พบว่าแฮ็กกอร์ที่อยู่เบื้องหลังการโจมตี SolarWinds เข้าถึงอีเมลของระดับหัวหน้าในกระทรวง DHS (Department of Homeland Security)

รายงานระบุว่ากลุ่มแฮ็กเกอร์ดังกล่าวสามารถเข้าถึงบัญชีอีเมลของเจ้าหน้าที่ในกระทรวงหลายคน รวมถึง Chad Wolf ที่มีตำแหน่งเป็นอดีตผู้รักษาการรัฐมนตรีว่าการกระทรวง ส่งผลให้ Wolf และเจ้าหน้าที่ของกระทรวงอีกหลายคนต้องเปลี่ยนโทรศัพท์มือถือใหม่ และเปลี่ยนข้อมูลการสื่อสารใหม่ทั้งหมดหลังจากพบเหตุการณ์ การรั่วไหลข้อมูลในครั้งนี้ถูกพบในช่วงเดือนธันวาคมที่ผ่านมา ซึ่งเป็นช่วงเวลาเดียวกับที่พบว่ามีกลุ่มแฮ็กเกอร์ชาวรัสเซียโจมตี SolarWinds Orion การโจมตีในครั้งนั้นส่งผลกระทบกับหลายกระทรวงในสหรัฐอเมริกา รวมถึงบริษัทยักษ์ใหญ่อีกหลายแห่ง อย่างไรก็ตามรัสเซียได้ออกมาปฏิเสธถึงการอยู่เบื้องหลังเหตุการณ์ดังกล่าวแล้ว

ที่มา: darkreading

DHS ออกเตือนถึงการใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่มีการเชื่อมโยงกับบริษัทจากจีน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ หรือ The US Department of Homeland Security (DHS) ได้ออกแจ้งเตือนถึงบริษัทและองค์กรในสหรัฐฯ ไม่ให้ใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่สร้างขึ้นหรือเชื่อมโยงกับบริษัทจากจีน

DHS กล่าวว่าผลิตภัณฑ์จากจีนอาจมีแบ็คดอร์ จุดบกพร่องหรือกลไกในการรวบรวมข้อมูลที่ซ่อนอยู่ซึ่งทางการจีนสามารถใช้เพื่อรวบรวมข้อมูลจากบริษัทและส่งต่อข้อมูลไปยังคู่แข่งทางการค้าที่อยู่ภายในประเทศจีนเพื่อขยายเป้าหมายทางเศรษฐกิจของจีน โดยหน่วยงาน DHS กล่าวต่อว่าอุปกรณ์และบริการทั้งหมดที่เชื่อมโยงกับบริษัทจากจีนควรได้รับการพิจารณาว่าเป็นความปลอดภัยทางไซเบอร์และความเสี่ยงทางธุรกิจ

ทั้งนี้ DHS ได้ระบุถึงกฎหมายความมั่นคงแห่งชาติของจีนจะอนุญาตให้รัฐบาลสามารถบีบบังคับบริษัทเอกชนท้องถิ่นและพลเมืองใดๆ ให้ปรับเปลี่ยนผลิตภัณฑ์และมีส่วนร่วมในการจารกรรมหรือขโมยทรัพย์สินทางปัญญา โดยแนวทางปฏิบัติที่ให้รัฐบาลจีนสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตทั้งส่วนบุคคลและที่เป็นกรรมสิทธิ์ทำให้เศรษฐกิจและธุรกิจของสหรัฐฯตกอยู่ในความเสี่ยงโดยตรงจากการแสวงหาผลประโยชน์ ซึ่ง DHS ขอให้ธุรกิจต่างๆ ใช้ความระมัดระวังก่อนที่จะทำข้อตกลงใด ๆ กับบริษัทที่เชื่อมโยงกับรัฐบาลจีน

ที่มา: zdnet

จากการแจ้งเตือนของสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Agency - CISA) ที่ได้ออกแจ้งเตือนเกี่ยวกับ Supply chain attack ที่เกิดขึ้นกับซอฟแวร์ SolarWinds Orion และผลกระทบต่อหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ

โดยรายงานของสำนักข่าวรอยเตอร์ที่ได้รายงานถึงการบุกรุกเข้าไปในผลิตภัณฑ์ของ Microsoft ซึ่ง Microsoft ออกแถลงการณ์ยอมรับว่ามีการตรวจพบโทรจันในซอฟแวร์ SolarWinds Orion ที่อยู่ภายในเครือข่ายและ Microsoft ได้ทำการแก้ไขแล้ว ซึ่งหลังจากการแก้ไข Microsoft ไม่พบหลักฐานการเข้าถึงบริการการผลิตหรือข้อมูลลูกค้า ณ ตอนนี้ Microsoft ได้ถูกเข้าร่วมอยู่ในลิสต์ที่ถูกแฮกผ่านการอัปเดตแบ็คดอร์ผ่านซอฟแวร์ SolarWinds Orion โดยที่ก่อนหน้านี้ได้มีหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ ถูกตกเป็นเหยื่อแล้ว เช่น กระทรวงการคลังสหรัฐฯ, โทรคมนาคมและสารสนเทศแห่งชาติของกระทรวงพาณิชย์สหรัฐ (NTIA), สถาบันสุขภาพแห่งชาติของกรมอนามัย (NIH), หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), กระทรวงการต่างประเทศสหรัฐฯ, สถาบันแห่งชาติและบริหารจัดการความปลอดภัยนิวเคลียร์ (NNSA), กระทรวงพลังงานสหรัฐ (DOE)

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยของซอฟแวร์ SolarWinds Orion ให้เป็นเวอร์ชัน 2020.2.1 HF 2 เป็นการด่วนเพื่อป้องกันกลุ่มผู้ประสงค์ร้ายใช้ประโยชน์จากแบ็คดอร์ทำการโจมตีระบบ

ที่มา: zdnet

DHS, CISA และ FBI เปิดเผยช่องโหว่ยอดนิยม Top 10 ที่ใช้ในการโจมตีช่วง 2016-2019

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และ สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกรายงานช่องโหว่ 10 อันดับแรกของซอฟต์แวร์ที่ถูกใช้โจมตีมากที่สุดในช่วงระหว่างปี 2559 ถึงปี 2562 รายละอียดช่องโหว่มีดังนี้

CVE-2017-11882: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Office
CVE-2017-0199: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Office
CVE-2017-5638: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลบน Apache Struts
CVE-2012-0158: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Windows ActiveX
CVE-2019-0604: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft SharePoint
CVE-2017-0143: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft SMB
CVE-2018-4878: ช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน Adobe Flash Player
CVE-2017-8759: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft .NET Framwework
CVE-2015-1641: ช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตใน Microsoft Office
CVE-2018-7600: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลบน Drupal
US-CERT ได้ออกคำแนะนำในการลดความเสี่ยงจากการโจมตีโดยเเนะนำผู้ใช้งานให้ทำการและอัพเดทแพตซ์ด้านความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ

ที่มา: us-cert

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS) ได้ประกาศ "คำสั่งฉุกเฉิน" ซึ่งมีรายละเอียดและคำแนะนำเกี่ยวกับเหตุการณ์ DNS hijacking จากอิหร่าน

คำสั่งฉุกเฉินสั่งให้หน่วยงานของรัฐตรวจสอบ DNS records ว่ามีการแก้ไขที่ไม่ได้รับอนุญาตหรือไม่ สั่งให้เปลี่ยนรหัสผ่านและเปิดใช้งานการตรวจสอบความถูกต้องหลายปัจจัย (multi-factor authentication) สำหรับบัญชีทั้งหมดที่สามารถจัดการ DNS records ได้ นอกจากนี้เอกสารของ DHS ยังเรียกร้องให้บุคลากรด้านไอทีของรัฐบาลตรวจสอบใบรับรอง Certificate Transparency (CT) ด้วย

รายงานระบุรายละเอียดเกี่ยวกับแคมเปญที่มีการประสานงานกันระหว่างกลุ่มที่หน่วยสืบราชการลับทางไซเบอร์เชื่อว่าเป็นการดำเนินการนอกอิหร่าน มีจัดการ DNS records สำหรับโดเมนของบริษัทเอกชนและหน่วยงานรัฐบาล โดยวัตถุประสงค์ของ DNS hijacks เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทางเว็บของบริษัท และเซิร์ฟเวอร์อีเมลของหน่วยงานไปสู่เซิร์ฟเวอร์ที่เป็นอันตราย ซึ่งแฮกเกอร์ชาวอิหร่านจะทำการรวบรวมรายละเอียดการเข้าสู่ระบบของเหยื่อ

ตอนนี้เจ้าหน้าที่ DHS ต้องการทราบผลกระทบของเหตุการณ์นี้ในทุกหน่วยงานรัฐบาลของสหรัฐอเมริกาและให้หน่วยงานจัดทำแผนปฏิบัติการสี่ขั้นตอนที่มีรายละเอียดในเอกสารคำสั่ง

ที่มา: www.

DHS ของสหรัฐอเมริกาและ GCHQ ของสหราชอาณาจักรเข้าร่วมกับ Amazon และ Apple ปฏิเสธรายงานเรื่องฝังชิปของ Bloomberg

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติ (NCSC) ของสหราชอาณาจักร และกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ของสหรัฐอเมริกา แถลงโต้รายงานจาก Bloomberg ที่กล่าวว่าหน่วยสืบราชการลับของจีน แอบติดตั้งชิปสอดแนมภายในเมนบอร์ดของบริษัท Supermicro ซึ่งถูกใช้สำหรับเซิร์ฟเวอร์ของบริษัทกว่า 30 แห่ง รวมถึง Apple กับ Amazon

เมื่อวันพฤหัสบดีที่แล้ว Bloomberg Businessweek อ้างแหล่งข่าวไม่ระบุชื่อจำนวน 17 รายที่เผยว่าหน่วยสืบราชการลับของจีน ได้ลอบติดตั้งชิปสอดแนมขนาดเท่าปลายหัวดินสอ ซึ่งไม่สามารถตรวจสอบได้โดยอุปกรณ์ธรรมดาทั่วไป ในผลิตภัณฑ์ของ Supermicro หนึ่งในบริษัทผลิตเมนบอร์ดรายสำคัญของโลก ซึ่งถูกใช้งานในเครือข่ายของรัฐบาลสหรัฐอเมริกา และสหราชอาณาจักร รวมถึงเซิร์ฟเวอร์ของบริษัทต่างๆ กว่า 30 แห่ง โดยมี Apple กับ Amazon อยู่ในข่ายด้วย จนส่งกระทบต่อมูลค่าหุ้นของ Supermicro โดยตรง ก่อนปิดตลาดเมื่อสุดสัปดาห์ที่ผ่านมา นอกจากทั้ง DHS และ NCSC แล้ว ทั้งสามบริษัทก็ได้แถลงปฏิเสธถึงรายงานดังกล่าวเช่นกัน ว่าอาจเป็นเพราะแหล่งข่าวได้รับข้อมูลที่ผิด หรือเข้าใจผิด หรืออาจเกิดจากความสับสนกับเหตุการณ์ในปี 2016 ซึ่งพบว่ามีไดรเวอร์ที่ติดไวรัสบนเซิร์ฟเวอร์ Super Micro แห่งหนึ่งในแล็บ

เช่นเดียวกับ ก็มีนักวิจัยด้านความปลอดภัยและผู้เชี่ยวชาญด้านสารสนเทศของ Infosec ได้วิจารณ์และตำหนิรายงานดังกล่าวอย่างต่อเนื่อง โดยชี้ให้เห็นว่ารายงานมีข้อผิดพลาด และขาดรายละเอียดด้านเทคนิคที่เพียงพอ

ที่มา : zdnet

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ได้แจ้งเตือนถึงการโจมตีรูปแบบ ATP (Advanced Persistent Threat) จากกลุ่มแฮ็กเกอร์ที่คาดว่าเกี่ยวข้องกับรัฐบาลต่างประเทศ โดยเล็งเป้าหมายไปยังระบบ Cloud

DHS ยังกล่าวถึงภัยคุกคามในอดีตที่อาจเกี่ยวข้องกับเหตุการณ์โจมตีในปัจจุบัน เช่น "TA17-117A" ที่มีการใช้งาน Malware ที่ชื่อว่า RedLeaves โดยมีส่วนเกี่ยวข้องกับกลุ่ม APT10 ที่มาจากจีน รวมถึงอ้างอิงรายงานจาก 401TRG ว่าแฮกเกอร์จีนมีการเตรียมการโจมตีด้วย Supply Chain Attack ในช่วงเดือนพฤษภาคมที่ผ่านมา และรายงานในช่วงเดือนกรกฏาคมที่กล่าวถึงช่องโหว่ ERP (Enterprise Resource Planning) ที่อยู่บนระบบ Cloud

คำแนะนำจาก US-CERT คือให้ลดโอกาสที่จะถูกโจมตีโดยการใช้งาน Credential ที่เข้มงวด ร่วมกับ Privileged-Access Management (PAM) สามารถอ่านรายงานฉบับเต็มได้จากลิ้งก์ที่มา

ที่มา : zdnet

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ตรวจพบการรั่วไหลของข้อมูลกว่า 240,000 รายการ กระทบพนักงานรัฐ พยานและผู้เคยถูกสัมภาษณ์

เมื่อวันพุธที่ 3 มกราคม 2018 ที่ผ่านมากระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ของสหรัฐฯ ประกาศยืนยันการค้นพบการรั่วไหลของข้อมูลซึ่งประกอบด้วยข้อมูลส่วนบุคคลของพนักงานทั้งอดีตและปัจจุบัน รวมไปถึงพยานและผู้ที่เคยถูกสัมภาษณ์ในช่วงปี 2002 – 2014 ซึ่งเป็นจำนวนกว่า 240,000 รายการ

DHS ได้ทำการตรวจสอบเหตุการณ์ที่เกิดขึ้นและยืนยันในเบื้องต้นว่าเหตุการณ์ดังกล่าวไม่ได้เกิดขึ้นจากการถูกโจมตีทางไซเบอร์ แต่เกิดจากการนำข้อมูลออกจากระบบจัดการข้อมูลและเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาตโดยบุคคลภายในองค์กร

DHS ได้ทำการเปิดให้ผู้ที่ได้รับผลกระทบใช้บริการตรวจสอบและป้องกันการใช้ข้อมูลเครดิตได้ฟรีเป็นเวลา 18 เดือนสำหรับผู้ได้รับผลกระทบจากการรั่วไหลของข้อมูล อย่างไรก็ตาม DHS ยังไม่ได้มีการเปิดเผยรายละเอียดการจับกุมในเวลานี้ โดยมีข้อมูลเพียงแค่การสืบสวนซึ่งกินเวลานาน

ที่มา: scmagazine
ที่มา: cyberscoop
ที่มา: dhs