Oracle ได้ยอมรับกับลูกค้าบางส่วนแล้วว่า Hacker ได้โจมตี และขโมยข้อมูล client credential ออกไปจริง ๆ ซึ่ง Oracle อ้างว่าเป็นข้อมูลเก่า โดยได้เลิกใช้งานมาตั้งแต่ปี 2017
ถึงแม้ว่า Oracle อ้างว่าข้อมูลดังกล่าวเป็นข้อมูลเก่า และเป็นข้อมูลที่ไม่ sensitive แต่จากข้อมูลที่ทาง Hacker ได้เปิดเผยกับ BleepingComputer นั้นพบว่าเป็นข้อมูลปี 2024 รวมถึงข้อมูลที่โพสล่าสุดบน hacking forum ก็เป็นข้อมูลของปี 2025
ตามรายงานของ Bloomberg แจ้งว่า ขณะนี้ Oracle ได้ให้ทาง CrowdStrike บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ และ FBI สืบสวนเหตุการณ์การโจมตีดังกล่าวอยู่
CybelAngel บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เปิดเผยว่า Oracle ได้ให้ข้อมูลกับลูกค้าว่า Hacker ที่สามารถเข้าถึงเซิร์ฟเวอร์ Gen 1 (หรือเรียกอีกอย่างว่า Oracle Cloud Classic) ของบริษัทได้ตั้งแต่เดือนมกราคม 2025 ได้ โดยใช้ช่องโหว่ของ Java ใน 2020 เพื่อติดตั้ง web shell และมัลแวร์เพิ่มเติม
ในระหว่างที่ตรวจพบการโจมตีในช่วงเดือนกุมภาพันธ์ 2025 Oracle พบว่า Hacker ได้ขโมยข้อมูลจาก Oracle Identity Manager (IDM) database ซึ่งประกอบไปด้วย ข้อมูล emails ของผู้ใช้, hashed password และ usernames
เหตุการณ์นี้เกิดขึ้นหลังจากที่ Hacker ในชื่อ rose87168 ได้นำข้อมูลกว่า 6 ล้านรายการ ไปประกาศขายบน BreachForums เมื่อวันที่ 20 มีนาคม 2025 และเผยแพร่ text files หลายไฟล์ซึ่งประกอบด้วยตัวอย่างข้อมูล Database, ข้อมูล LDAP และรายชื่อบริษัทต่าง ๆ เพื่อเป็นหลักฐานว่าข้อมูลดังกล่าวเป็นข้อมูลจริง โดยข้อมูลทั้งหมดถูกอ้างว่าขโมยมาจาก SSO login servers ของ Oracle Cloud
โดยในครั้งแรกที่ทาง BleepingComputer ได้สอบถามเหตุการณ์การโจมตีดังกล่าวไปยัง Oracle ทาง Oracle ปฏิเสธเหตุการณ์การโจมตีดังกล่าว โดยระบุว่าข้อมูล credentials ที่ถูกเผยแพร่นั้น ไม่ใช่ของ Oracle Cloud และยังไม่พบว่ามีลูกค้าของ Oracle Cloud ที่ถูกโจมตี และขโมยข้อมูล
Oracle ออกมาปฏิเสธการโจมตีดังกล่าว แม้ว่า archived URL จะแสดงให้เห็นว่า Hacker ได้อัปโหลดไฟล์ที่มีที่อยู่อีเมลของตนไปยังเซิร์ฟเวอร์ของ Oracle หนึ่งเครื่องก็ตาม ต่อมา URL ดังกล่าว ได้ถูกลบออกจาก Archive.org แต่ข้อมูลในเว็บไซต์ Wayback Machine ยังคงมีอยู่
ต่อมา BleepingComputer ได้รับการยืนยันจากลูกค้าของ Oracle Cloud หลายแห่งว่า ตัวอย่างเพิ่มเติมของข้อมูลที่รั่วไหล (LDAP display name, email addresses, given names และข้อมูลระบุตัวตนอื่น ๆ) ที่ได้รับจาก Hacker นั้นเป็นข้อมูลที่ถูกต้อง
Oracle ได้ปฏิเสธรายงานการโจมตีระบบ Oracle Cloud มาโดยตลอดในแถลงการณ์กับสื่อมวลชนนับตั้งแต่เหตุการณ์ดังกล่าวถูกเปิดเผย ตามรายงานที่ Oracle แจ้งลูกค้าว่าการโจมตี และขโมยข้อมูลดังกล่าวส่งผลกระทบต่อแพลตฟอร์มรุ่นเก่าที่รู้จักกันในชื่อ Oracle Cloud Classic
โดยแจ้งว่า Oracle มีการเปลี่ยนโลโก้ Oracle Cloud services เก่าเป็น Oracle Classic ซึ่ง Oracle Classic ก็เคยมีเหตุการณ์การโจมตีเช่นเดียวกัน
การโจมตี Oracle Health
รวมถึง Oracle ยังได้แจ้งให้ลูกค้าทราบถึงการโจมตีที่บริษัท Oracle Health (เดิมชื่อ Cerner) ซึ่งเป็นบริษัท software-as-a-service (SaaS) โดยส่งผลกระทบต่อองค์กรด้านการดูแลสุขภาพ และโรงพยาบาลหลายแห่งในสหรัฐอเมริกา
แม้ว่าบริษัทจะยังไม่ได้เปิดเผยเหตุการณ์นี้ต่อสาธารณะ แต่ BleepingComputer ยืนยันว่าข้อมูลของผู้ป่วยถูกขโมยไปในการโจมตีครั้งนี้ โดยได้รับการยืนยันจากการสื่อสารส่วนตัวระหว่าง Oracle Health กับลูกค้าที่ได้รับผลกระทบ และจากการสนทนากับผู้ที่เกี่ยวข้อง
Oracle Health ระบุว่าได้ตรวจพบการโจมตี Cerner data migration servers ตัวเก่า เมื่อวันที่ 20 กุมภาพันธ์ 2025 และ Hacker ได้ใช้ข้อมูล credentials ของลูกค้าที่ถูกโจมตีเพื่อแฮ็กเข้าไปในเซิร์ฟเวอร์หลังจากวันที่ 22 มกราคม 2025
แหล่งข่าวแจ้งกับ BleepingComputer ว่า โรงพยาบาลที่ได้รับผลกระทบกำลังถูกขู่กรรโชกโดย Hacker ที่ชื่อ "Andrew" ซึ่งไม่ได้อ้างว่ามีความเกี่ยวข้องกับกลุ่ม Ransomware แต่อย่างใด
Hacker ได้เรียกร้องเงินหลายล้านดอลลาร์ในรูปแบบสกุลเงินดิจิทัลเพื่อไม่ให้เผยแพร่ หรือขายข้อมูลที่ถูกขโมย และได้สร้างเว็บไซต์เกี่ยวกับการโจมตี และขโมยข้อมูลดังกล่าวเพื่อกดดันให้โรงพยาบาลจ่ายค่าไถ่
ที่มา : bleepingcomputer
You must be logged in to post a comment.