รัฐบาลสหราชอาณาจักรออกแนวทางใหม่ในการช่วยให้องค์กรจัดการกระบวนการรายงานช่องโหว่ให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อเป้าหมายในการลดความเสี่ยงอย่างแท้จริง
คู่มือดังกล่าวมีการพูดถึง 3 องค์ประกอบหลักที่องค์กรจำเป็นต้องมีคือการสื่อสารอย่างมีประสิทธิภาพ (Communcation), กระบวนการที่ครอบคลุม (Policy), และช่องทางในการติดต่อ โดย NCSC ซึ่งเป็นหน่วยงานที่ออกคู่มือนั้นยังได้มีการพูดถึงการทำไฟล์ Security.
หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน
ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้
สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล
ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง
ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.
กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์
ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29
รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)
รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail
ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.
กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ
กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์
CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา
CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา
Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)
CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้
ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ
ที่มา: us-cert
NCSC ออกคำเตือนให้ระวังการโจมตี DNS Hijacking
เนื่องจากมีรายงานการโจมตีมีจุดประสงค์เพื่อแก้ไข DNS record หรือที่เรียกกันว่า DNS Hijacking ออกมาเป็นจำนวนมาก หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรมีประกาศคำเตือนพร้อมทั้งวิธีการแก้ไขเพื่อลดผลกระทบเหตุการณ์ประเภทนี้
DNS คือบริการที่ส่งต่อข้อมูลเมื่อผู้ใช้งานพิมพ์ domain ในเว็บเบราว์เซอร์ไปยัง IP ของเซิร์ฟเวอร์เว็บไซต์ ซึ่ง DNS hijacking จะหมายถึงการโจมตีเพื่อการเปลี่ยนการตั้งค่า DNS เพื่อให้ไปยัง IP ที่เป็นอันตรายแทน ทำให้ผู้ใช้งานไม่สามารถเข้าไปยังเว็บที่ถูกต้องได้
รายงานจาก Avast แสดงให้เห็นว่าในช่วงเดือนกุมภาพันธ์ - มิถุนายน มีผู้ใช้งานอย่างน้อย 180,000 คนในบราซิล ที่อุปกรณ์ router ถูกทำการแก้ไขการตั้งค่า DNS และในช่วงปลายมีนาคม Avast Web Shield ได้ช่วยบล็อกการโจมตีแบบ cross-site request forgery (CSRF) ที่โจมตีเพื่อเปลี่ยนการตั้งค่า DNS บน router มากกว่า 4.6 ล้านครั้ง
NCSC ประกาศคำเตือนเกี่ยวกับ DNS Hijacking เมื่อ 12 กรกฎาคม 2019 ที่สรุปความเสี่ยงที่มาพร้อมกับความพยายามใน DNS hijacking และให้คำแนะนำองค์กรเพื่อปกป้องตัวเองจากอันตรายประเภทนี้ ได้แก่
# บัญชีที่ใช้จดทะเบียนกับ domain registrar มักตกเป็นเป้าหมายการโจมตีด้วยวิธี phishing หรือวิธี social engineering อื่นๆ ป้องกันโดยใช้รหัสผ่านที่ไม่ซ้ำกับบริการอื่น และเปิดการใช้งานการยืนยันตัวตนหลายขั้นตอน
# ตรวจสอบรายละเอียดที่เชื่อมโยงกับบัญชีที่ใช้จดทะเบียนกับ domain registrar เป็นประจำและเพื่อแน่ใจว่าข้อมูลเหล่านั้นเป็นข้อมูลล่าสุดและชี้ไปที่องค์กรจริงๆ
# จำกัดการเข้าถึงบัญชีดังกล่าวเฉพาะกับบุคคลภายในองค์กร
# ถ้าองค์กรมีการทำ DNS ของตัวเอง NCSC ขอแนะนำให้ใช้งานระบบควบคุมการเข้าถึงฟังก์ชันสำรองและกู้คืน DNS records รวมถึงจำกัดการเข้าถึงเครื่องเซิร์ฟเวอร์ที่ดูแล DNS
# ใช้งาน SSL monitoring และ Domain Name System Security Extensions (DNSSEC)
โดยผู้ที่สนใจสามารถอ่านประกาศเตือนโดยละเอียดได้จาก https://www.