อัปเดต 5 กุมภาพันธ์ 2024 ทาง HPE เปิดเผยว่าข้อมูลถูกนำไปขายบน Dark Web นั้นเป็นข้อมูลที่มาจาก "test environment" โดยไม่พบการเข้าถึงระบบหลักของ HPE หรือข้อมูลลูกค้า
Hewlett Packard Enterprise (HPE) กำลังสืบสวนเหตุการณ์โจมตีทางไซเบอร์ใหม่ที่อาจเกิดขึ้น ภายหลังที่พบ Hacker ได้นำข้อมูลที่ขโมยมาขายบน Dark Web โดยอ้างว่าข้อมูลดังกล่าวประกอบไปด้วย ข้อมูลประจำตัวของ HPE และข้อมูลที่มีความสำคัญอื่น ๆ
โดยทาง HPE ให้ข้อมูลกับ BleepingComputer ว่าไม่พบหลักฐานใดที่เกี่ยวข้องกับการโจมตี รวมถึงการเรียกค่าไถ่ ซึ่งทาง HPE กำลังตรวจสอบเพิ่มเติมอยู่ในปัจจุบัน
IntelBroker ซึ่งเป็น Hacker ที่ได้นำข้อมูลของ HPE มาขายบน Dark Web โดยได้แชร์ภาพหน้าจอของข้อมูลประจำตัว HPE ที่ถูกขโมยไปบางส่วน ซึ่งข้อมูลประกอบด้วย การเข้าถึง CI/CD access, System logs, Config Files, Access Tokens, HPE StoreOnce Files (Serial numbers warrant etc) และ Access passwords ซึ่งรวมถึงของระบบอีเมลด้วย แต่ผู้โจมตียังไม่ได้เปิดเผยแหล่งที่มาของข้อมูล หรือวิธีการที่ใช้ในการได้มาซึ่งข้อมูล
โดย IntelBroker เป็นที่รู้จักดีหลังจากการโจมตี DC Health Link ซึ่งนำไปสู่การพิจารณาของรัฐสภาหลังจากเปิดเผยข้อมูลส่วนบุคคลของสมาชิกสภาผู้แทนราษฎร และเจ้าหน้าที่ของสหรัฐอเมริกา รวมถึงเหตุการณ์โจมตีอื่น ๆ ที่เชื่อมโยงกับ IntelBroker ได้แก่เหตุการณ์โจมตี Weee! grocery service และเหตุการณ์การโจมตี General Electric Aviation
Hacker ชาวรัสเซียโจมตีไปยังบัญชีอีเมลของบริษัท HPE
การสอบสวนครั้งนี้เกิดขึ้นหลังจากที่ HPE เปิดเผยในเดือนมกราคม 2024 ว่าได้ตรวจพบอีเมล Microsoft Office 365 ของบริษัทได้ถูกโจมตีในเดือนพฤษภาคม 2023 ซึ่งทาง HPE คาดว่า Hacker ที่อยู่เบื้องหลังการโจมตีในครั้งนี้คือกลุ่ม APT29 ของรัสเซียที่เชื่อมโยงกับหน่วยข่าวกรองต่างประเทศ (SVR) ของรัสเซีย
HPE คาดว่า Hacker ได้ขโมยไฟล์ SharePoint และข้อมูลจากทีมรักษาความปลอดภัยทางไซเบอร์ และแผนกอื่น ๆ อีกทั้งยังได้เข้าถึงโครงสร้างพื้นฐานคลาวด์ และแฝงตัวในระบบจนถึงเดือนธันวาคม 2023 หลังจากนั้นจึงได้รับการแจ้งเตือนถึงการโจมตีผ่านอีเมลบนคลาวด์ (Office 365 email)
โดยทาง Microsoft ได้เปิดเผยในภายหลังว่า Hacker สามารถเข้าถึงบัญชีอีเมลของ HPE ได้จากการเข้าถึงบัญชีผู้เช่าทดสอบที่กำหนดค่าไม่ถูกต้องโดยการโจมตีแบบ “password spraying”
ซึ่งก่อนหน้านี้ทาง HPE เคยถูกโจมตีทางไซเบอร์ในปี 2018 โดยกลุ่ม APT10 ชาวจีน ซึ่งได้เข้าถึงระบบครือข่ายของ IBM และเข้าถึงอุปกรณ์ของลูกค้าต่อไป รวมถึงในปี 2021 HPE ได้เปิดเผยว่าที่เก็บข้อมูลของ Aruba Central network monitoring platform ได้ถูกโจมตี ทำให้ Hacker สามารถเข้าถึงข้อมูลเกี่ยวกับอุปกรณ์ที่ถูกตรวจสอบ และตำแหน่งของอุปกรณ์เหล่านั้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.