระทบของประตูหลัง SolarWinds ตามโฆษกสำนักงานบริการฉุกเฉินของผู้ว่าการรัฐแคลิฟอร์เนียซึ่งปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับหน่วยงานเฉพาะที่ได้รับผลกระทบ

โฆษกของ Nvidia กล่าวในแถลงการณ์ว่า บริษัท “ไม่มีหลักฐานในขณะนี้ว่า Nvidia ได้รับผลกระทบในทางลบและการสอบสวนของเรากำลังดำเนินอยู่”

วารสารรวบรวมเบาะแสดิจิทัลจากคอมพิวเตอร์ของเหยื่อที่รวบรวมโดย บริษัท ข่าวกรองภัยคุกคาม Farsight Security และ RiskIQ จากนั้นใช้วิธีการถอดรหัสเพื่อเปิดเผยข้อมูลประจำตัวของเซิร์ฟเวอร์บางเครื่องที่ดาวน์โหลดรหัสที่เป็นอันตราย ในบางกรณีการวิเคราะห์นำไปสู่การระบุตัวตนขององค์กรที่ถูกบุกรุกและแสดงให้เห็นว่าเมื่อใดที่โค้ดนั้นน่าจะเปิดใช้งานซึ่งบ่งชี้ว่าแฮกเกอร์สามารถเข้าถึงได้

ยังไม่เป็นที่ทราบแน่ชัดว่าแฮ็กเกอร์ทำอะไรในองค์กรต่างๆหรือแม้กระทั่งใช้แบ็คดอร์ให้กับหลาย ๆ บริษัท แต่ผู้ตรวจสอบและผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่านอกจากการสื่อสารภายในองค์กรและความลับอื่น ๆ ของรัฐบาลแล้วแฮ็กเกอร์อาจค้นหาอีเมลของผู้บริหารองค์กรไฟล์เกี่ยวกับเทคโนโลยีที่ละเอียดอ่อนที่อยู่ระหว่างการพัฒนาและวิธีอื่น ๆ ในการประนีประนอมระบบอื่น ๆ ในภายหลัง

ความไม่แน่นอนได้ทิ้งลูกค้าของ SolarWinds ซึ่งรวมถึง บริษัท เทคโนโลยีรายใหญ่ บริษัท ที่ติดอันดับ Fortune 500 มากกว่า 400 แห่งและหน่วยงานของรัฐหลายแห่งกำลังดิ้นรนเพื่อหาสาเหตุที่ไม่ดีและแฮกเกอร์ยังคงอยู่

การโจมตีดังกล่าวผสมผสานกับยานพาหนะที่ซ่อนตัวอยู่เป็นพิเศษโดยใช้เครื่องมือทางไซเบอร์ที่ไม่เคยเห็นมาก่อนในการโจมตีครั้งก่อนด้วยกลยุทธ์ที่มุ่งเน้นไปที่การเชื่อมโยงที่อ่อนแอในห่วงโซ่อุปทานซอฟต์แวร์ที่ธุรกิจในสหรัฐอเมริกาและสถาบันของรัฐทั้งหมดต้องพึ่งพา – ผู้เชี่ยวชาญด้านความปลอดภัยที่มีมายาวนาน กลัว แต่สิ่งที่ไม่เคยใช้กับเป้าหมายของสหรัฐฯในลักษณะร่วมกัน

หน่วยงานของรัฐและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังคงทำงานเพื่อปะติดปะต่อปฏิบัติการจารกรรมที่ต้องสงสัยครั้งใหญ่ หน่วยงานของรัฐบาลกลางอย่างน้อยหกหน่วยงานซึ่งรวมถึงหน่วยงานของรัฐความมั่นคงแห่งมาตุภูมิการพาณิชย์และพลังงานถูกแฮ็กโดยเป็นส่วนหนึ่งของแคมเปญ

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานเมื่อสัปดาห์ที่แล้วเผยแพร่การแจ้งเตือนที่ระบุว่าการแฮ็กนั้น “ร้ายแรง” และกำลังดำเนินอยู่ SolarWinds ได้เปิดตัวการอัปเดตที่ปิดประตูหลังและ Microsoft Corp. ได้เข้าควบคุมส่วนหนึ่งของโครงสร้างพื้นฐานของแฮกเกอร์เพื่อป้องกันการโจมตีไม่ให้แพร่กระจาย

ผู้ตรวจสอบของรัฐบาลกลางได้สรุปว่ารัฐบาลรัสเซียมีแนวโน้มที่จะต้องรับผิดชอบต่อการแฮ็กส่วนหนึ่งเป็นเพราะระดับของทักษะที่เกี่ยวข้อง วุฒิสมาชิกหลายคนที่ได้รับฟังการบรรยายสรุปในช่วงไม่กี่วันที่ผ่านมาได้กล่าวอย่างเปิดเผยว่าเป็นการปฏิบัติการของรัสเซีย และในวันศุกร์รัฐมนตรีต่างประเทศไมค์ปอมเปโอกลายเป็นเจ้าหน้าที่บริหารของทรัมป์คนแรกที่กล่าวโทษมอสโกต่อสาธารณชนแม้ว่าประธานาธิบดีทรัมป์จะทวีตเมื่อวันเสาร์ที่ผ่านมาโดยไม่มีหลักฐานว่าจีนสามารถรับผิดชอบได้

การโจมตีผ่านเว็บของแฮ็กเกอร์กำหนดให้ผู้เชี่ยวชาญไซเบอร์ทั่วโลกหลอกลวงเพื่อปกป้องเครือข่าย

มอสโกได้ปฏิเสธความรับผิดชอบ

“ลูกค้ากำลังคลั่งไคล้อย่างแน่นอน” David Kennedy ซึ่งเป็น บริษัท ของ TrustedSec LLC กำลังตรวจสอบการแฮ็ก สำหรับหลาย บริษัท ความกังวลคือผู้โจมตีขโมยข้อมูลหรือไม่ถูกตรวจพบภายในเครือข่ายขององค์กรหรือไม่เขากล่าว ยิ่งไปกว่านั้นเนื่องจากการโจมตีย้อนหลังไปหลายเดือนบาง บริษัท อาจไม่มีข้อมูลทางนิติวิทยาศาสตร์ที่จำเป็นในการตรวจสอบอีกต่อไป

“ถ้านี่คือ SVR จริงอย่างที่เราเชื่อคนเหล่านั้นก็ยากที่จะเขี่ยออกจากเครือข่าย” Dmitri Alperovitch ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และผู้ร่วมก่อตั้ง Silverado Policy Accelerator กล่าวถึงหน่วยข่าวกรองต่างประเทศของรัสเซียกล่าว บริการ.

องค์กรบางแห่งที่รักษาบันทึกกิจกรรมที่ดีกว่าในระบบของตนมีแนวโน้มที่จะสามารถระบุได้ว่ามีใครบางคนเดินผ่านประตูหลังของรัสเซียไปยังเครือข่ายของพวกเขาหรือไม่นาย Alperovitch ผู้ร่วมก่อตั้ง บริษัท รักษาความปลอดภัยทางไซเบอร์ CrowdStrike Holdings Inc. กล่าว หรือ บริษัท ขนาดกลางจะเป็นงานที่ยากและมีราคาแพงซึ่งหลายคนมักจะเพิกเฉยซึ่งหมายความว่ารัสเซียสามารถรักษาสถานะในเครือข่ายบางแห่งได้อย่างไม่มีกำหนด

“พวกเขาอาจจะแค่ถอดประตูหลังและเดินหน้าต่อไป” นายอัลเพโรวิทช์กล่าว

WHITE HOUSE ยืนยันรายงาน CYBERATTACK เกี่ยวกับสมบัติของสหรัฐฯโดยรัฐบาลต่างประเทศ

สำหรับผู้ที่ตกเป็นเหยื่อในองค์กรจำนวนมากความกลัวที่เกิดขึ้นในตอนนี้ก็คือแฮกเกอร์สามารถใช้พวกเขาเป็นช่องทางในการเข้าถึงลูกค้าได้ ตัวอย่างเช่น Microsoft พบในงานวิจัยที่เผยแพร่เมื่อวันพฤหัสบดีว่าลูกค้าเกือบครึ่งกว่า 40 รายที่ถูกโจมตีเป็น บริษัท ที่ให้บริการเทคโนโลยีสารสนเทศซึ่งมักจะเข้าถึงเครือข่ายของลูกค้าได้ในวงกว้าง

Microsoft ซึ่งเป็นลูกค้า SolarWinds กล่าวเมื่อสัปดาห์ที่แล้วว่าตรวจพบซอฟต์แวร์ที่เป็นอันตรายที่เกี่ยวข้องกับการแฮ็กในเครือข่ายของตัวเอง แต่ “ไม่มีข้อบ่งชี้ว่าระบบของเราถูกใช้เพื่อโจมตีผู้อื่น” โฆษกหญิงของ บริษัท กล่าว การสอบสวนของ บริษัท ยังคงดำเนินต่อไป

By admin