By: lew 
on 31 October 2023 - 09:13
Tags:
Topics:
ก.ล.ต. สหรัฐฯ (SEC) ประกาศตั้งข้อหาแก่บริษัท SolarWinds และ Timothy G. Brown CISO ของบริษัท จากเหตุการณ์ที่บริษัทถูกแฮกฝังโค้ดในซอฟต์แวร์ ส่งผลต่อเนื่องให้องค์กรลูกค้าถูกแฮกตามไปด้วย
SEC ระบุว่าวิศวกรของบริษัทเตือน Brown แล้วว่าเครือข่ายของบริษัทปล่อยให้มีการเข้าถึงอย่างไม่ปลอดภัยนัก และหากคนร้ายเจาะเข้ามาได้ก็ตรวจจับได้ยาก แม้ Brown จะได้รับรายงานแต่ก็ไม่แก้ไขหรือแจ้งเรื่องต่อภายในบริษัทให้มีการแก้ไข
By: mk on 16 April 2021 - 09:02
Tags:
นอกจากสงครามการค้ากับบริษัทจีนแล้ว ล่าสุดรัฐบาลสหรัฐประกาศมาตรการตอบโต้รัสเซียหลายข้อ จากกรณีการแฮ็ก SolarWinds และการโจมตีไซเบอร์อื่นๆ
กรณีการแฮ็ก SolarWinds ครั้งใหญ่ที่ส่งผลกระทบต่อหน่วยงานจำนวนมาก ถูกพูดกันมานานแล้วว่าเป็นฝีมือของรัสเซีย แต่วันนี้รัฐบาลสหรัฐอเมริกาประกาศอย่างเป็นทางการว่า หน่วยงานข่าวกรองของรัสเซีย 3 หน่วยคือ Federal Security Service (FSB), Russia’s Main Intelligence Directorate (GRU), Foreign Intelligence Service (SVR) อยู่เบื้องการโจมตีไซเบอร์ต่อสหรัฐหลายครั้ง
สหรัฐชี้ว่า SVR คือหน่วยงานที่แฮ็กระบบ SolarWinds และยังขโมยซอฟต์แวร์ตรวจสอบการโจมตีไซเบอร์ไปจากบริษัทความปลอดภัยของสหรัฐอีกแห่งที่ไม่ระบุชื่อ
By: mk on 1 March 2021 - 09:40
Tags:
กรณีการแฮ็ก SolarWinds ที่เป็นระดับ supply chain attack ถือว่ามีความซับซ้อนสูงมาก ตรวจเจอได้ยากมาก ทำให้เกิดคำถามตามมาว่า เราจะป้องกันเหตุการณ์ลักษณะเดียวกันได้อย่างไร
องค์กรที่เกี่ยวข้องกับการแฮ็กคือ FireEye ซึ่งตรวจเจอมัลแวร์เป็นรายแรก เคยออกมาแชร์ชุดเครื่องมือตรวจสอบมัลแวร์แบบนี้แล้ว เทคนิคของ FireEye เป็นการตรวจสอบพฤติกรรมของคอนฟิกในระบบว่ามีการเปลี่ยนแปลงที่ผิดปกติหรือไม่
By: mk on 28 February 2021 - 16:50
Tags:
Topics:
จากกรณีการแฮ็ก SolarWinds ครั้งประวัติศาสตร์ ที่ส่งผลให้หน่วยงานภาครัฐในหลายประเทศโดนแฮ็กตามไปด้วย ทำให้คณะกรรมาธิการด้านความมั่นคงของสภาผู้แทนราษฎรสหรัฐ เรียกผู้บริหารของ SolarWinds มาชี้แจง
ประเด็นหนึ่งที่น่าสนใจคือความอ่อนแอของระบบความปลอดภัย SolarWinds เอง โดยในปี 2019 มีนักวิจัยด้านความปลอดภัยค้นพบรหัสผ่าน "solarwinds123" ถูกโพสต์อยู่ในอินเทอร์เน็ตสาธารณะตั้งแต่ปี 2017 และพบว่าเป็นรหัสผ่านเข้าเซิร์ฟเวอร์ภายในของบริษัท (กรณีนี้ไม่เกี่ยวกับ SolarWinds ถูกแฮ็กโดยตรง แต่สะท้อนว่าบริษัทไม่ค่อยระวัง)
By: mk on 4 February 2021 - 14:46
Tags:
Topics:
ก่อนหน้านี้ ไมโครซอฟท์ตรวจพบว่ามีแฮ็กเกอร์กลุ่มที่สองเข้ามาแฮ็ก SolarWinds ได้สำเร็จ แต่ยังไม่มีรายละเอียดมากนัก ล่าสุด Reuters อ้างแหล่งข่าวที่ยังไม่มียืนยันว่า แฮ็กเกอร์กลุ่มที่สองน่าจะมาจากจีน (แฮ็กเกอร์กลุ่มแรกคาดว่ามาจากรัสเซีย)
แหล่งข่าวของ Reuters ระบุว่ามาจากการสอบสวนของ FBI ที่กำลังตรวจสอบกระทรวงเกษตรของสหรัฐว่าโดนแฮ็กอย่างไร แต่ทางกระทรวงปฏิเสธข่าวการถูกแฮ็ก และ FBI ไม่แสดงความเห็นในเรื่องนี้
By: mk on 4 February 2021 - 13:52
Tags:
Topics:
กรณีของบริษัท SolarWinds ถูกแฮ็กจนลามไปถึงหน่วยงานจำนวนมากยังไม่ทันจางหาย วันนี้มีความเคลื่อนไหวเกี่ยวกับ SolarWinds ออกมาหลายข่าว เริ่มจากการค้นพบช่องโหว่ชุดใหม่ของ SolarWinds
บริษัทที่ปรึกษาด้านความปลอดภัย Trustwave รายงานช่องโหว่ที่ค้นพบใหม่ของซอฟต์แวร์จาก SolarWinds จำนวน 3 ช่องโหว่
ช่องโหว่ตัวแรกเป็นเรื่องการใช้งานระบบส่งข้อความ Microsoft Message Queue (MSMQ) ที่เป็นเทคโนโลยีเก่าของวินโดวส์, ตัวที่สองเป็นการจัดเก็บรหัสผ่านในฐานข้อมูล ที่กลับเปิดสิทธิให้ผู้ใช้ทุกคนในเครื่องเข้าถึงไฟล์ฐานข้อมูลได้, ตัวที่สามเป็นระบบ FTP ที่เปิดให้เพิ่มผู้ใช้แอดมินได้เอง
By: mk on 20 January 2021 - 15:55
Tags:
Topics:
กรณี SolarWinds เป็นการแฮ็กครั้งใหญ่ที่สะเทือนหน่วยงานจำนวนมาก แถมยังตรวจจับได้ยากมาก เพราะมัลแวร์แฝงตัวมากับซอฟต์แวร์ที่ถูกเผยแพร่อย่างเป็นทางการ (แฮ็กตั้งแต่ระบบซัพพลายเชน) ล่าสุดยังมี MalwareBytes ที่โดนโจมตีจากแฮ็กเกอร์กลุ่มเดียวกัน
FireEye ในฐานะบริษัทที่ตรวจพบมัลแวร์ที่แอบใน SolarWinds ออกเครื่องมือช่วยตรวจจับการโจมตีของแฮ็กเกอร์กลุ่มนี้ (ถูกตั้งชื่อว่ากลุ่ม UNC2452) ที่หันมานิยมการโจมตีผ่านคลาวด์ Azure โดยเริ่มจากการขโมยโทเคนล็อกอิน Active Directory Federation Services ก่อน เมื่อเข้ามาได้แล้วจะฝังแบ็คดอร์ไว้บนแอพพลิเคชันภายในที่รันบน Microsoft 365 อีกที
By: mk on 20 January 2021 - 08:07
Tags:
บริษัท Malwarebytes เปิดเผยว่าโดนเจาะเข้าระบบ โดยแฮ็กเกอร์กลุ่มเดียวกับที่เจาะระบบ SolarWinds (ซึ่งในวงการความปลอดภัยประเมินกันว่าเป็นแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย แต่ก็ไม่มีหลักฐานชี้ชัด)
Malwarebytes บอกว่าไม่ได้ใช้ซอฟต์แวร์ของ SolarWinds เจ้าปัญหา แต่โดนแฮ็กจากช่องโหว่ของแอพพลิเคชันไม่ระบุชื่อ ที่มีสิทธิเข้าถึงบน Microsoft Office 365 และ Azure อีกที (Malwarebytes ทราบเรื่องนี้เพราะได้รับแจ้งจากทีมความปลอดภัยของไมโครซอฟท์ ที่มอนิเตอร์ระบบแล้วเห็นความผิดปกติ)
By: lew on 1 January 2021 - 13:21
Tags:
ไมโครซอฟท์รายงานถึงการตรวจสอบมัลแวร์ที่คนร้ายฝังไปกับซอฟต์แวร์ SolarWinds ที่ไมโครซอฟท์ก็ได้รับผลกระทบไปด้วย โดยพบว่ามีบัญชีภายในบัญชีหนึ่งเข้าถึงซอร์สโค้ดภายในของไมโครซอฟท์
ไมโครซอฟท์ระบุว่าบัญชีนี้ไม่มีสิทธิ์แก้ไขซอร์สโค้ด และวิศวกรก็ตรวจซ้ำอีกทีแล้วว่าไม่มีซอร์สโค้ดถูกแก้ไขอย่างผิดปกติ สำหรับซอร์สโค้ดที่คนร้ายอาจจะดาวน์โหลดออกไปได้ ไมโครซอฟท์ระบุว่าแนวทางการรักษาความปลอดภัยของไมโครซอฟต์ไม่ได้อาศัยการปิดบังซอร์สโค้ดเป็นความลับอยู่แล้ว การทำงานของทีมพัฒนาเองก็พยายามเลียนแบบโลกโอเพนซอร์สโดยเปิดซอร์สโค้ดให้ภายในบริษัทด้วยกันสามารถมองเห็นซอร์สโค้ดของโครงการอื่นๆ ได้
By: mk on 21 December 2020 - 21:04
Tags:
Topics:
จุดเริ่มต้นของการค้นพบว่า SolarWinds โดนแฮ็ก แล้วระบาดไปยังลูกค้าของบริษัท เริ่มจากบริษัทความปลอดภัยชื่อดัง FireEye โดนแฮ็กก่อน แล้วสอบสวนไปมาถึงค่อยพบว่าสาเหตุมาจากซอฟต์แวร์ SolarWinds Orion ฝังมัลแวร์เอาไว้
มาถึงตอนนี้เรารู้แล้วว่ามัลแวร์ Solorigate หรือ Sunburst ทำงานอย่างไร มีกระบวนการที่แนบเนียนมาก แต่ถ้ามองย้อนกลับไปถึงตอนแรกสุด การค้นพบของ FireEye ต้องเรียกได้ว่า "โชคช่วย" ค้นพบโดยบังเอิญ และถ้าไม่เกิดเหตุการณ์นี้ ป่านนี้ก็ยังไม่มีใครรู้ว่า Solorigate ฝังตัวอยู่ในหน่วยงานนับหมื่นแห่งด้วยซ้ำ
By: mk on 21 December 2020 - 09:12
Tags:
Topics:
กรณี SolarWinds โดนแฮ็กซัพพลายเชนจนลามไปยังหน่วยงานลูกค้าจำนวนมาก ยังเป็นประเด็นข่าวสำคัญในแวดวงความปลอดภัยไซเบอร์ปีนี้
ทีมความปลอดภัยของไมโครซอฟท์ เขียนบล็อกอธิบายการทำงานของมัลแวร์ตัวนี้ (ถูกตั้งชื่อว่า Solorigate น่าจะมาจาก Sol arWinds Ori on + gate) อย่างละเอียด ตั้งแต่กระบวนการฝังมัลแวร์ตั้งแต่ต้นทาง ไปจนถึงการทำงานของมัลแวร์ที่ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ถึง 2 ตัวเพื่อเลี่ยงการตรวจจับ
By: mk on 19 December 2020 - 17:08
Tags:
Topics:
Cisco เป็นบริษัทใหญ่อีกรายที่ออกมายอมรับว่า ได้รับผลกระทบจากไบนารีของ SolarWinds โดนสับเปลี่ยน โดยบอกว่าตรวจพบไบนารีที่ฝังมัลแวร์ในเครือข่ายของ Cisco จริง แต่มีเป็นจำนวนน้อย ถูกแก้ไขโดยเร็ว และไม่ส่งผลกระทบอะไรต่อผลิตภัณฑ์ของ Cisco ที่ส่งให้ลูกค้า
Reuters อ้างแหล่งข่าวใกล้ชิดกับ Cisco ระบุว่าเครื่องที่ตรวจพบมัลแวร์มีประมาณ 50 เครื่องเท่านั้น และเป็นเครื่องที่ใช้ในห้องแล็บ
By: mk on 19 December 2020 - 09:22
Tags:
Topics:
กรณีการแฮ็ก SolarWinds ที่โดนสลับไบนารีของซอฟต์แวร์มอนิเตอร์ Orion ส่งผลกระทบในวงกว้าง เพราะ SolarWinds มีลูกค้าองค์กรจำนวนมาก ตัวเลขของบริษัทเองระบุว่ามีองค์กรที่ได้รับผลกระทบ 18,000 แห่ง จากลูกค้าทั้งหมด 33,000 แห่ง
มีหน่วยงานภาครัฐของสหรัฐจำนวนมากที่โดนหางเลขไปด้วย เช่น กระทรวงการคลัง, กระทรวงพาณิชย์, กระทรวงการต่างประเทศ, กระทรวงความมั่นคงแห่งมาตุภูมิ, กระทรวงพลังงาน, กระทรวงสาธารณสุข
By: mk on 16 December 2020 - 16:41
Tags:
ข่าวใหญ่วงการไอทีสัปดาห์นี้คือ SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่าย ถูกแฮกเกอร์ฝังมัลแวร์ Orion ส่งผลให้ลูกค้าของ SolarWinds ซึ่งมีหน่วยงานรัฐบาลสหรัฐหลายแห่ง เช่น กระทรวงการคลัง, กระทรวงพาณิชย์ โดนแฮ็กไปด้วย กลายเป็นกรณีการแฮ็กหน่วยงานรัฐบาลครั้งใหญ่ของสหรัฐอเมริกา
กรณีของ SolarWinds เป็นการแฮ็กระบบซัพพลายเชน (supply chain attack) โดยแฮ็กเกอร์เจาะเข้าระบบภายในของบริษัท SolarWinds ได้ก่อน จากนั้นค่อยเปลี่ยนไบนารีของ SolarWinds Orion เป็นเวอร์ชันที่ถูกแก้ไข เมื่อ SolarWinds แจกจ่ายซอฟต์แวร์ Orion ไปยังลูกค้า ทำให้ลูกค้ามีช่องโหว่ที่ตรวจสอบเองได้ยาก
By: lew on 14 December 2020 - 13:38
Tags:
SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่ายถูกแฮกเกอร์ฝังมัลแวร์เข้าไปยังอัพเดตซอฟต์แวร์สำหรับลูกค้าได้สำเร็จ ทำให้ผู้ใช้ที่ติดตั้งซอฟต์แวร์ SolarWinds Orion เวอร์ชั่น 2019.4 ไปจนถึง 2020.2.1 มีความเสี่ยงถูกโจมตี ล่าสุดทางบริษัทออกแพตช์ 2020.2.1 HF1 มาแล้ว ควรเร่งอัพเดตทันที
ทางด้าน FireEye ออกมารายงานถึงมัลแวร์ที่ฝังมาใน SolarWinds Orion โดยตั้งชื่อว่า SUNBURST เป็นมัลแวร์ที่พยายามหลบซ่อนตัวจากการตรวจจับ หลังเหยื่อหลงติดตั้งอัพเดตที่จริงๆ เป็นมัลแวร์แล้ว ตัวมัลแวร์จะไม่ทำอะไรอยู่ช่วงหนึ่งไม่เกินสองสัปดาห์ จากนั้นมัลแวร์จึงพยายามติดต่อกลับศูนย์ควบคุม แล้วพยายามส่งข้อมูลที่ดูคล้าย SolarWinds API
