แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.

POC ของช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ถูกเผยแพร่แล้ว

ในช่วงปลายเดือนธันวาคม 2019 มีรายงานการพบช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ซึ่งในเวลาต่อมาไม่นานนักวิจัยด้านความปลอดภัยพบการแสกนจำนวนมากเพื่อค้นหาเครื่องที่มีช่องโหว่ ซึ่งในวันที่ 11 มกราคม 2020 มีการปล่อยโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-19781 ออกมาแล้ว

CVE-2019-19781 ถูกจัดความรุนแรงอยู่ในระดับ Critical และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายผ่าน Directory Traversal หากทำการโจมตีได้สำเร็จ ซึ่งในขณะนี้ยังไม่มีแพตช์ Citrix ได้ให้คำแนะนำเกี่ยวกับวิธีตั้งค่าเพื่อป้องกันไว้ที่ https://support.

Citrix ผู้ให้บริการซอฟต์แวร์ และระบบเครือข่ายยักษ์ใหญ่ของโลกถูกแฮ็ก ส่งผลให้ข้อมูลภายในรั่วไหลกว่า 6 TB

จากรายงานระบุว่ากลุ่มอาชญากรทางไซเบอร์จากอิหร่านที่มีชื่อว่า "IRDIUM" เป็นผู้ทำการโจมตี และเชื่อว่าเป็นกลุ่มที่ได้รับการหนุนหลังจากรัฐบาล FBI ซึ่งเป็นผู้ที่ค้นพบการโจมตีครั้งนี้และแจ้งไปยังบริษัท ได้ระบุว่าวิธีการที่อาชญากรกลุ่มนี้ใช้ในการโจมตีครั้งนี้คือ "Password Spraying"

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

Resecurity บริษัทผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ รายงานว่ามีข้อมูลภายในกว่า 6 TB ที่ถูกโจรกรรมออกมาในครั้งนี้ ประกอบด้วย อีเมล, เอกสารสำคัญ, และ Blueprints ของบริษัท ผ่านทางการเจาะเข้า VPN ของบริษัท ทั้งนี้เชื่อว่าน่าจะมีการใช้เครื่องมือ และเทคนิคหลายอย่างร่วมกันจึงทำให้สามารถเจาะระบบได้สำเร็จในครั้งนี้ พบว่าอาชญากรกลุ่มนี้มีการโจมตีบริษัทและองค์กรอื่นๆ มากมาย ไม่ว่าจะเป็นองค์กรของรัฐบาล, บริษัทก๊าซและน้ำมัน, บริษัทเทคโนโลยี แต่การโจมตี Citrix สำเร็จในครั้งนี้ถือว่าเป็นผลงานชิ้นใหญ่ของกลุ่ม

ที่มา: hackread.