AnyDesk ออกมารายงานการถูกโจมตีทางไซเบอร์ ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบการผลิตของบริษัทได้ในวันที่ 2 กุมภาพันธ์ 2024 โดยทาง AnyDesk ระบุว่าการโจมตีดังกล่าวส่งผลกระทบกับระบบของ AnyDesk แค่บางส่วน หลังจากที่บริษัทได้ทำการตรวจสอบด้านความปลอดภัย และพบหลักฐานของระบบที่ถูกโจมตี โดย AnyDesk ได้แนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านหากใช้ข้อมูลเดียวกันกับที่ใช้กับที่อื่น
ต่อมาในวันที่ 3 กุมภาพันธ์ 2024 Resecurity ได้รายงานว่าพบกลุ่ม Hacker หลายรายที่เข้าถึงข้อมูลผู้ใช้งานของ AnyDesk ได้นำข้อมูลมาประกาศขายบน Dark Web ภายหลังจากเหตุการณ์ที่ AnyDesk ถูกโจมตี โดยหนึ่งใน Hacker ที่ใช้นามแฝงว่า "Jobaaaaa" ซึ่งได้ลงทะเบียนบัญชีตั้งแต่ปี 2021 ออกมาประกาศว่ามีข้อมูลผู้ใช้งาน AnyDesk มากกว่า 18,000 รายการ เพื่อขายบน Exploit[.]in ซึ่งเป็น Dark Web forum พร้อมกับแนะนำว่าข้อมูลดังกล่าวเหมาะสำหรับการนำไปใช้สนับสนุนทางด้านเทคนิค และการส่งอีเมลฟิชชิ่ง ซึ่งนักวิเคราะห์ข่าวกรองภัยคุกคามทางไซเบอร์จาก Resecurity เชื่อว่าข้อมูลดังกล่าวได้มาจากการโจมตีด้วย infostealer malware ทั้งนี้ทาง Hacker ไม่ได้ให้ข้อมูลเพิ่มเติมว่าได้ข้อมูลเหล่านี้มาได้อย่างไร ซึ่งวิธีการอาจจะแตกต่างกันไปขึ้นอยู่กับ Tactics, Techniques และ Procedures (TTPs) ที่ใช้ในการโจมตี
โดยตัวอย่างข้อมูลที่ถูกนำมาขายเป็นข้อมูลของผู้บริโภค และองค์กรต่าง ๆ และให้สิทธิ์การเข้าถึงพอร์ทัลลูกค้า AnyDesk ที่เป็นข้อมูล Username และ Password โดยได้ทำการปกปิดข้อมูลบางส่วน จำนวนกว่า 18,317 บัญชี ซึ่ง Hacker ได้เสนอขายข้อมูลดังกล่าวในราคา 15,000 ดอลลาร์ แต่ต้องชำระผ่าน cryptocurrency เท่านั้น
หลังเหตุการณ์ที่ AnyDesk ถูกโจมตี การรีเซ็ตรหัสผ่านอย่างเร่งด่วนเป็นสิ่งที่ควรทำโดยทันที เนื่องจากเป็นวิธีการลดผลกระทบสำหรับลูกค้า AnyDesk ทั้งหมด รวมถึงผู้ดูแลระบบไอที ซึ่งมักตกเป็นเป้าหมายการโจมตีของกลุ่ม Hacker เพื่อป้องกันการเข้าถึงระบบ และแพร่กระจายต่อไปในระบบ
ซึ่งหาก Hacker สามารถเข้าถึง AnyDesk portal ได้ ก็จะสามารถที่จะขโมยข้อมูลรายละเอียดที่สำคัญเกี่ยวกับลูกค้า ได้แก่ รหัสใบอนุญาตที่ใช้งาน, จำนวนการเชื่อมต่อที่ใช้งาน ระยะเวลาของเซสชัน, รหัสลูกค้า และข้อมูลติดต่อ, อีเมลที่เกี่ยวข้องกับบัญชี และจำนวนโฮสต์ทั้งหมดที่เปิดใช้งานซอฟต์แวร์การจัดการการเข้าถึงระยะไกล พร้อมด้วยสถานะและ ID ออนไลน์ หรือออฟไลน์ ที่สามารถนำไปใช้ในการโจมตีขั้นตอนต่อไป หรือใช้สำหรับการโจมตีเป้าหมายเฉพาะกลุ่ม ในการยกระดับเป็นบัญชีผู้ดูแลระบบไอทีที่ได้รับสิทธิพิเศษตั้งแต่หนึ่งบัญชีขึ้นไป และแฝงตัวอยู่ในระบบ ซึ่งสามารถที่จะพัฒนาไปสู่การโจมตีแบบ supply-chain attack ได้
รวมไปถึงทาง Resecurity ยังพบว่ารูปประกอบข้อมูลผู้ใช้งาน AnyDesk และนำมาวางขายบน Dark Web หลังเหตุการณ์ที่ AnyDesk ถูกโจมตี แสดงถึงการเข้าถึงระบบโดยไม่ได้รับอนุญาติในวันที่ 3 กุมภาพันธ์ 2024 สิ่งนี้แสดงให้เห็นว่าลูกค้าบางรายยังไม่ได้เปลี่ยนรหัสผ่าน หรือข้อมูลของตน แม้ว่าจะมีการเผยแพร่ และแจ้งเตือนถึงเหตุการณ์ที่ AnyDesk ถูกโจมตี รวมไปถึงยังพบว่าบัญชี AnyDesk ส่วนใหญ่ที่ถูกขายอยู่ใน Dark Web ไม่ได้เปิดใช้งาน 2FA ซึ่งแสดงให้เห็นถึงการเตรียมพร้อมเรื่องแผนการรับมือเหตุการณ์ทางไซเบอร์ที่ไม่มีประสิทธิภาพ
การที่ Hacker สามารถเข้าถึงข้อมูลเหล่านี้อาจะเป็นจุดเริ่มต้นของการโจมตีอื่น ๆ ต่อไป อาทิ แคมเปญฟิชชิ่งแบบกำหนดเป้าหมาย เนื่องจากข้อมูลที่ได้มาสามารถนำไปใช้ในการกำหนดเป้าการโจมตีต่อได้ เช่น การส่งอีเมล์อันตรายที่ส่งในนามของผู้จำหน่ายซอฟต์แวร์, ผู้ให้บริการในรูปแบบ MSP หรือบริษัทเอาท์ซอร์สด้านไอทีโดยมีเป้าหมายเพื่อขโมยข้อมูลที่มีความสำคัญ และทำการขยายเป้าหมายในการโจมตี แบบเดียวกับเหตุการณ์ SolarWinds ที่ถูกโจมตีด้วยวิธีการ supply-chain attack
ภาพหน้าจอบางส่วนที่ได้จาก Hacker ที่นำข้อมูลมาประกาศขายบน Dark Web ที่มีการแจ้งเตือนลูกค้าเกี่ยวกับการ migration ที่วางแผนไว้ของ AnyDesk ไปยัง new customer portal รวมถึงการแปลเป็นภาษาต่างประเทศอื่น ๆ ซึ่งบ่งชี้ถึงเหยื่อที่มีอยู่หลากหลายประเทศ
ในหน้าข้อมูลความพร้อมใช้งานของบริการ AnyDesk ได้แจ้งให้ลูกค้าทราบเกี่ยวกับการบำรุงรักษาตามแผนเริ่มตั้งแต่วันที่ 29 มกราคม ในช่วงเวลานี้ บริษัทได้ปิดการใช้งานในการเข้าสู่ระบบ AnyDesk client ซึ่งบริษัทน่าจะใช้มาตรการนี้ในการรักษาความปลอดภัยในระหว่างการควบคุมเหตุการณ์ที่ถูกโจมตี
โดยฟังก์ชันการเข้าสู่ระบบได้รับการกู้คืนในวันที่ 1 กุมภาพันธ์ 2024 โดยอ้างอิงจาก SSO และ IDP ที่ใช้งานได้
รวมไปถึงเป็นไปได้ว่า Hacker ที่ได้ขโมยข้อมูลออกมา กำลังใช้ช่วงเวลานี้ในการขายข้อมูลประจำตัวของลูกค้า AnyDesk ที่มีอยู่ผ่านทาง Dark Web เพื่อสร้างรายได้ให้มากที่สุด เนื่องจากหลังจากนี้ทาง AnyDesk อาจใช้มาตรการในการรีเซ็ตข้อมูลประจำตัวของลูกค้า ข้อมูลดังกล่าวจึงมีมูลค่าอย่างยิ่งสำหรับ scammer, initial access brokers (IABs) และกลุ่ม ransomware เพื่อใช้ในการโจมตีเป้าหมาย
ช่องโหว่ที่ถูกโจมตี
ใน changelog ของ AnyDesk Windows เวอร์ชัน 8.0.8 แสดงให้เห็นว่าได้มีการยกเลิกใบรับรองก่อนหน้านี้เมื่อวันที่ 29 มกราคม 2024 ซึ่งอาจเป็นสาเหตุที่ทำให้ถูกโจมตีได้ รวมถึงเมื่อวันที่ 2 กุมภาพันธ์ 2024 ทาง AnyDesk ประกาศว่าได้ทำการเพิกถอนใบรับรองที่เกี่ยวข้องกับความปลอดภัยทั้งหมด รวมถึงระบบได้รับการแก้ไข หรือเปลี่ยนใหม่ตามที่จำเป็น และเพื่อเป็นการป้องกันไว้ก่อน ทาง AnyDesk กำลังเพิกถอนรหัสผ่านทั้งหมดใน web portal และ my.anydesk.com พร้อมทั้ง แนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านหากใช้ข้อมูลเดียวกันกับที่อื่น
คำแนะนำในการป้องกัน
- ทำการรีเซ็ตรหัสผ่าน AnyDesk อย่างเร่งด่วน เพื่อป้องกันการโจมตีจากข้อมูลที่ถูกขโมยออกไป
- แนะนำให้ลูกค้าทุกคนติดต่อไปยัง AnyDesk เพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับผลกระทบที่อาจเกิดขึ้นกับองค์กรของตน
- แนะนำให้ทำการ Whitelist บุคคล (AnyDesk ID) เฉพาะที่อนุญาตให้ใช้งานได้เท่านั้น
- แนะนำให้ใช้มาตรการรักษาความปลอดภัยแบบ MFA (Multi-Factor Authentication)
ที่มา : resecurity
You must be logged in to post a comment.