Alert (AA20-126A) APT Groups Target Healthcare and Essential Services

กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์

CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา

CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้

  • ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
  • ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
  • ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
  • ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
  • ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
  • ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
  • ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ

ที่มา: us-cert