HPE แจ้งเตือนพนักงานเกี่ยวกับการถูกละเมิดข้อมูลจากการแฮ็ก Office 365

Hewlett Packard Enterprise (HPE) กำลังแจ้งเตือนพนักงานที่ถูกขโมยข้อมูลจากอีเมล Office 365 ของบริษัท โดยกลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในการโจมตีทางไซเบอร์เมื่อเดือนพฤษภาคม 2023

ตามเอกสารที่ยื่นต่อสำนักงานอัยการสูงสุดในรัฐนิวแฮมป์เชียร์ และแมสซาชูเซตส์ HPE ได้เริ่มส่งจดหมายแจ้งเตือนการถูกละเมิดข้อมูลเมื่อเดือนที่ผ่านมาไปยังบุคคลอย่างน้อย 16 ราย ซึ่งข้อมูลที่ถูกขโมย ได้แก่ ใบขับขี่, หมายเลขบัตรเครดิต และหมายเลขประกันสังคม

บริษัทระบุในจดหมายว่า "จากการสอบสวนทางนิติวิทยาศาสตร์ของ HPE พบว่าข้อมูลส่วนบุคคลของบางคนอาจถูกเข้าถึงโดยไม่ได้รับอนุญาต เมื่อวันที่ 29 มกราคม 2025 HPE ได้เริ่มแจ้งเตือนบุคคลที่ได้รับผลกระทบจากเหตุการณ์นี้ตามกฎหมายที่เกี่ยวข้อง"

เมื่อสอบถามเกี่ยวกับจำนวนพนักงานที่ได้รับผลกระทบจากเหตุการณ์การถูกละเมิดข้อมูลครั้งนี้ ตัวแทนของ HPE ระบุว่า "มีการเข้าถึง mailboxes ของสมาชิกทีม HPE เพียงเล็กน้อย และมีเพียงข้อมูลที่อยู่ภายใน mailboxes เท่านั้นที่ได้รับผลกระทบ"

กลุ่มที่อยู่เบื้องหลังการโจมตีครั้งนี้คือ Cozy Bear (รู้จักกันในชื่อ Midnight Blizzard, APT29 และ Nobelium) ซึ่งเชื่อว่าเป็นส่วนหนึ่งของหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) และเคยมีส่วนเกี่ยวข้องกับเหตุการณ์โจมตีครั้งใหญ่หลายครั้ง เช่น การโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020

เหตุการณ์การถูกละเมิดข้อมูล HPE ได้เปิดเผยเป็นครั้งแรกในเอกสารที่ยื่นต่อ SEC เมื่อวันที่ 29 มกราคม 2024 โดยบริษัทระบุว่าได้รับแจ้งเมื่อวันที่ 12 ธันวาคมว่ากลุ่มผู้ไม่หวังดีที่ต้องสงสัยว่ามีความเชื่อมโยงกับรัสเซียได้เจาะเข้าสู่ระบบอีเมล Office 365 บนคลาวด์ของบริษัทในเดือนพฤษภาคม 2023 โดยใช้บัญชีที่ถูกโจมตี

HPE ให้ข้อมูลกับ BleepingComputer ในขณะนั้นว่า "เราพบว่า กลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุนจากรัฐบาลได้เข้าถึง และขโมยข้อมูลออกไปตั้งแต่เดือนพฤษภาคม 2023 จาก mailboxes ของ HPE จำนวนเล็กน้อย ซึ่งเป็นของบุคคลในทีมความปลอดภัยทางไซเบอร์, ทีมกลยุทธ์ทางการตลาด, ฝ่ายธุรกิจ และฝ่ายอื่น ๆ เราเชื่อว่ากลุ่มผู้ไม่หวังดีนี้คือ Midnight Blizzard หรือที่รู้จักกันในชื่อ Cozy Bear"

"ข้อมูลที่ถูกเข้าถึงนั้นจำกัดอยู่เพียงแค่ภายใน mailboxes ของผู้ใช้งานเท่านั้น บริษัทกำลังดำเนินการสอบสวนเพิ่มเติม และจะดำเนินการแจ้งเตือนตามความเหมาะสม"

เซิร์ฟเวอร์ SharePoint ถูกโจมตี โดยผู้ไม่หวังดีกลุ่มเดียวกัน

ในเอกสารที่ยื่นต่อ SEC 'HPE' ระบุเพิ่มเติมว่า เหตุการณ์การถูกละเมิดข้อมูลใน Office 365 น่าจะเกี่ยวข้องกับเหตุการณ์การโจมตีอีกครั้งในเดือนพฤษภาคม 2023 เมื่อผู้ไม่หวังดีเข้าถึงเซิร์ฟเวอร์ SharePoint ของบริษัท และขโมยไฟล์บางส่วนออกไป

หลายวันก่อนที่ HPE จะเปิดเผย Microsoft ได้ออกมาเตือนเช่นกันว่ากลุ่ม Cozy Bear ขโมยข้อมูลจากบัญชีอีเมลของบริษัท และที่เก็บซอร์สโค้ด พวกเขาเริ่มเจาะระบบเครือข่ายของ Microsoft ในเดือนพฤศจิกายน 2024 ด้วยการโจมตีแบบ password spray เพื่อเข้าถึงบัญชีผู้ใช้งานในระบบทดสอบที่ไม่ใช่ระบบ production

HPE เคยถูกโจมตีในปี 2018 เมื่อกลุ่มผู้ไม่หวังดีจากจีนแฮ็กเข้าสู่เครือข่ายของบริษัท และใช้การเข้าถึงนั้นในการโจมตีอุปกรณ์ของลูกค้า

ในปี 2021 HPE ยังได้เปิดเผยว่า data repos สำหรับแพลตฟอร์มการตรวจสอบเครือข่าย Aruba Central ถูกโจมตี ทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลเกี่ยวกับอุปกรณ์ที่ถูกตรวจสอบ และตำแหน่งของอุปกรณ์เหล่านั้นได้

เมื่อเร็ว ๆ นี้ ในเดือนกุมภาพันธ์ 2024 และมกราคม 2025 บริษัทเริ่มทำการสอบสวนเกี่ยวกับความเป็นไปได้ของการละเมิดความปลอดภัยอื่น ๆ หลังจากที่ผู้ไม่หวังดีที่ใช้ชื่อ IntelBroker อ้างว่าได้ขโมยข้อมูลการเข้าสู่ระบบของ HPE, ซอร์สโค้ด และข้อมูลที่สำคัญอื่น ๆ

ที่มา : bleepingcomputer.

สหรัฐฯ และพันธมิตรแจ้งเตือนแฮ็กเกอร์รัสเซียเปลี่ยนมาโจมตีระบบบนคลาวด์

สมาชิกของพันธมิตรข่าวกรอง Five Eyes (FVEY) ออกมาแจ้งเตือนในวันนี้ว่ากลุ่มแฮ็กเกอร์ APT29 Russian Foreign Intelligence Service (SVR) กำลังเปลี่ยนไปใช้การโจมตีที่กำหนดเป้าหมายไปยังบริการคลาวด์ของเหยื่อ

APT29 (หรือที่รู้จักกันในชื่อ Cozy Bear, Midnight Blizzard, The Dukes) ได้โจมตีหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง หลังจากการโจมตีแบบ supply-chain attack กับบริษัท SolarWinds เมื่อสามปีที่แล้ว

กลุ่มแฮ็กเกอร์จากรัสเซียกลุ่มนี้ ยังโจมตีบัญชี Microsoft 365 ที่เป็นขององค์กรต่าง ๆ ภายในกลุ่มประเทศ NATO เพื่อขโมยข้อมูลที่เกี่ยวข้องกับนโยบายต่างประเทศของรัฐบาล, สถานทูต และเจ้าหน้าที่อาวุโสทั่วยุโรป โดยใช้วิธีการโจมตีแบบฟิชชิ่ง ล่าสุดไมโครซอฟต์ยืนยันว่ากลุ่มดังกล่าวได้โจมตีบัญชี Exchange Online ของผู้บริหาร และผู้ใช้งานจากองค์กรอื่น ๆ ในเดือนพฤศจิกายน 2023

บริการคลาวด์อยู่ภายใต้การถูกโจมตี

ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC), NSA, CISA, FBI และหน่วยงานรักษาความปลอดภัยทางไซเบอร์จากออสเตรเลีย แคนาดา และนิวซีแลนด์ แจ้งเตือนว่ากลุ่มแฮ็กเกอร์จากรัสเซียค่อย ๆ เริ่มต้นการโจมตีโครงสร้างพื้นฐานบนระบบคลาวด์

หน่วยงาน Five Eyes พบกลุ่ม APT29 กำลังเข้าถึงระบบคลาวด์ของเป้าหมายโดยใช้บัญชีที่ถูก compromise จากการโจมตีแบบ brute forcing หรือ password spraying นอกจากนี้ยังใช้บัญชีที่ไม่ได้มีการใช้งาน แต่ยังไม่ถูกลบออกจากองค์กร ทำให้สามารถเข้าถึงได้อีกครั้งหลังจากรีเซ็ตรหัสผ่าน

การเริ่มต้นโจมตีระบบคลาวด์ของ APT29 ยังรวมถึงการใช้ access tokens ที่ถูกขโมยมา ซึ่งช่วยให้พวกเขาแฮ็กบัญชีได้โดยไม่ต้องใช้ข้อมูล credentials รวมถึงการ bypass MFA และการลงทะเบียนอุปกรณ์ของตนเองเป็นอุปกรณ์ใหม่บนระบบคลาวด์ของเหยื่อ

วิธีตรวจจับการโจมตีบนระบบคลาวด์ของกลุ่ม SVR

หลังจากที่สามารถเข้าถึงระบบของเหยื่อได้ในครั้งแรก กลุ่ม SVR จะใช้เครื่องมือที่ซับซ้อน เช่น มัลแวร์ MagicWeb ซึ่งช่วยให้พวกเขาสามารถยืนยันตัวตนในฐานะผู้ใช้งานใด ๆ ภายในเครือข่ายที่ถูกบุกรุก เพื่อหลบเลี่ยงการตรวจจับในเครือข่ายของเหยื่อ ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาล และองค์กรสำคัญ ๆ ที่ครอบคลุมยุโรป สหรัฐอเมริกา และเอเชีย

ดังนั้นการลดความเสี่ยงจากการโจมตีเริ่มต้นของ APT29 ควรเป็นสิ่งแรกที่ต้องทำ เช่น การเปิดใช้งาน MFA ทุกที่ และทุกเวลาที่เป็นไปได้ ควบคู่ไปกับการตั้งรหัสผ่านที่รัดกุม ใช้หลักการ least privilege สำหรับบัญชีต่าง ๆ บนระบบ และบัญชีบริการทั้งหมดเพื่อตรวจจับการบุกรุกได้รวดเร็วยิ่งขึ้น และการลด session lifetimes เพื่อบล็อกการใช้งานของ session tokens ที่อาจถูกขโมยออกไป รวมถึงควรอนุญาตเฉพาะการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ที่ได้รับอนุญาต

ที่มา: https://www.