อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

JetBrains denies being involved in SolarWinds hack

JetBrains แถลงปฏิเสธการมีส่วนเกี่ยวกับเหตุการณ์ Supply-chain attack ของ SolarWinds

บริษัทด้านการพัฒนาซอฟต์แวร์ชื่อดัง JetBrains ได้มีการแถลงออกมาวันนี้เพื่อปฏิเสธรายงานและข้อมูลจาก New York Times และ Wall Street Journal ซึ่งอ้างว่า JetBrains กำลังถูกสอบสวนภายใต้ข้อกล่าวหาว่า JetBrains อาจมีส่วนเกี่ยวข้องกับกรณีการโจมตีระบบของ SolarWinds

รายงานของสองสำนักข่าวอ้างว่าข้อมูลดังกล่าวมีที่มาจากบุคคลภายในของรัฐบาลสหรัฐฯ ซึ่งระบุว่าทางการสหรัฐฯ กำลังตรวจสอบความเป็นไปได้ว่าแฮกเกอร์ซึ่งโจมตีระบบ SolarWinds อาจทำการโจมตีระบบของ JetBrains ในลักษณะเดียวกัน โดยผลิตภัณฑ์ของ JetBrains ซึ่งอ้างว่าได้รับผลกระทบนั้นคือ TeamCity ซึ่งเป็นผลิตภัณฑ์กลุ่มแพลตฟอร์มสำหรับ CI/CD

อ้างอิงจากแถลงการณ์ของ JetBrains "Maxi Shafirov" CEO ของ JetBrains ระบุว่าทางบริษัทไม่ทราบเรื่องของการตรวจสอบดังกล่าวมาก่อน และยังไม่ได้รับการติดต่อใดๆ และมีการระบุอย่างชัดเจนว่า JetBrians ไม่ได้มีส่วนเกี่ยวข้องในลักษณะใดๆ กับการโจมตีในครั้งนี้

ที่มา: blog.

Class Action Lawsuit Filed Against SolarWinds Over Hack

กลุ่มผู้ลงทุนใน SolarWinds ยื่นฟ้องดำเนินคดีกับ SolarWinds เชื่อทางบริษัทรับรู้ความเสี่ยงแต่ไม่ดำเนินการอย่างเหมาะสม

กลุ่มผู้ลงทุนในหุ้นของ SolarWinds ในช่วงวันที่ 24 กุมภาพันธ์ ถึง 15 ธันวาคม 2020 นำโดย Timothy Bremer ได้มีการยื่นฟ้องเพื่อดำเนินคดีแบบกลุ่มกับ SolarWinds จากกรณีการโจมตีระบบซึ่งส่งผลให้หุ้นของ SolarWinds นั้นร่วงจาก 24 ดอลลาร์สหรัฐฯ ลงไปอยู่ที่ 18 ดอลลาร์สหรัฐฯ หลังจากที่รายละเอียดการโจมตีปรากฎขึ้นมา

คำฟ้องมีการอ้างเหตุการณ์ตามที่ไอ-ซีเคียวเคยรายงานออกไปตั้งแต่การโจมตีในลักษณะของ Supply-chain attack, กรณีการตั้งพาสเวิร์ดที่คาดเดาง่ายของเซิร์ฟเวอร์อัปเดตของ SolarWinds และผลกระทบที่เกิดขึ้น คำฟ้องยังมีการอ้างถึงรายงานซึ่งระบุว่าความเสี่ยงด้านความปลอดภัยและช่องโหว่นั้นได้เคยถูกรายงานไปให้แก่ SolarWinds แล้ว แต่ SolarWinds เพิกเฉยที่จะดำเนินการอย่างเหมาะสม

ผู้ลงทุนใน SolarWinds สามารถเข้าร่วมการดำเนินคดีแบบกลุ่มได้จนวันที่ 5 มีนาคม 2021 นี้

ที่มา: securityweek

Vietnam targeted in complex supply chain attack

นักวิจัยพบการโจมตี Supply Chain Attack ใน Vietnam Government Certification Authority (VGCA) ซึ่งมีผลต่อบริษัทเอกชนและหน่วยงานของรัฐเวียดนาม

ตามรายงานที่มีชื่อว่า "Operation SignSight" จากบริษัทรักษาความปลอดภัย ESET ซึ่งได้เปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮกเกอร์ลึกลับที่ได้ทำการโจมตี ในลักษณะ Supply-chain Attack ต่อบริษัทเอกชนเวียดนามและหน่วยงานของรัฐโดยการแทรกมัลแวร์เข้าไปในชุดเครื่องมือซอฟต์แวร์ของรัฐบาล

กลุ่มแฮกเกอร์ได้กำหนดเป้าหมายการโจมตีไปยัง Vietnam Government Certification Authority (VGCA) ซึ่งเป็นองค์กรของรัฐบาลที่ออกใบรับรองดิจิทัลที่สามารถใช้ในการลงนามในเอกสารทางอิเล็กทรอนิกส์ได้ ซึ่งจะทำให้พลเมืองเวียดนาม, บริษัทเอกชนและแม้แต่หน่วยงานของรัฐอื่นๆ ที่ต้องการส่งไฟล์ไปยังรัฐบาลเวียดนามและจะต้องลงนามในเอกสารของตนด้วยใบรับรองดิจิทัลที่รองรับ VGCA มีความเสี่ยงจากการดาวน์โหลดและติดตั้งแอปพลิเคชันไคลเอ็นต์ที่ถูกใช้ในกระบวนการลงนามเแบบอัตโนมัติ

ESET กล่าวว่าแฮกเกอร์ได้ทำการบุกรุกเข้าไปในเว็บไซต์ของหน่วยงานคือ ca.

สรุปมหากาพย์ SolarWinds Supply Chain Attack พร้อม IR Playbook

INTRODUCTION
ในวันที่ 8 ธันวาคมที่ผ่านมา บริษัทด้านความปลอดภัยไซเบอร์ FireEye ประกาศการตรวจพบการโจมตีระบบของตนและนำไปสู่บทความคำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบซึ่งตีพิมพ์ในวันถัดมาโดยทีม Intelligent Response อย่างไรก็ตาม การโจมตี FireEye เป็นเพียงจุดเริ่มต้นเล็กๆ เท่านั้นของมหากาพย์การโจมตีทางไซเบอร์แห่งปี 2020

SolarWinds Orion ซึ่งเป็นผลิตภัณฑ์สำหรับจัดการบริหารรวมไปถึงตั้งค่าเครือข่ายถูกโจมตีโดยผู้โจมตีซึ่งยังไม่มีข้อมูลแน่ชัด ผู้โจมตีทำการโจมตี SolarWinds เพื่อทำการฝังโค้ดที่เป็นอันตรายไว้ใน SolarWinds Orion ส่งผลให้ผู้ใช้งาน SolarWinds Orion ในรุ่นที่มีการอัปเดตและได้รับโค้ดที่เป็นอันตรายทั่วโลกตกอยู่ในความเสี่ยง ยิ่งไปกว่านั้นอาจมีความเป็นไปได้ที่การโจมตีจะเกิดขึ้นจากผู้โจมตีสองกลุ่มที่ไม่เกี่ยวข้องกันมาก่อนด้วย

ในบทความนี้ ทีม Intelligent Response จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปเหตุการณ์การโจมตี SolarWinds ในลักษณะของ Supply-chain attack ซึ่งเชื่อว่าเป็นจุดเริ่มต้นของการโจมตี FireEye และนำไปสู่หนึ่งในการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดต่อรัฐบาลสหรัฐฯ รวมไปถึงบริษัทไอทียักษ์ใหญ่อีกหลายบริษัท รวมไปถึงแผนในการตอบสนองและรับมือเหตุการณ์ดังกล่าวในลักษณะของ Incident response playbook เพื่อให้ศักยภาพในการรับมือและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยนี้นั้นพัฒนาไปพร้อมกับขีดจำกัดของภัยคุกคามครับ

เนื้อหาภายในบทความจะถูกแบ่งเป็นหัวข้อตามลำดับดังนี้

ลำดับเหตุการณ์ด้านความปลอดภัย (Timeline)
เหตุการณ์การโจมตี SolarWinds (The SolarWinds Intrusion)
รายละเอียดและการวิเคราะห์เหตุการณ์ด้านความปลอดภัย (Analysis)

ข้อมูลผู้โจมตี (Threat actor)
เป้าหมายในการโจมตี (Targets)
ช่องโหว่ที่ใช้ในการโจมตี (Vulnerability)
รูปแบบและพฤติกรรมการโจมตี (Attack Techniques)

รายละเอียดและการวิเคราะห์มัลแวร์ที่ปรากฎในการโจมตี (Malware Analysis)

รายละเอียดมัลแวร์ SUNBURST
รายละเอียดมัลแวร์ TEARDROP
รายละเอียดมัลแวร์ BEACON
รายละเอียดมัลแวร์ SUPERNOVA

คำแนะนำในการระบุหาภัยคุกคาม (Threat Detection/Hunting)
คำแนะนำในการตอบสนองภัยคุกคาม (Incident Response)

คำแนะนำในการจำกัดความเสียหาย (Containment)
คำแนะนำในการกำจัดภัยคุกคาม (Eradication)
คำแนะนำในการฟื้นฟูระบบ (Recovery)

ข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise)
แหล่งข้อมูลอ้างอิงเพิ่มเติม (Additonal References/Resources)

TIMELINE

September 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการโจมตีระบบของ SolarWinds อ้างอิงจากหลักฐานดิจิตอลที่ตรวจพบ

September 12, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการแทรกโค้ดอันตรายลงไปในแพลตฟอร์ม Orion ครั้งแรก เชื่อว่าเป็นการดำเนินการเพื่อทดสอบว่าสามารถดำเนินการได้จริง

November 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีหยุดช่วงการทดสอบแทรกโค้ดลงในแพลตฟอร์ม Orion

February 20, 2020 (อ้างอิง: SolarWinds)

มัลแวร์ SUNBURST ถูกคอมไพล์ลงแพลตฟอร์มของ Orion เป็นครั้งแรก

March 26, 2020 (อ้างอิง: SolarWinds)

มีการกระจาย Hotfix ของแพลตฟอร์ม Orion ที่มีมัลแวร์ SUNBURST ฝังตัวอยู่ให้แก่ลูกค้า

June 4, 2020 (อ้างอิง: SolarWinds)

ผู้โจมตีถอนการติดตั้งมัลแวร์ SUNSPOT ซึ่งใช้ในการแทรกโค้ด SUNBURST ออกจากระบบที่ใช้ในการพัฒนาซอร์สโค้ด Orion

December 8 (อ้างอิง: FireEye):

FireEye ตรวจพบการบุกรุกระบบภายในของบริษัท ผู้โจมตีสามารถเข้าถึงเครื่องมือสำหรับทำ Red Teaming Assessment ได้ อ่านรายละเอียดเพิ่มเติมของเหตุการณ์ดังกล่าวได้ที่บทความ "คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ" โดยทีม Intelligent Response

December 12, 2020 (อ้างอิง: SolarWinds)

SolarWinds ได้รับแจ้งเกี่ยวกับการตรวจพบมัลแวร์ SUNBURST

December 13 (อ้างอิง: FireEye, SolarWinds, Department of Homeland Security, Microsoft):

FireEye เปิดเผยแคมเปญการโจมตีโดยกลุ่ม UNC2452 ซึ่งใช้รูปแบบการโจมตีแบบ Supply chain attack กับผลิตภัณฑ์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ SUNBURST, TEARDROP และ BEACON
SolarWinds ประกาศ Security advisory ยืนยันการถูกโจมตีพร้อมกับรายละเอียดและคำแนะนำในการลดผลกระทบ
Department of Homeland Security หรือกระทรวงความมั่นคงมาตุภูมิสหรัฐฯ ออกประกาศ Emergency Directive 21-01 Mitigate SolarWinds Orion Code Compromise เพื่อให้คำแนะนำในการลดผลกระทบจากการบุกรุกและแก้ไขโค้ดการทำงานในซอฟต์แวร์ SolarWinds Orion สำหรับหน่วยงานรัฐฯ
Microsoft ออกรายงานการวิเคราะห์สถานการณ์และพฤติกรรมการโจมตี

December 14 (อ้างอิง: Reuters, New York Times, The Register, Washington Post, Krebs on Security, The Wall Street Journal, Bleeping Computer, The Hacker News, Help Net Security, Politico, SEC, ZDNet, Security Week, @vinodsparrow, Threatpost, Volexity):

มีการรายงานข่าวว่าการโจมตีที่เกิดขึ้นอาจเกี่ยวข้องกับกลุ่มแฮกเกอร์ซึ่งทำงานให้ประเทศรัสเซีย
การโจมตีดังกล่าวถูกใช้เพื่อเข้าถึงและอ่านอีเมลของหน่วยงานภายในกระทรวงการคลัง, หน่วยงาน National Telecommunications and Information Administration (NTIA) ภายใต้กระทรวงพาณิชย์สหรัฐฯ และกระทรวงความมั่นคงมาตุภูมิ
รายงานข่าวจากบางสำนักระบุว่าการโจมตีที่เกิดขึ้นนั้นเกิดข้องกับการบุกรุกระบบของ FireEye ที่มีการประกาศมาในวันที่ 8 ธันวาคม
รัฐมนตรีต่างประเทศรัสเซียตอบโต้ใน Facebook ของสถานทูตรัสเซียในสหรัฐฯ โดยอ้างว่าถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการโจมตี
SolarWinds แจ้งต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (The Securities and Exchange Commission – SEC) เกี่ยวกับสถานการณ์ที่เกิดขึ้น โดยหนึ่งในรายละเอียดที่มีการเปิดเผยออกมานั้น SolarWinds ระบุว่ามีลูกค้า 33,000 รายที่ใช้ SolarWinds Orion และน้อยกว่า 18,000 รายที่คาดว่ามีการติดตั้งอัปเดตที่มีมัลแวร์ SUNBURST อยู่ โดย SolarWinds ได้มีการติดต่อและแจ้งเตือนลูกค้าทั้งหมด 33,000 รายแล้ว
SolarWinds ยังมีการแจ้งต่อ SEC เพิ่มเติมด้วยว่า ได้รับการแจ้งเตือนจากไมโครซอฟต์เรื่องการตรวจพบการโจมตีและบุกรุกบัญชี Office 365 ขององค์กร ซึ่งทางองค์กรกำลังตรวจสอบอยู่
นักวิจัยด้านความปลอดภัย Vinoth Kumar ได้ออกมาทวีตเปิดเผยว่า ตนได้มีการแจ้งเตือนไปยัง SolarWinds ตั้งแต่เดือนพฤศจิกายน 2019 หลังจากค้นพบว่าโครงการซอฟต์แวร์ของ SolarWinds โครงการหนึ่งบนเว็บไซต์ GitHub มีการระบุข้อมูลสำหรับเข้าถึงระบบ downloads.

NSA ออกแจ้งเตือนถึงกลุ่มผู้ประสงค์ร้ายพยายามเข้าถึง Cloud-based ขององค์กร ผ่าน Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

Microsoft ออกมายืนยันถึงการถูกบุกรุกผ่านซอฟแวร์ SolarWinds Orion เช่นเดียวกับหน่วยงานและองค์กรภาคเอกชนของสหรัฐฯ ต่างๆ

จากการแจ้งเตือนของสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Agency - CISA) ที่ได้ออกแจ้งเตือนเกี่ยวกับ Supply chain attack ที่เกิดขึ้นกับซอฟแวร์ SolarWinds Orion และผลกระทบต่อหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ

โดยรายงานของสำนักข่าวรอยเตอร์ที่ได้รายงานถึงการบุกรุกเข้าไปในผลิตภัณฑ์ของ Microsoft ซึ่ง Microsoft ออกแถลงการณ์ยอมรับว่ามีการตรวจพบโทรจันในซอฟแวร์ SolarWinds Orion ที่อยู่ภายในเครือข่ายและ Microsoft ได้ทำการแก้ไขแล้ว ซึ่งหลังจากการแก้ไข Microsoft ไม่พบหลักฐานการเข้าถึงบริการการผลิตหรือข้อมูลลูกค้า ณ ตอนนี้ Microsoft ได้ถูกเข้าร่วมอยู่ในลิสต์ที่ถูกแฮกผ่านการอัปเดตแบ็คดอร์ผ่านซอฟแวร์ SolarWinds Orion โดยที่ก่อนหน้านี้ได้มีหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ ถูกตกเป็นเหยื่อแล้ว เช่น กระทรวงการคลังสหรัฐฯ, โทรคมนาคมและสารสนเทศแห่งชาติของกระทรวงพาณิชย์สหรัฐ (NTIA), สถาบันสุขภาพแห่งชาติของกรมอนามัย (NIH), หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), กระทรวงการต่างประเทศสหรัฐฯ, สถาบันแห่งชาติและบริหารจัดการความปลอดภัยนิวเคลียร์ (NNSA), กระทรวงพลังงานสหรัฐ (DOE)

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยของซอฟแวร์ SolarWinds Orion ให้เป็นเวอร์ชัน 2020.2.1 HF 2 เป็นการด่วนเพื่อป้องกันกลุ่มผู้ประสงค์ร้ายใช้ประโยชน์จากแบ็คดอร์ทำการโจมตีระบบ

ที่มา: zdnet

FireEye แจ้งเตือนการโจมตี SolarWinds Orion เชื่อว่าเป็นสาเหตุของการรั่วไหลของข้อมูลจาก FireEye

FireEye ประกาศการค้นพบแคมเปญการโจมตีทั่้วโลกโดยกลุ่มแฮกเกอร์ซึ่งถูกติดตามในชื่อ UNC2452 ผ่านการฝังแบ็คดอร์ไว้ในไฟล์อัปเดตของซอฟต์แวร์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ชื่อ SUNBRUST การตรวจสอบพบว่าพฤติกรรมและเทคนิคการโจมตีดังกล่าวจะเกี่ยวข้องกับสถานการณ์การรั่วไหลข้อมูลและเครื่องมือทำ Red team assessement ของทาง FireEye เอง

ในขณะนี้องค์กรซึ่งถูกยืนยันว่าถูกโจมตีแล้ว ได้แก่กระทรวงการคลังสหรัฐฯ, National Telecommunications and Information Administration หรือ NTIA ซึ่งเป็นหน่วยงานภายใต้กระทรวงพาณิชย์สหรัฐฯ และ FireEye ด้วย ทั้งนี้ FireEye เชื่อว่าเหยื่อในการโจมตีอาจมีมากกว่าที่ตรวจพบและอาจมีอยู่ทั่วโลก ทุกลักษณะธุรกิจและองค์กร

แหล่งข่าวมีการให้ข้อมูลกับ Washington Post ว่าการโจมตีดังกล่าวมีลักษณะเชื่อมโยงไปยังกลุ่ม APT29 ซึ่งเป็นกลุ่ม APT ที่เกี่ยวกับกับรัฐบาลรัสเซีย ทั้งนี้ FireEye ไม่ได้มีการยืนยันข้อเท็จจริงในส่วนนี้

ทีม Intelligent Response ขอสรุปรายละเอียด เทคนิคและพฤติกรรมการโจมตีตามรายการดังต่อไปนี้

รูปแบบการโจมตีที่ FireEye ตรวจพบนั้นเป็นลักษณะที่ถูกเรียกว่า Supply-chain คือการที่ผู้โจมตีโจมตีซอฟต์แวร์ ฮาร์ดแวร์หรือทรัพยากรที่จำเป็นที่องค์กรต้องใช้ในการดำเนินงาน จากนั้นใช้ประโยชน์จากการโจมตีนั้นในการบุกรุกและติดตั้งมัลแวร์
ซอฟต์แวร์ซึ่งถูกโจมตีในครั้งนี้คือ SolarWinds Orion ซึ่งใช้ในการตรวจสอบและเฝ้าระวังอุปกรณ์ไอทีในองค์กร โดย SolarWinds ได้ออกมายืนยันการโจมตีและเผยแพร่ Security advisory แล้ว
อ้างอิงจากรายละเอียดของ SolarWinds ซอฟต์แวร์ Orion ตั้งแต่เวอร์ชัน 2019.4 จนถึง 2020.21 ซึ่งถูกเผยแพร่ตั้งแต่เดือนมีนาคม 2020 จนถึงมิถุนายน 2020 ได้ถูกแก้ไขและติดตั้งแบ็คดอร์
แบ็คดอร์ซึ่งถูกติดตั้งถูกระบุชื่อโดย FireEye ว่า SUNBURST และถูกตรวจจับโดยไมโครซอฟต์ในชื่อ Solorigate
ในขณะนี้ FireEye ได้มีการเผยแพร่รายงานการวิเคราะห์มัลแวร์และแนวทางในการตรวจจับและเฝ้าระวังแล้ว
SolarWinds มีแผนจะปล่อยอัปเดต 2020.2.1 HF 2 ในวันที่ 15 ธันวาคมนี้ โดยอัปเดตจะนำส่วนของซอฟต์แวร์ที่มีแบ็คดอร์ออก และเพิ่มความปลอดภัยระบบ

ที่มา:

https://www.