กรณี SolarWinds โดนแฮ็กซัพพลายเชนจนลามไปยังหน่วยงานลูกค้าจำนวนมาก ยังเป็นประเด็นข่าวสำคัญในแวดวงความปลอดภัยไซเบอร์ปีนี้

ทีมความปลอดภัยของไมโครซอฟท์ เขียนบล็อกอธิบายการทำงานของมัลแวร์ตัวนี้ (ถูกตั้งชื่อว่า Solorigate น่าจะมาจาก Sol arWinds Ori on + gate) อย่างละเอียด ตั้งแต่กระบวนการฝังมัลแวร์ตั้งแต่ต้นทาง ไปจนถึงการทำงานของมัลแวร์ที่ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ถึง 2 ตัวเพื่อเลี่ยงการตรวจจับ

แผนผังการทำงานของมัลแวร์ Solorigate

ประเด็นที่น่าศึกษาคือวิธีการฝังโค้ดของแฮ็กเกอร์ในไฟล์ dll ของ Orion ที่แนบเนียน ฝังโค้ดเพียง 10 บรรทัด โดยใช้ชื่อคลาสที่ดูเป็นธุรกิจมากๆ (OrionImprovementBusinessLayer) เพื่อให้คนตรวจโค้ดมองข้าม และฝังในเมธอดที่ถูกเรียกใช้งานเป็นประจำ (RefreshInternal) เพื่อการันตีว่ามัลแวร์จะถูกรันขึ้นมาเสมอ

โค้ดดั้งเดิม

โค้ดที่ถูกแก้

ในตัวคลาส OrionImprovementBusinessLayer ที่เป็นมัลแวร์ ยังตั้งชื่อผสมผสานระหว่างโค้ดจริงๆ และหลีกเลี่ยงการใช้คำอย่าง backdoor หรือ keylogger เพื่อป้องกันการตรวจจับ แถมสตริงในโค้ดยังถูกเข้ารหัสแบบ Base64 เพื่อไม่ให้มนุษย์อ่านออกด้วย

อีกประเด็นที่น่าสนใจคือ ไมโครซอฟท์พบว่ามีแฮ็กเกอร์อีกกลุ่มเข้ามาฝังมัลแวร์ใน SolarWinds Orion ได้เช่นกัน แต่มัลแวร์ตัวที่สองไม่แนบเนียนเท่าตัวแรก รูปแบบเป็นการฝังไฟล์ DLL แต่ไม่ถูกเซ็นใบรับรองดิจิทัลเหมือนมัลแวร์ตัวแรก และตัวสคริปต์ไม่ซับซ้อน ไม่พรางตัวแนบเนียนเหมือนตัวแรกด้วย

นักวิจัยความปลอดภัยเรียกมัลแวร์ตัวที่สองว่า SUPERNOVA ถูกสร้างขึ้นช่วงปลายเดือนมีนาคม และยังไม่ชัดเจนว่าสร้างขึ้นมาเพื่อโจมตีหน่วยงานใดเป็นพิเศษหรือไม่ แต่ก็แสดงให้เห็นว่าบริษัท SolarWinds เป็นเป้าหมายสำคัญของแฮ็กเกอร์ และโดนเจาะเข้ามาได้สำเร็จถึงสองครั้ง

ที่มา - Microsoft, Reuters