เครือข่ายรัฐบาลสหรัฐฯ ถูกละเมิดผ่านบัญชีของอดีตพนักงาน

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า เครือข่ายองค์กรรัฐบาลที่ไม่เปิดเผยชื่อ ถูกเจาะผ่านบัญชีผู้ดูแลระบบที่เป็นของอดีตพนักงาน

ตัวแทนจาก CISA ระบุในรายงานความร่วมมือที่เผยแพร่เมื่อวันพฤหัสบดีพร้อม ๆ กับ Multi-State Information Sharing and Analysis Center (MS-ISAC) ว่า เหตุการณ์ดังกล่าวทำให้ผู้โจมตีสามารถเชื่อมต่อ VPN ของเหยื่อได้สำเร็จ โดยมีจุดประสงค์ที่จะรับส่งข้อมูลที่ดูเหมือนเป็นปกติเพื่อหลบเลี่ยงการตรวจจับ

มีการตั้งข้อสงสัยว่าผู้โจมตีได้รับข้อมูล credentials ภายหลังการละเมิดข้อมูล เนื่องจากมีข้อมูล credentials ปรากฏในช่องทางการเผยแพร่ข้อมูลบัญชีรั่วไหล โดยบัญชีผู้ดูแลระบบสามารถเข้าถึง virtualized SharePoint server และยังช่วยให้ผู้โจมตีเข้าถึงชุดข้อมูล credentials อื่นที่จัดเก็บไว้ในเซิร์ฟเวอร์ได้ ซึ่งมีสิทธิ์ผู้ดูแลระบบเครือข่ายภายในองค์กร และ Azure Active Directory (ปัจจุบันเรียกว่า Microsoft Entra ID)

สิ่งนี้ทำให้สามารถสำรวจข้อมูลภายในองค์กรของเหยื่อได้มากขึ้น และค้นหา Lightweight Directory Access Protocol (LDAP) ต่าง ๆ กับ domain controller ได้ ซึ่งผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้ยังไม่ถูกเปิดเผยในปัจจุบัน โดยจากการตรวจสอบเหตุการณ์นี้ มีหลักฐานที่แสดงให้เห็นว่าผู้โจมตีมีการย้ายระบบจาก on-premises ไปยัง Azure cloud

ผู้โจมตีเข้าถึงข้อมูลของโฮสต์ และผู้ใช้งานได้ในที่สุด และนำไปโพสต์ลงบน dark web เพื่อหาผลประโยชน์ทางการเงิน โดยมีข้อความแจ้งเตือนให้องค์กรรีเซ็ตรหัสผ่านสำหรับผู้ใช้ทั้งหมด ปิดการใช้งานบัญชีผู้ดูแลระบบ รวมถึงยกเลิกสิทธิ์การเพิ่มบัญชีที่สอง

เป็นที่น่าสังเกตว่าทั้งสองบัญชีไม่ได้เปิดใช้งาน MFA ซึ่งย้ำให้เห็นถึงความจำเป็นในการรักษาความปลอดภัยบัญชีพิเศษที่ให้สิทธิ์การเข้าถึงระบบที่สำคัญ โดยมีการแนะนำให้ใช้หลักการ least privilege และสร้างบัญชีผู้ดูแลระบบแยกต่างหาก เพื่อแบ่งกลุ่มการเข้าถึงข้อมูลภายในองค์กร และคลาวด์ เป็นสัญญาณบ่งชี้ว่าผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกต้อง รวมถึงบัญชีของอดีตพนักงานที่ยังไม่ได้ถูกลบออกจาก Active Directory (AD) เพื่อเข้าถึงองค์กรโดยไม่ได้รับอนุญาต

CISA ระบุเพิ่มเติมว่า "บัญชี ซอฟต์แวร์ และบริการที่ไม่จำเป็นในเครือข่ายจะสร้างช่องทางเพิ่มเติมเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบได้ ใน Azure AD ผู้ใช้ทุกคนสามารถลงทะเบียน และจัดการแอปพลิเคชันที่พวกเขาสร้างขึ้นได้ การตั้งค่าเริ่มต้นเหล่านี้สามารถทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และโจมตีต่อไปภายในเครือข่ายได้ นอกจากนี้ ผู้ใช้ที่สร้าง Azure AD จะกลายเป็นผู้ดูแลระบบโดยอัตโนมัติสำหรับ tenant นั้น ซึ่งอาจทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในการดำเนินการที่เป็นอันตรายได้"

ที่มา : https://thehackernews.

Read more