กลุ่มแฮ็กเกอร์ Desorden อ้างว่าสามารถขโมยข้อมูลขนาด 198GB ได้สำเร็จจากบริษัท AIS ผู้ให้บริการโทรคมนาคมที่ใหญ่ที่สุดในประเทศไทย

โดยกลุ่ม Desorden ระบุว่า ได้ทำการโจมตี และขโมยข้อมูลของบริษัทแอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) ผู้ให้บริการเครือข่ายโทรศัพท์มือถือ และอินเทอร์เน็ตในประเทศไทยในเดือนสิงหาคมที่ผ่านมา ซึ่ง AIS ถือเป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์แห่งประเทศไทยอีกด้วย โดยอ้างว่าเป็นการโจมตีด้วยการเจาะระบบเซิร์ฟเวอร์ PBX ของ AIS และขโมยฐานข้อมูล กับข้อมูลของลูกค้าออกมาได้

ข้อมูลที่ Desorden อ้างว่าได้จากการโจมตี AIS ประเทศไทย

1. ไฟล์เสียงบันทึกเสียง (wav files)
2. บันทึกการโทรเข้า จำนวน 7.2 ล้านรายการ
3. บันทึกการโทรออกของลูกค้าองค์กร จำนวน 8.1 ล้านรายการ

Desorden ได้ยกตัวอย่างกลุ่มลูกค้าองค์กรบางส่วนที่ถูกเข้าถึงข้อมูล เช่น Asian Property, Loreal, SC Assets, DHL, Lazada, SCG, Unilever, Singer Thai, Jaymart, Central Group, Kerry Logistics, AIG Insurance, Exxon Mobil เป็นต้น และยังนำตัวอย่างข้อมูลที่ถูกแฮ็กในระหว่างการโจมตี AIS แพลตฟอร์ม Threat Intelligence ชื่อ Falcon Feeds รวมถึงยังได้ทำการทวีตภาพหน้าจอดังกล่าวจากฟอรัมของแฮ็กเกอร์พร้อมกับข้อมูลตัวอย่างที่ถูกเบลอไว้ และยังโพสต์บน Twitter ว่า AIS เคยประสบปัญหาข้อมูลรั่วไหลในปี 2020 แต่ข่าวนี้ยังไม่ได้รับการยืนยันอย่างเป็นทางการ

เบอร์โทรศัพท์ของคนไทยจำนวน 1000 หมายเลขถูกใช้ในการหลอกลวง

ในรายงานปี 2022 จาก The Nation บริษัท Advanced Info Service เปิดเผยว่ามีหมายเลขโทรศัพท์มากกว่า 1,000 หมายเลขของบริษัทถูกมิจฉาชีพนำมาใช้ในการฉ้อโกง และการโจรกรรม

จากเหตุการณ์ดังกล่าวทาง AIS เปิดให้บริการ AIS Spam Report Center hotline ที่เบอร์ 1185 เพื่อแจ้งเหตุการณ์ดังกล่าว

The Nation ระบุว่า ลูกค้า AIS ได้มีแจ้งเหตุการณ์การโทร และข้อความที่น่าสงสัยจำนวนมาก ทางศูนย์บริการได้ติดตามหมายเลขมากกว่า 1,000 หมายเลขไปยังมิจฉาชีพที่ถูกกล่าวหา

พล.ต.ท.กรไชย คล้ายคลึง ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติระบุว่า บริการนี้ของ AIS ได้กระตุ้นให้บริษัทเอกชนอื่น ๆ ร่วมมือกับตำรวจเพื่อต่อต้านมิจฉาชีพอย่างแก๊งคอลเซ็นเตอร์

นับตั้งแต่นั้นเป็นต้นมา AIS ประเทศไทยได้เข้าร่วมโครงการด้านไซเบอร์หลายโครงการ เช่น โครงการ Aunjai Cyber ซึ่งเผยแพร่วิดีโอให้ความรู้สั้น ๆ แก่ประชาชนเพื่ออธิบายการโจมตีทางไซเบอร์ และวิธีการป้องกันการโจมตีทางไซเบอร์

โดยแคมเปญล่าสุดนี้ดำเนินภายใต้ธีม “Wisdom to Survive” มุ่งเน้นการให้ความคุ้มครองเพิ่มเติมให้กับผู้คนเพื่อเผชิญกับความท้าทายต่าง ๆ ที่เกิดขึ้นจากความเสี่ยงทางไซเบอร์ โดยวิดีโอสั้น ๆ ได้รับการออกแบบตามธีมคอมเมดี้ และสยองขวัญที่ตัวละครแสดงเป็นเหยื่อของอาชญากรรมในโลกไซเบอร์

การโจมตีทางไซเบอร์โดย Desorden

เหตุการณ์ก่อนหน้านี้ Desorden สามารถขโมยข้อมูล Know Your Customer (KYC) จากลูกค้าของ The Icon Group ในประเทศไทยในช่วงปี 2022 ประมาณ 70,000 รายการ

นอกจากนี้ ในปี 2021 เว็บไซต์ของ Centara Hotels & Resorts ในประเทศไทยก็เคยตกเป็นเหยื่อการโจรกรรมข้อมูลสองครั้งโดยกลุ่ม Desorden ซึ่งส่งผลให้เกิดการขโมยไฟล์ขนาด 400GB ที่เก็บข้อมูลส่วนบุคคลของลูกค้าภายในระยะเวลาเพียง 10 วัน

Desorden ทำการแฮ็ก Acer ในประเทศอินเดีย และไต้หวันในปี 2021 สองครั้งในสัปดาห์เดียวกันซึ่งส่งผลให้ข้อมูลผู้ใช้ในอินเดียถูกละเมิด

ทาง Acer ได้แสดงจุดยืนที่ชัดเจนต่อ Desorden ในแถลงการณ์ว่า “จะไม่เจรจา และนโยบายของบริษัทคือจะไม่ยอมจ่ายค่าไถ่ให้กับแฮ็กเกอร์”

โดยในวันที่ 7 กันยายน 2023 ทาง AIS ได้ออกมาชี้แจงแล้วว่า

บริษัท แอดวานซ์ ไวร์เลส เน็ทเวอร์ค จำกัด (AWN) ในกลุ่มของเอไอเอส ได้รับแจ้งจากบริษัท ไอซอฟเทล (ประเทศไทย) จำกัด (ไอซอฟเทล) ผู้ให้บริการระบบ Mobile PBX แก่ลูกค้าบริษัทนิติบุคคลของ AWN ว่า มีการเข้าถึงข้อมูลสารสนเทศในระบบดังกล่าวโดยไม่ชอบด้วยกฎหมาย และโดยไม่ได้รับอนุญาต ซึ่งหลังจากได้รับแจ้ง AWN ไม่ได้นิ่งนอนใจกับเหตุการณ์ที่เกิดขึ้น และได้เร่งทำงานร่วมกับไอซอฟเทล และผู้เชี่ยวชาญในการตรวจสอบข้อมูลที่ถูกอ้างถึงอย่างเร่งด่วน ซึ่งในเบื้องต้นกรณีนี้ ไม่เกี่ยวข้องกับระบบฐานข้อมูล และบริการของลูกค้าทั่วไป รวมทั้งลูกค้านิติบุคคลอื่น ๆ ของ AWN ที่ไม่ได้ใช้บริการ Mobile PBX

ที่มา : thecyberexpress

พบข้อมูลของ AIS รั่วไหล และถูกเผยแพร่อยู่บน Darkweb ตั้งแต่วันที่ 16 กุมภาพันธ์ที่ผ่านมา

ทาง AIS ได้ออกแถลงการณ์เกี่ยวกับเหตุการณ์ดังกล่าวว่าแฮกเกอร์ได้ทำการบุกรุกมาที่เครื่องของพนักงานที่ปฏิบัติงานในช่วงระหว่าง Work from home ด้วย Ransomware และพบว่าข้อมูลของผู้ใช้บริการกว่า 100,000 รายการถูกขโมยไป ประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประจำตัวประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ โดยไม่มีข้อมูลเกี่ยวกับธุรกรรมทางการเงินใด ๆ

ซึ่งหลังจากพบการโจมตีดังกล่าว ทาง AIS ก็ได้ร่วมกันกับผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์เร่งตรวจสอบหาสาเหตุอย่างเร่งด่วน พร้อมกับแจ้งไปยัง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)และ กสทช. รวมถึงแจ้งไปยังลูกค้ากลุ่มดังกล่าวผ่านทาง SMS เพื่อให้รับทราบและระมัดระวังต่อไป โดยกรณีดังกล่าว ไม่กระทบกับระบบรักษาความปลอดภัยและการดำเนินธุรกิจของบริษัท

จากข้อมูลประกาศดังกล่าวไอ-ซีเคียวคำแนะนำให้ดำเนินการดังต่อไปนี้

1. ปัจจุบันการโจมตีของ ransomware ส่วนใหญ่ จะใช้ smb port ดังนั้นควรพิจารณา ถ้าไม่ได้ใช้งาน port ดังกล่าวไม่ควรเปิด

2. ดำเนินการเปลี่ยนรหัสผ่านของผู้ใช้งานกลุ่ม Admin และ High privilege

3. ดำเนินการปรับ Prevention policy สำหรับเครื่อง Client ให้เป็นไปตาม Best practices

4. แนะนำให้อัปเดต Antivirus หรือ ระบบปฎิบัติการให้เป็นปัจจุบัน

ปล.หากมีอัปเดตเพิ่มเติมทางไอ-ซีเคียว จะแจ้งให้ทราบอีกครั้ง

Singtel บริษัทเทเลคอมสัญชาติสิงคโปร์ประกาศการค้นพบการบุกรุกเครือข่ายซึ่งมีที่มาจากช่องโหว่ของผลิตภัณฑ์ Accellion File-transfer Appliance (FTA) หลังจากที่มีการตรวจพบและมีการแก้ไขแพตช์ไปบางส่วนแล้วเมื่อช่วงต้นปีที่ผ่านมา เหยื่อจากการโจมตี จากช่องโหว่ยังรวมไปถึงหน่วยงานวิจัยด้านสุขภาพในออสเตรเลียด้วย

อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคมโดยทางบริษัทได้ดำเนินการแก้ไขแพตช์โดยทันที อย่างไรก็ตามการแก้ไขแพตช์ที่เกิดขึ้นนั้นครอบคลุมช่องโหว่เพียงแค่บางส่วน Accellion ระบุว่าทางบริษัทมีการตรวจพบในภายหลังว่ามีช่องโหว่อยู่อีกหลายรายการ จนดำเนินการมาถึงช่วงเดือนมกราคมที่ช่องโหว่ถูกนำมาใช้ในการโจมตี ในปัจจุบัน แพตช์ล่าสุดของอุปกรณ์ได้รับการปล่อยไปแล้วในวันที่ 27 ธันวาคม อย่างไรก็ตามความสามารถในการรับแพตช์ไปอัปเดตก็อาจเป็นปัญหาหนึ่งที่ผู้โจมตีนำมาใช้เพื่อฉวยโอกาสในการโจมตีได้

จากประกาศของ Singtel ทางบริษัทยังไม่สามารถระบุความเสียหาย ผลกระทบ รวมไปถึงเป้าหมายในการโจมตีได้อย่างชัดเจน เนื่องจาก Singtel มีบริการอยู่ในหลายประเทศรวมไปถึงกับทาง AIS ในประเทศไทย การประเมินผลกระทบจึงจำเป็นต้องทำอย่างถี่ถ้วนเพื่อให้แน่ใจถึงขอบเขตของความเสียหายอย่างชัดเจน ไอ-ซีเคียวจะรายงานหากมีข้อมูลเพิ่มเติมต่อไป

ที่มา: threatpost

พบฐานข้อมูลบันทึกการใช้งานอินเตอร์เน็ตจาก AIS รั่วไหล มีข้อมูลกว่า 8.3 พันล้านรายการ ดำเนินการปิดเรียบร้อยแล้ว

นักวิจัยด้านความปลอดภัย Justin Paine พบฐานข้อมูล ElasticSearch สามารถเข้าถึงได้จากอินเตอร์เน็ตโดยไม่ต้องเข้าสู่ระบบ โดย Justin Paine ระบุว่าฐานข้อมูลนั้นเป็นของ Advanced Wireless Network (AWN).ซึ่งอยู่ในเครือ Advanced Info Service (AIS) โดยมีข้อมูลกว่า 8.3 พันล้านรายการ ฐานข้อมูลดังกล่าวมีข้อมูล DNS query และ Netflow data ซึ่งข้อมูลเหล่านี้สามารถใช้เพื่อตรวจสอบพฤติกรรมการเข้าอินเตอร์เน็ตได้

Justin Paine ยกตัวอย่างการดึงข้อมูล DNS query จาก 1 ไอพี พบข้อมูลการเข้าเว็บไซต์ต่างๆ ซึ่งสามารถอนุมานจากข้อมูลได้ว่าบุคคลนี้ใช้อุปกรณ์อะไรบ้าง ระบบปฏิบัติการมือถืออะไร ใช้โปรแกรมป้องกันมัลแวร์ใด เข้าเว็บไซต์อะไรบ้าง ใช้เบราว์เซอร์อะไร แต่ปกติแล้วในบ้านหรือออฟฟิศมักจะมีการแชร์ไอพีกัน ทำให้ไม่สามารถระบุลึกถึงตัวตนรายบุคคลได้ แต่มีประโยชน์มากกับการทำโฆษณา

Justin Paine พบฐานข้อมูลนี้ในวันที่ 7 พ.ค. 2020 เขาพยายามติดต่อ AIS ในวันที่ 13-21 พ.ค. 2020 แต่ไม่ได้รับการตอบรับ จึงติดต่อ ThaiCERT ในวันที่ 21 พ.ค. 2020 โดยไม่สามารถเข้าถึงฐานข้อมูลนี้ได้อีกในวันที่ 22 พ.ค. 2020

ทั้งนี้ TechCrunch พยายามติดต่อขอข้อมูลเพิ่มเติมจากทาง AIS แต่ยังไม่ได้รับการตอบรับ

ที่มา : rainbowtabl