Hewlett Packard Enterprise (HPE) กำลังแจ้งเตือนพนักงานที่ถูกขโมยข้อมูลจากอีเมล Office 365 ของบริษัท โดยกลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในการโจมตีทางไซเบอร์เมื่อเดือนพฤษภาคม 2023
ตามเอกสารที่ยื่นต่อสำนักงานอัยการสูงสุดในรัฐนิวแฮมป์เชียร์ และแมสซาชูเซตส์ HPE ได้เริ่มส่งจดหมายแจ้งเตือนการถูกละเมิดข้อมูลเมื่อเดือนที่ผ่านมาไปยังบุคคลอย่างน้อย 16 ราย ซึ่งข้อมูลที่ถูกขโมย ได้แก่ ใบขับขี่, หมายเลขบัตรเครดิต และหมายเลขประกันสังคม
บริษัทระบุในจดหมายว่า "จากการสอบสวนทางนิติวิทยาศาสตร์ของ HPE พบว่าข้อมูลส่วนบุคคลของบางคนอาจถูกเข้าถึงโดยไม่ได้รับอนุญาต เมื่อวันที่ 29 มกราคม 2025 HPE ได้เริ่มแจ้งเตือนบุคคลที่ได้รับผลกระทบจากเหตุการณ์นี้ตามกฎหมายที่เกี่ยวข้อง"
เมื่อสอบถามเกี่ยวกับจำนวนพนักงานที่ได้รับผลกระทบจากเหตุการณ์การถูกละเมิดข้อมูลครั้งนี้ ตัวแทนของ HPE ระบุว่า "มีการเข้าถึง mailboxes ของสมาชิกทีม HPE เพียงเล็กน้อย และมีเพียงข้อมูลที่อยู่ภายใน mailboxes เท่านั้นที่ได้รับผลกระทบ"
กลุ่มที่อยู่เบื้องหลังการโจมตีครั้งนี้คือ Cozy Bear (รู้จักกันในชื่อ Midnight Blizzard, APT29 และ Nobelium) ซึ่งเชื่อว่าเป็นส่วนหนึ่งของหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) และเคยมีส่วนเกี่ยวข้องกับเหตุการณ์โจมตีครั้งใหญ่หลายครั้ง เช่น การโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020
เหตุการณ์การถูกละเมิดข้อมูล HPE ได้เปิดเผยเป็นครั้งแรกในเอกสารที่ยื่นต่อ SEC เมื่อวันที่ 29 มกราคม 2024 โดยบริษัทระบุว่าได้รับแจ้งเมื่อวันที่ 12 ธันวาคมว่ากลุ่มผู้ไม่หวังดีที่ต้องสงสัยว่ามีความเชื่อมโยงกับรัสเซียได้เจาะเข้าสู่ระบบอีเมล Office 365 บนคลาวด์ของบริษัทในเดือนพฤษภาคม 2023 โดยใช้บัญชีที่ถูกโจมตี
HPE ให้ข้อมูลกับ BleepingComputer ในขณะนั้นว่า "เราพบว่า กลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุนจากรัฐบาลได้เข้าถึง และขโมยข้อมูลออกไปตั้งแต่เดือนพฤษภาคม 2023 จาก mailboxes ของ HPE จำนวนเล็กน้อย ซึ่งเป็นของบุคคลในทีมความปลอดภัยทางไซเบอร์, ทีมกลยุทธ์ทางการตลาด, ฝ่ายธุรกิจ และฝ่ายอื่น ๆ เราเชื่อว่ากลุ่มผู้ไม่หวังดีนี้คือ Midnight Blizzard หรือที่รู้จักกันในชื่อ Cozy Bear"
"ข้อมูลที่ถูกเข้าถึงนั้นจำกัดอยู่เพียงแค่ภายใน mailboxes ของผู้ใช้งานเท่านั้น บริษัทกำลังดำเนินการสอบสวนเพิ่มเติม และจะดำเนินการแจ้งเตือนตามความเหมาะสม"
เซิร์ฟเวอร์ SharePoint ถูกโจมตี โดยผู้ไม่หวังดีกลุ่มเดียวกัน
ในเอกสารที่ยื่นต่อ SEC 'HPE' ระบุเพิ่มเติมว่า เหตุการณ์การถูกละเมิดข้อมูลใน Office 365 น่าจะเกี่ยวข้องกับเหตุการณ์การโจมตีอีกครั้งในเดือนพฤษภาคม 2023 เมื่อผู้ไม่หวังดีเข้าถึงเซิร์ฟเวอร์ SharePoint ของบริษัท และขโมยไฟล์บางส่วนออกไป
หลายวันก่อนที่ HPE จะเปิดเผย Microsoft ได้ออกมาเตือนเช่นกันว่ากลุ่ม Cozy Bear ขโมยข้อมูลจากบัญชีอีเมลของบริษัท และที่เก็บซอร์สโค้ด พวกเขาเริ่มเจาะระบบเครือข่ายของ Microsoft ในเดือนพฤศจิกายน 2024 ด้วยการโจมตีแบบ password spray เพื่อเข้าถึงบัญชีผู้ใช้งานในระบบทดสอบที่ไม่ใช่ระบบ production
HPE เคยถูกโจมตีในปี 2018 เมื่อกลุ่มผู้ไม่หวังดีจากจีนแฮ็กเข้าสู่เครือข่ายของบริษัท และใช้การเข้าถึงนั้นในการโจมตีอุปกรณ์ของลูกค้า
ในปี 2021 HPE ยังได้เปิดเผยว่า data repos สำหรับแพลตฟอร์มการตรวจสอบเครือข่าย Aruba Central ถูกโจมตี ทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลเกี่ยวกับอุปกรณ์ที่ถูกตรวจสอบ และตำแหน่งของอุปกรณ์เหล่านั้นได้
เมื่อเร็ว ๆ นี้ ในเดือนกุมภาพันธ์ 2024 และมกราคม 2025 บริษัทเริ่มทำการสอบสวนเกี่ยวกับความเป็นไปได้ของการละเมิดความปลอดภัยอื่น ๆ หลังจากที่ผู้ไม่หวังดีที่ใช้ชื่อ IntelBroker อ้างว่าได้ขโมยข้อมูลการเข้าสู่ระบบของ HPE, ซอร์สโค้ด และข้อมูลที่สำคัญอื่น ๆ
ที่มา : bleepingcomputer.