สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

Etherparty ออกมาประกาศเมื่อวันที่ 1 ตุลาคม 2017 ว่าเว็บไซต์ของ ICO (Initial Coin Offering) ที่มีการปล่อยขาย tokens สำหรับเครื่องมือ smart contract บน blockchain ถูกแฮ็ก และเว็บไซต์จริงที่ลูกค้าโอนเงินไปเพื่อซื้อ tokens ถูกสับเปลี่ยนเป็นเว็บไซต์ที่ควบคุมโดยแฮ็กเกอร์

Etherparty บริษัทที่ให้บริการเครื่องมือสำหรับการสร้าง smart contract บน blockchain ซึ่งตั้งอยู่ที่ Vancouver ประเทศแคนาดา ซึ่งบริษัทที่มีธุรกิจลักษณะนี้จะมีรายได้จากการเปิดบริการ ICO ทำให้มีรายได้มาจากหลายแหล่ง ดังเช่น Etherparty ที่ได้มีการเปิดให้ซื้อ token ไปตั้งแต่วันที่ 1 ตุลาคม 2017 ในเวลา 9 โมงเช้าตามเวลาท้องถิ่น แต่หลังจากเปิดได้เพียง 45 นาทีก็พบว่าถูกแฮ็ก รายละเอียดจากรายงานของ Etherparty team ระบุว่าทางทีมใช้เวลาเพียง 15 นาทีในการปิดเว็บไซต์ปลอมดังกล่าว และใช้เวลาทั้งหมดราวชั่วโมงครึ่งในการแก้ปัญหาทั้งหมด หลังจากนั้นเวลา 11:35 ตามเวลาท้องถิ่น เว็บไซต์ก็สามารถกลับมาให้บริการได้ดังเดิม โดยทำการย้าย server และได้เพิ่มเติมคำเตือนให้ตรวจสอบ URL และปลายทางที่ต้องการโอนให้เรียบร้อยก่อนเสมอ

ทางบริษัทได้ออกมากล่าวว่าจะมีการชดเชยให้กับลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว สืบเนื่องจากเหตุการณ์ที่ ICOs มีการถูกแฮ็คหลายต่อหลายครั้ง ทำให้ทั่วโลกเกิดการหวาดระแวง ซึ่งในเวลาต่อมาทางการจีนได้ออกมาประกาศสั่งระงับการทำธุรกรรมทุกอย่างของ ICO ทั่วประเทศ และทางสหรัฐอเมริกาเองก็ได้ออกคำเตือนอย่างเป็นทางการเกี่ยวกับเรื่องนี้แต่ยังไม่มีประกาศบังคับใช้ใดๆ แบบจีน

ที่มา : thehackernews