POPWANDEE

Politics Military Economy Social Information and Infrastructure, Article and Analysis.

/ / / / SolarWinds Sunburst Attack คืออะไร

SolarWinds Sunburst Attack คืออะไร

, , Edit

 

SolarWinds Sunburst Attack

เมื่อเดือนธันวาคม 2563 ที่ผ่านมาโลกได้เผชิญหน้ากับเจนเนอเรชั่นที่ 5 ของการโจมตีทางไซเบอร์ที่มีความซับซ้อน หลายมิติ ด้วยคุณลักษณะของการโจมตีที่ระบาดเป็นวงกว้างอย่างชัดเจน  ผู้เชี่ยวชาญได้ตั้งชื่อการโจมตีนี้ว่า  Sunburst ซึ่งว่ากันว่าเป็นการโจมตีที่ซับซ้อนที่สุดและเกิดผลร้ายแรงที่สุดเท่าที่เคยพบเจอมา รายงานระบุว่าการโจมตีส่งผลกระทบต่อหน่วยงานรัฐบาลสหรัฐอเมริกาและองค์กรเอกชนหลายแห่ง


Loggly-inc, CC BY-SA 4.0 <https://creativecommons.org/licenses/by-sa/4.0>, via Wikimedia Commons

ก่อนอื่นเรามารู้จัก Solarwinds กันก่อนว่ามันคืออะไรกันแน่

คำนิยามจากเว็บไซต์ https://icesuntisuk.blogspot.com/2015/02/solarwinds.html อธิบายว่า

Solarwinds - เป็นซอฟแวร์บริหารจัดการอุปกรณ์เครือข่ายโดยอาศัยโปรโตคอล SNMP เพื่อตรวจสอบสถานะของอุปกรณ์เครือข่ายในระบบ ซึ่งจะช่วยให้ผู้ดูแลระบบนั้นสามารถที่จะพบปัญหาหรือตรวจสอบปัญหาได้อย่างรวดเร็ว

ดังนั้นด้วยความที่มันเป็นซอฟท์แวร์ที่ใช้บริหารจัดการเครือข่ายคอมพิวเตอร์ขององค์กร มันจึงมีความสำคัญเพราะสามารถบริหารจัดการคอมพิวเตอร์ในองค์กรได้ทั้งหมด

การโจมตีแบบ SolarWinds Sunburst Attack ชุดนี้เกิดขึ้นโดยนักแฮกเกอร์สามารถสร้างประตูหลังบ้านหรือ backdoor ไปกับซอฟท์แวร์อัพเดตของ SolarWinds ทำให้สำนักงานรัฐบาลและบริษัทต่าง ๆ กว่า 18,000 สำนักงานดาวน์โหลดซอฟท์แวร์ที่เหมือนเป็นซอฟท์แวร์อัพเดตปกติของระบบคอมพิวเตอร์ แต่ไม่รู้ว่าจริง ๆ มันมีม้าโทรจัน Trojan horse แฝงเข้ามาด้วย . 

ด้วยการใช้ประโยชน์จากกระบวนการอัพเดตซอฟท์แวร์ปกติทั่วไป แฮกเกอร์ใช้ประโยชน์จากประตูหลังบ้านนี้ในการทำให้ระบบคอมพิวเตอร์องค์กรยอมให้พวกเขาสามารถสอดแนมองค์กรด้วยการเข้าถึงข้อมูลต่าง ๆ ได้

เว็บไซต์ https://www.blognone.com/node/120144 ได้อธิบายกระบวนการ ขั้นตอนของการโจมตีครั้งนี้ไว้ว่า

กรณีของ SolarWinds เป็นการแฮ็กระบบซัพพลายเชน (supply chain attack) โดยแฮ็กเกอร์เจาะเข้าระบบภายในของบริษัท SolarWinds ได้ก่อน จากนั้นค่อยเปลี่ยนไบนารีของ SolarWinds Orion เป็นเวอร์ชันที่ถูกแก้ไข เมื่อ SolarWinds แจกจ่ายซอฟต์แวร์ Orion ไปยังลูกค้า ทำให้ลูกค้ามีช่องโหว่ที่ตรวจสอบเองได้ยาก

ผู้ที่ค้นพบว่า SolarWinds ถูกแฮ็กคือ บริษัทความปลอดภัย FireEye ที่เพิ่งถูกแฮ็กไปเมื่อเร็วๆ นี้ โดย FireEye เป็นลูกค้าของ SolarWinds เช่นกัน และเมื่อบริษัทอย่าง FireEye โดนลูบคม จึงตรวจสอบว่าจุดโหว่เกิดที่ไหน และพบว่ามาจาก SolarWinds นั่นเอง


หากผู้อ่านสนใจรายละเอียด ติดตามได้ที่เว็บไซต์  i-secure.co.th/ ซึ่งได้อธิบายเหตุการณ์การตรวจสอบ และแนวทางป้องกัน แก้ไขปัญหาไว้ค่อนข้างละเอียดครับ

Share on Google Plus

About Aka

0 comments:

Post a Comment

Subscribe to: Post Comments ( Atom )