แฮกเกอร์ปล่อยข้อมูล Account ของ Fortinet VPN ออกมากว่า 500,000 บัญชี และมีข้อมูลขององค์กรในประเทศไทยด้วย

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel

อัปเดตล่าสุด !! จากข่าวหน่วยงานทางการแพทย์ถูกประกาศขายข้อมูลบน Darkweb

จากเหตุการณ์เมื่อวันที่ 5 กันยายน ที่ผ่านมาเกี่ยวกับพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ในประเทศไทย ถูกประกาศขายอยู่บน Darkweb ขนาด 3.75 GBจากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้อัพเดทล่าสุดเมื่อเช้าวันนี้ 7 กันยายน ทาง รมว.สธ ได้ออกมายอมรับแล้วว่าข้อมูลที่หลุดออกมานั้นเป็นข้อมูลจริง โดยจากข้อมูลที่ประกาศออกมาระบุว่า ต้นเหตุเกิดขึ้นที่โรงพยาบาลของรัฐแห่งหนึ่งในจังหวัดเพชรบูรณ์ และได้ประสานงานกับ หน่วยงานที่เกี่ยวข้อง เร่งตรวจสอบเหตุการณ์ดังกล่าว

 

ที่มา: thaipbs

พบข้อมูลหน่วยงานทางการแพทย์ในประเทศไทยถูกประกาศขายบน Dark Web

เมื่อวันอาทิตย์ที่ 5 กันยายน ที่ผ่านมาพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ใน ประเทศไทย ถูกประกาศขายอยู่บน Dark Web ขนาด 3.75 GB

โดยข้อมูลที่ถูกขายประกอบด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน วันเกิด ชื่อบิดา โรงพยาบาล ข้อมูลของหมอทั้งหมด รวมถึงพาสเวิร์ดทั่วไปของระบบในโรงพยาบาล

จากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับจากหน่วยงานว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้

Reference :  Raidforums

ข้อมูลของบริษัท Audi และ Volkswagen รั่วไหลทำให้ส่งผลกระทบต่อลูกค้า 3.3 ล้านคน

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer

นักวิจัยพบฐานข้อมูลโบรกเกอร์ฟอเร็กซ์ FBS ถูกเปิดเผยที่มีข้อมูลผู้ใช้มากกว่า 16,000 ล้านรายการ

นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลเว็บไซต์ Forex trading ของโบรกเกอร์ FBS ที่มีขนาดข้อมูลเกือบ 20 TB ที่อยู่บนเซิร์ฟเวอร์ ElasticSearch ซึ่งมีข้อมูลมากกว่า 16,000 ล้านรายการ

FBS เป็นโบรกเกอร์ออนไลน์ Forex trading ที่มีผู้ใช้มากกว่า 16 ล้านคนบนแพลตฟอร์มซึ่งครอบคลุม 190 ประเทศ โดยนักวิจัยด้านความปลอดภัยได้พบเซิร์ฟเวอร์ ElasticSearch ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัสใด ๆ ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูล FBS ได้

โดยข้อมูลที่ถูกค้นพบประกอบไปด้วย ชื่อ, รหัสผ่าน, อีเมล, หมายเลขหนังสือเดินทาง, บัตรประจำตัวประชาชน, บัตรเครดิต, ธุรกรรมทางการเงินและอื่น ๆ นอกจากนี้ยังมีไฟล์ที่ถูกอัปโหลดโดยผู้ใช้เพื่อยืนยันการตรวจสอบบัญชี ซึ่งมีเอกสารเช่น รูปถ่ายส่วนตัว, บัตรประจำตัวประชาชน, ใบขับขี่, สูติบัตร, ใบแจ้งยอดบัญชีธนาคาร, ค่าสาธารณูปโภคและรูปภาพบัตรเครดิตของธนาคารในฝรั่งเศสและสวีเดน และรายละเอียด Transaction รวม 500,000 ดอลลาร์

ผู้ใช้ที่เป็นสมาชิกโบรกเกอร์ FBS ควรทำการตรวจสอบบัญชีและควรทำการเปลื่ยนรหัสผ่านและเปิดการใช้งาน Two-factor authentication (2FA) บนแพลตฟอร์มและเฝ้าระวังกิจกรรมที่ผิดปกติที่อาจส่งผลกระทบกับการเงิน ทั้งนี้ผู้ใช้ควรระมัดระวังการถูกใช้ข้อมูลที่ถูกรั่วไหลเพื่อทำการหลอกลวงด้วยเทคนิคฟิชชิง รวมทั้งไม่ควรเปิดเผยข้อมูลที่เป็นความลับส่วนบุคคลใด ๆ ที่ร้องขอทางอีเมลหรือทางโทรศัพท์

ที่มา: itpro

LINE อนุญาตให้บริษัทสัญชาติจีนเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน ออกแถลงการณ์ขอโทษแล้ว

งานแถลงข่าวเมื่อวันที่ 17 มีนาคม ที่ผ่านมา หน่วยงานของรัฐบาลญี่ปุ่นประกาศการเข้าตรวจสอบ Z Holdings ซึ่งเป็นบริษัทแม่ของ LINE หลังจากที่สื่อญี่ปุ่นรายงานว่าบริษัทเทคโนโลยีสัญชาติจีนที่ทำธุรกิจร่วมกันนั้นสามารถเข้าถึงข้อความและข้อมูลส่วนตัวของผู้ใช้งาน LINE ได้

สำนักข่าว The Asashi Shimbun ซึ่งเป็นผู้รายงานข่าวต้นเรื่องได้ออกรายงานว่า วิศวกรชาวจีนจำนวน 4 คนได้มีการเข้าถึงระบบของ LINE เพื่ออ่านข้อความและข้อมูลส่วนตัวของผู้ใช้งาน ได้แก่ ชื่อ, หมายเลขโทรศัพท์, อีเมลแอดเดรสและชื่อ LINE ID โดยวิศวกรทั้ง 4 คนทำงานให้กับบริษัทซอฟต์แวร์ในเซี่ยงไฮ้เกี่ยวกับโครงการ AI ร่วมกับ LINE

ในขณะนี้หน่วยงานของรัฐบาลญี่ปุ่นได้ทำการตรวจสอบเหตุการณ์ดังกล่าวโดยเฉพาะอย่างยิ่งในประเด็นของการไม่ปฏิบัติตามนโยบายด้านข้อมูลส่วนบุคคล อีกทั้งหากการเข้าถึงข้อมูลดังกล่าวเกิดขึ้นในลักษณะที่ไม่ได้รับอนุญาต LINE อาจเจอปัญหาเพิ่มเติมจากการไม่เปิดเผยเหตุการณ์ดังกล่าวในรายงาน Transparency report อีก

ในฝั่งของ LINE นั้น The Ashi Shimbun รายงานว่าทาง LINE ไม่พบการเข้าถึงในลักษณะที่ไม่ได้รับอนุญาตหรือมีลักษณะเป็น Data breach แต่อย่างใด อย่างไรก็ตาม LINE ได้มีการยกเลิกสิทธิ์ในการเข้าถึงข้อมูลแล้วตั้งแต่วันที่ 24 กุมภาพันธ์ที่ผ่านมา

แม้ว่าเหตุการณ์ที่เกิดขึ้นจะยังมีความไม่ชัดเจนอยู่ในหลายประเด็น ทั้ง LINE และ Z Holding ก็ได้มีการออกจดหมายขอโทษแก่ผู้ใช้งานแล้ว และมีการกล่าวถึงการตรวจสอบเพิ่มเติมที่จะเกิดขึ้นต่อไป

อ่านแถลงจากหน่วยงานของรัฐบาลญี่ปุ่น: kantei
รายงานจาก The Asahi Shimbun: asahi
จดหมายขอโทษจาก LINE: linecorp
จดหมายขอโทษจาก Z Holdingz: z-holdings
ที่มา: therecord

Malaysia Airlines ประกาศ Data Breach กระทบข้อมูลย้อนหลังกว่า 9 ปี

Malaysia Airlines ประกาศการตรวจพบการละเมิดข้อมูลซึ่งส่งผลกระทบต่อโครงการ Enrich ซึ่งเป็นโครงการสิทธิพิเศษของสายการบินเมื่อช่วงต้นเดือนที่ผ่านมา โดยการละเมิดข้อมูลในครั้งนี้นั้นกระทบกับข้อมูลของผู้โดยสารที่อยู่ในโครงการ Enrich ย้อนหลังกว่า 9 ปี

อ้างอิงจากสายการบิน จุดเริ่มต้นของการละเมิดข้อมูลนั้นเกิดจากการโจมตีระบบของบริษัท IT ที่ให้บริการแก่สายการบินซึ่งได้มีการแจ้งเตือนว่าข้อมูลของผู้โดยสารระหว่างเดือนมีนาคม 2019 จนถึงเดือนมิถุนายน 2019 นั้นได้รับผลกระทบ สถานการณ์ด้านความปลอดภัยที่เกิดขึ้นไม่กระทบต่อระบบของทางสายการบินแต่อย่างใด

ในส่วนของข้อมูลที่ได้รับผลกระทบนั้น ข้อมูลที่ได้รับผลกระทบนั้น ได้แก่ ชื่อผู้โดยสาร, ข้อมูลในการติดต่อ, วันเกิดและสถานะในโครงการสิทธิพิเศษดังกล่าว การละเมิดข้อมูลในครั้งนี้ไม่ปรากฎว่าข้อมูลเกี่ยวกับการเดินทางได้รับผลกระทบไปด้วย โดยในขณะนี้ทางสายการบินได้มีการประสานงานกับผู้ได้รับผลกระทบไปแล้วหลังจากที่ทางสายการบินบังคับเปลี่ยนรหัสผ่านแล้ว

ที่มา: bleepingcomputer

T-Mobile เปิดเผยถึงการละเมิดข้อมูลหลังจากที่ลูกค้าไม่ทราบจำนวนได้รับผลกระทบจากการโจมตีด้วยเทคนิค SIM Swap Attack

T-Mobile ผู้ให้บริการโทรคมนาคมสัญชาติอเมริกันได้เปิดเผยถึงการละเมิดข้อมูลหลังจากที่ลูกค้าไม่ทราบจำนวนได้รับผลกระทบจากการโจมตีด้วยเทคนิค SIM Swap Attack

T-Mobile ได้ทำการแจ้งเตือนเรื่องการละเมิดข้อมูลถึงลูกค้าที่ได้รับผลกระทบเมื่อวันที่ 9 กุมภาพันธ์ 2564 และยื่นคำร้องต่อสำนักงานอัยการสูงสุดของสหรัฐอเมริกาเพื่อขออนุมัติการหยุดให้บริการช่วยคราวกับลูกค้าที่ได้รับผลกระทบเพื่อสืบสวนเหตุต่อเหตุการณ์การโจมตีและเพื่อป้องกันข้อมูลของลูกค้ารั่วไหล

T-Mobile เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของลูกค้ารวมถึงข้อมูลส่วนบุคคลและหมายเลขประจำตัวส่วนบุคคล (PIN) และยังไม่เเน่ชัดว่าผู้โจมตีสามารถเข้าถึงบัญชีของพนักงานหรือเข้าถึงผ่านบัญชีของผู้ใช้ที่ถูกบุกรุกได้หรือไม่ เนื่องจากผู้โจมตีสามารถโอนข้อมูลหมายเลขโทรศัพท์ของลูกค้าไปยังผู้โจมตี ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึง SMS-based multi-factor authentication (MFA) ของลูกค้าได้และยังสามารถทำการโอนเงินจากบัญชีบริการออนไลน์ของเหยื่อไปยังบัญชีของผู้โจมตี

T-Mobile ได้ให้ความเห็นต่อว่าข้อมูลที่แฮกเกอร์เข้าถึงอาจรวมไปถึงชื่อ - นามสกุลของลูกค้า, อีเมล,หมายเลขบัญชีหมายเลขประกันสังคม (SSN), หมายเลขประจำตัวของบัญชี (PIN), คำถามและคำตอบด้านความปลอดภัยของบัญชี, วันเดือนปีเกิดและข้อมูลแผน

ทั้งนี้ T-Mobile ได้หยุดให้บริการชั่วคราวกับลูกค้าที่ได้รับผลกระทบและได้ออกคำแนะนำให้ผู้ที่ได้รับผลกระทบทำการเปลี่ยน PIN และรหัสผ่านของบัญชีผู้ใช้ตลอดจนคำถามและคำตอบเพื่อความปลอดภัยของบัญชี

ที่มา: bleepingcomputer

FireEye แจ้งเตือนการโจมตี SolarWinds Orion เชื่อว่าเป็นสาเหตุของการรั่วไหลของข้อมูลจาก FireEye

FireEye ประกาศการค้นพบแคมเปญการโจมตีทั่้วโลกโดยกลุ่มแฮกเกอร์ซึ่งถูกติดตามในชื่อ UNC2452 ผ่านการฝังแบ็คดอร์ไว้ในไฟล์อัปเดตของซอฟต์แวร์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ชื่อ SUNBRUST การตรวจสอบพบว่าพฤติกรรมและเทคนิคการโจมตีดังกล่าวจะเกี่ยวข้องกับสถานการณ์การรั่วไหลข้อมูลและเครื่องมือทำ Red team assessement ของทาง FireEye เอง

ในขณะนี้องค์กรซึ่งถูกยืนยันว่าถูกโจมตีแล้ว ได้แก่กระทรวงการคลังสหรัฐฯ, National Telecommunications and Information Administration หรือ NTIA ซึ่งเป็นหน่วยงานภายใต้กระทรวงพาณิชย์สหรัฐฯ และ FireEye ด้วย ทั้งนี้ FireEye เชื่อว่าเหยื่อในการโจมตีอาจมีมากกว่าที่ตรวจพบและอาจมีอยู่ทั่วโลก ทุกลักษณะธุรกิจและองค์กร

แหล่งข่าวมีการให้ข้อมูลกับ Washington Post ว่าการโจมตีดังกล่าวมีลักษณะเชื่อมโยงไปยังกลุ่ม APT29 ซึ่งเป็นกลุ่ม APT ที่เกี่ยวกับกับรัฐบาลรัสเซีย ทั้งนี้ FireEye ไม่ได้มีการยืนยันข้อเท็จจริงในส่วนนี้

ทีม Intelligent Response ขอสรุปรายละเอียด เทคนิคและพฤติกรรมการโจมตีตามรายการดังต่อไปนี้

รูปแบบการโจมตีที่ FireEye ตรวจพบนั้นเป็นลักษณะที่ถูกเรียกว่า Supply-chain คือการที่ผู้โจมตีโจมตีซอฟต์แวร์ ฮาร์ดแวร์หรือทรัพยากรที่จำเป็นที่องค์กรต้องใช้ในการดำเนินงาน จากนั้นใช้ประโยชน์จากการโจมตีนั้นในการบุกรุกและติดตั้งมัลแวร์
ซอฟต์แวร์ซึ่งถูกโจมตีในครั้งนี้คือ SolarWinds Orion ซึ่งใช้ในการตรวจสอบและเฝ้าระวังอุปกรณ์ไอทีในองค์กร โดย SolarWinds ได้ออกมายืนยันการโจมตีและเผยแพร่ Security advisory แล้ว
อ้างอิงจากรายละเอียดของ SolarWinds ซอฟต์แวร์ Orion ตั้งแต่เวอร์ชัน 2019.4 จนถึง 2020.21 ซึ่งถูกเผยแพร่ตั้งแต่เดือนมีนาคม 2020 จนถึงมิถุนายน 2020 ได้ถูกแก้ไขและติดตั้งแบ็คดอร์
แบ็คดอร์ซึ่งถูกติดตั้งถูกระบุชื่อโดย FireEye ว่า SUNBURST และถูกตรวจจับโดยไมโครซอฟต์ในชื่อ Solorigate
ในขณะนี้ FireEye ได้มีการเผยแพร่รายงานการวิเคราะห์มัลแวร์และแนวทางในการตรวจจับและเฝ้าระวังแล้ว
SolarWinds มีแผนจะปล่อยอัปเดต 2020.2.1 HF 2 ในวันที่ 15 ธันวาคมนี้ โดยอัปเดตจะนำส่วนของซอฟต์แวร์ที่มีแบ็คดอร์ออก และเพิ่มความปลอดภัยระบบ

ที่มา:

https://www.

คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ

เมื่อวันที่ 8 ธันวาคม 2020 ที่ผ่านมาตามเวลาในสหรัฐอเมริกา บริษัทด้านความปลอดภัยไซเบอร์ FireEye มีการประกาศถึงการโจมตีระบบและเครือข่ายของ FireEye ซึ่งส่งผลให้เกิดการรั่วไหลของเครื่องมือสำหรับการทำ Red Team Assessment หรือการประเมินความปลอดภัยระบบ ในเบื้องต้นทาง FireEye ระบุว่าการโจมตีดังกล่าวมีหลักฐานอย่างชัดเจนว่ามีกลุ่มแฮกเกอร์ในลักษณะ APT ที่มีศักยภาพสูงและอาจมีรัฐบาลประเทศใดประเทศหนึ่งหนุนหลัง

 

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligence Response) จากบริษัท ไอ-ซีเคียว จำกัด ได้ทำการประเมินผลกระทบเบื้องต้นจากการโจมตีและการรั่วไหลของข้อมูล โดยจะขอสรุปรายละเอียดสถานการณ์และคำแนะนำที่จำเป็นต่อการรับมือและตอบสนองภัยคุกคามตามรายละเอียดที่จะปรากฎในส่วนต่อไป
Incident Overview
จากประกาศซึ่งระบุรายละเอียดของเหตุการณ์ ทีม Intelligence Response ขอสรุปประเด็นสำคัญเกี่ยวกับสถานการณ์ที่เกิดขึ้นตามรายละเอียดดังต่อไปนี้

FireEye ตรวจพบการโจมตีซึ่งจากการตรวจสอบในเบื้องต้นนั้น พบว่าผู้โจมตีมีพฤติกรรมและเทคนิคการโจมตีที่ซับซ้อน ด้วยพฤติกรรมและหลักฐานในเบื้องต้น FireEye เชื่อว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
หลังจากตรวจพบการโจมตี FireEye ได้มีการประสานงานกับ FBI, Microsoft และพาร์ทเนอร์ของบริษัท จากการตรวจสอบสถานการณ์โดยบริษัทด้านความปลอดภัยไซเบอร์ภายนอกและหน่วยงานที่เกี่ยวข้อง ข้อสรุปยืนยันสมมติฐานของทาง FireEye ว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
จากการวิเคราะห์การโจมตี FireEye พบว่าผู้โจมตีมีการเข้าถึงเครื่องมือสำหรับให้บริการ Red Team Assessment หรือบริการด้านการประเมินความปลอดภัยระบบ ด้วยลักษณะของการเข้าถึงซึ่งอาจเป็นไปได้ว่ามีการนำออกไปด้วย ทีม FireEye ยังไม่สามารถระบุจากหลักฐานได้ว่าผู้โจมตีมีเจตนาจะใช้เครื่องมือดังกล่าวในการโจมตีอื่น ๆ ต่อหรือตั้งใจจะเปิดเผยเครื่องมือดังกล่าวสู่สาธารณะ
อย่างไรก็ตามจากการเฝ้าระวัง FireEye ยังไม่พบการใช้เครื่องมือที่ถูกละเมิดและรั่วไหลในการโจมตีจริงใด ๆ
พฤติกรรมของผู้โจมตีพุ่งเป้าไปที่การระบุหาข้อมูลของลูกค้าซึ่งเป็นหน่วยงานของรัฐบาลที่ใช้บริการ FireEye โดยทาง FireEye มีการระบุเพิ่มเติมว่า แม้จะมีหลักฐานจากการโจมตีซึ่งระบุให้เห็นผู้โจมตีเข้าถึงระบบภายในของ FireEye ไปแล้ว แต่ข้อมูลล่าสุดจากการตรวจสอบสถานการณ์ก็ยังไม่พบการนำข้อมูลของลูกค้าของ FireEye ออก โดย FireEye จะประสานงานกับลูกค้าโดยตรงหากพบข้อมูลเพิ่มเติมใด ๆ
FireEye ได้มีการเผยแพร่ signature ของเครื่องมือสำหรับทำ Red Team Assessment เพื่อให้สามารถถูกใช้ในการตรวจจับการนำเครื่องมือที่ถูกละเมิดและรั่วไหลออกไปใช้ซ้ำได้

Brief Analysis
ทีม Intelligent Response ได้ทำการตรวจสอบ signature ซึ่ง FireEye ทำการเผยแพร่ออกมาเพื่อประเมินสถานการณ์และวิธีรับมือเพิ่มเติม รายละเอียดด้านล่างคือผลการวิเคราะห์เบื้องต้นจากข้อมูลดังกล่าว

จำนวนของเครื่องมือสำหรับการ Red Team Assessment ที่ได้รับผลกระทบจากการถูกโจมตีมีทั้งหมด 311 รายการ โดยแยกออกได้ตามชื่อและประเภทของเครื่องมือทั้งหมด 60 ประเภท

จากเครื่องมือทั้งหมด 60 ประเภท ทีม Intelligent Response สามารถระบุที่มา และศักยภาพที่จะเกิดจากการใช้เครื่องมือและรายละเอียดเพิ่มเติมตาม MITRE ATT&CK ได้ดังรายการด้านล่าง

กลุ่ม ADPASSHUNT เป็นกลุ่มเครื่องมือสำหรับเทคนิค Credential access ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม ALLTHETHINGS คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม BEACON เป็นโปรไฟล์ของเครื่องมือ Cobalt Strike สำหรับการทำ Command & Control โปรไฟล์ส่วนใหญ่เป็นการพัฒนาขึ้นเองตามสถานการณ์ บางส่วนของเครื่องมือในกลุ่มนี้สามารถใช้ในเทคนิค Initial access และ Execution ได้โดยอาศัยการใช้เทคนิค Living off the Land, เทคนิค DLL sideloading และอื่นๆ
กลุ่ม BELTALOWDA เป็นเครื่องมือในเทคนิค Reconnaissance และ Discovery คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Seatbelt
กลุ่ม COREHOUND คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Discovery และ Lateral movement และอาจได้รับอิทธิพลมาจากเครื่องมือ BloodHound
กลุ่ม DSHELL คาดว่าเป็นเครื่องมือในกลุ่ม Execution และ Persistence โดยอาจเป็นแบ็คดอร์ที่ถูกพัฒนาขึ้นมาโดยใช้ภาษา D เพื่อหลีกเลี่ยงการตรวจจับ
กลุ่ม DTRIM ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม DUEDLLIGENCE คาดว่าเป็นเครื่องมือสำหรับเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EWSRT คาดว่าเป็นลักษณะของเพย์โหลดแบบ HTML และ PS1 ซึ่งสามารถใช้ในเทคนิค Initial access ได้ ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EXCAVATOR คาดว่าเป็นเครื่องมือในเทคนิค Credential access สำหรับการเข้าถึงข้อมูลสำหรับยืนยันตัวตนในหน่วยความจำ
กลุ่ม FLUFFY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery และ Lateral movement คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Rubeus
กลุ่ม G2JS คาดว่าเป็นลักษณะของเพย์โหลดในเทคนิค Initial access และ Execution โดยมีพื้นฐานของเทคนิคการโจมตีมาจากการใช้เทคนิค tyranid/DotNetToJScript และ med0x2e/GadgetToJScript
กลุ่ม GETDOMAINPASSWORDPOLICY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม GPOHUNT คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPGENERATOR คาดว่าเป็นลักษณะของเครื่องมือสำหรับสร้างเพย์โหลดจากภาษา C# ในเทคนิค Initial access และ Execution ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPSECTIONINJECTION คาดว่าเป็นลักษณะของเครื่องมือการช่วยรันโค้ดด้วยเทคนิค Process injection โดยใช้ภาษา C# ในเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม IMPACKETOBF, IMPACKETOBF (Smbexec) และIMPACKETOBF (Wmiexec) คาดว่าเป็นลักษณะของเครื่องมือสำหรับ Discovery และ Lateral movement ซึ่งแตกต่างกันไปตามการอิมพลีเมนต์โปรโตคอลที่มีการใช้งาน เครื่องมือเหล่านี้อาจมีการพัฒนาโดยใช้โค้ดจากโครงการ SecureAuthCorp/impacket
กลุ่ม INVEIGHZERO ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม WMIRUNNER คาดว่าเป็นเครื่องมือสำหรับการทำ Lateral movement ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม JUSTASK คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม KEEFARCE มีชื่อสอดคล้องกับโครงการ denandz/KeeFarce ซึ่งอยู่ในกลุ่ม Credential access โดยสามารถถูกใช้ในการดึงข้อมูลที่อยู่ในโปรแกรม KeePass ออกมาจากหน่วยความจำได้
กลุ่ม KEEPERSIST คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LNKSMASHER คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python และอาจเกี่ยวข้องกับการใช้เทคนิคการโจมตีผ่านไฟล์ประเภท LNK ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LUALOADER คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรมที่พัฒนาขึ้นในภาษา Lua ที่มีคุณสมบัติที่จะถูกตรวจจับต่ำ ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MATRYOSHKA คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python  ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MEMCOMP คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MOFCOMP คาดว่าเป็นเทมเพลตของไฟล์ประเภท Windows Management Instrumentation (WMI) Managed Object Format (MOF) ซึ่งสามารถใช้เพื่อทำ Lateral movement ได้
กลุ่ม MSBUILDME คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม MSBuild.