การแฮ็ก Sunburst นั้นยิ่งใหญ่และทำลายล้าง – 5 ข้อสังเกตจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์

การแฮ็ก Sunburst นั้นยิ่งใหญ่และทำลายล้าง – 5 ข้อสังเกตจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์

ยังไม่ทราบอะไรอีกมากเกี่ยวกับสิ่งที่เรียกว่าแฮ็ก Sunburst การโจมตีทางไซเบอร์ต่อหน่วยงานรัฐบาลและองค์กรของสหรัฐฯ เจ้าหน้าที่สหรัฐเชื่ออย่างกว้างขวางว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐของรัสเซียเป็นผู้รับผิดชอบ

การโจมตีดังกล่าวทำให้ผู้กระทำผิดสามารถเข้าถึงองค์กรธุรกิจและหน่วยงานรัฐบาลที่สำคัญหลายแห่งของอเมริกา ผลกระทบในทันทีจะตัดสินได้ยาก และการบัญชีความเสียหายทั้งหมดไม่น่าจะเกิดขึ้นได้ อย่างไรก็ตาม ธรรมชาติขององค์กรที่ได้รับผลกระทบเพียงอย่างเดียวทำให้เห็นชัดเจนว่า นี่อาจเป็นการโจมตีทางไซเบอร์ที่เป็นผลสืบเนื่องมากที่สุดต่อสหรัฐฯ จนถึงปัจจุบัน

การกระทำของสงครามไซเบอร์มักจะไม่เหมือนกับระเบิด ซึ่งก่อให้เกิดความเสียหายทันทีที่เข้าใจดี ตรงกันข้าม มันเหมือนกับมะเร็งมากกว่า ตรวจพบได้ช้า กำจัดยาก และทำให้เกิดความเสียหายอย่างต่อเนื่องและสำคัญในระยะเวลาอันยาวนาน ต่อไปนี้คือ 5 จุดที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ – ผู้เชี่ยวชาญด้านเนื้องอกวิทยาในการเปรียบเทียบมะเร็ง – สามารถทำได้จากสิ่งที่ยังเป็นที่รู้จัก

1. เหยื่อเป็นถั่วที่แตกยาก

ตั้งแต่บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับแนวหน้าอย่าง FireEye ไปจนถึงกระทรวงการคลังสหรัฐฯ, Microsoft, Intel และองค์กรอื่นๆ อีกมากมาย ผู้ที่ตกเป็นเหยื่อของการโจมตีคือบริษัทส่วนใหญ่ที่มีแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ครอบคลุม รายชื่อองค์กรที่ใช้ซอฟต์แวร์ที่ถูกบุกรุกได้แก่ บริษัทต่างๆ เช่น MasterCard, Lockheed Martin และ PricewaterhouseCoopers SolarWinds ประมาณการว่าบริษัทประมาณ18,000 แห่งได้รับผลกระทบ

ในฐานะซีอีโอของบริษัทความปลอดภัยทางไซเบอร์ Cyber ​​​​Reconnaissance Inc. และรองศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัยแห่งรัฐแอริโซนา ฉันได้พบกับผู้เชี่ยวชาญด้านความปลอดภัยจากองค์กรเป้าหมายหลายแห่ง หลายองค์กรมีทีมรักษาความปลอดภัยทางไซเบอร์ระดับโลก นี่เป็นเป้าหมายที่ยากที่สุดในองค์กรอเมริกา เหยื่อของ Sunburst ตกเป็นเป้าหมายโดยเฉพาะ ซึ่งน่าจะเน้นไปที่การรวบรวมข่าวกรองเป็นหลัก

2. นี่เป็นงานของชาติเกือบแน่นอน ไม่ใช่อาชญากร

แฮ็กเกอร์อาชญากรมุ่งเน้นไปที่ผลประโยชน์ทางการเงินในระยะสั้น พวกเขาใช้เทคนิคต่างๆ เช่น แรนซัมแวร์เพื่อรีดไถเงินจากเหยื่อ ขโมยข้อมูลทางการเงิน และเก็บเกี่ยวทรัพยากรการคำนวณสำหรับกิจกรรมต่างๆ เช่น การส่งอีเมลขยะหรือการขุดหาสกุลเงินดิจิทัล

แฮ็กเกอร์อาชญากรใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่รู้จักกันดีซึ่งหากเหยื่อได้รับการรักษาความปลอดภัยอย่างถี่ถ้วนมากขึ้นก็สามารถป้องกันได้ แฮ็กเกอร์มักกำหนดเป้าหมายองค์กรที่มีการรักษาความปลอดภัยที่อ่อนแอ เช่น ระบบการดูแลสุขภาพ มหาวิทยาลัย และหน่วยงานเทศบาล เครือข่ายของมหาวิทยาลัยมีการกระจายอำนาจอย่างฉาวโฉ่ ยากต่อการรักษาความปลอดภัย และมักมีเงินทุนไม่เพียงพอต่อการรักษาความปลอดภัยทางไซเบอร์ ระบบการแพทย์มักจะใช้อุปกรณ์ทางการแพทย์เฉพาะทางที่ใช้ซอฟต์แวร์ที่เก่ากว่าและมีช่องโหว่ซึ่งยากต่อการอัพเกรด

ในทางกลับกัน แฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลระดับชาติมีแรงจูงใจที่แตกต่างไปจากเดิมอย่างสิ้นเชิง พวกเขามองหาการเข้าถึงโครงสร้างพื้นฐานที่สำคัญในระยะยาว รวบรวมข้อมูลข่าวกรอง และพัฒนาวิธีการปิดการใช้งานอุตสาหกรรมบางประเภท พวกเขายังขโมยทรัพย์สินทางปัญญา โดยเฉพาะอย่างยิ่งทรัพย์สินทางปัญญาที่มีราคาแพงในการพัฒนาในด้านต่างๆ เช่น เทคโนโลยีชั้นสูง การแพทย์ การป้องกันประเทศ และการเกษตร

สมาร์ทโฟนที่แสดงโลโก้ FireEye

หนึ่งในองค์กรเป้าหมายอย่าง FireEye บริษัทรักษาความปลอดภัยทางไซเบอร์ จะเป็นทางเลือกที่ไม่ดีสำหรับอาชญากรไซเบอร์ แต่เป็นที่ต้องการอย่างสูงสำหรับรัฐบาลรัสเซียหรือฝ่ายตรงข้ามอื่นๆ ของ US SOPA Images/LightRocket ผ่าน Getty Images

ความพยายามอย่างยิ่งยวดในการแทรกซึมหนึ่งในบริษัทเหยื่อของ Sunburst ก็เป็นสัญญาณบ่งบอกว่านี่ไม่ใช่เพียงการแฮ็กทางอาญา ตัวอย่างเช่น บริษัทอย่าง FireEye เป็นเป้าหมายที่ไม่ดีสำหรับผู้โจมตีทางอาญา มีพนักงานน้อยกว่า 4,000 คน แต่มีความปลอดภัยคอมพิวเตอร์เทียบเท่ากับธุรกิจการเงินและการเงินชั้นนำของโลก

3. การโจมตีใช้ซอฟต์แวร์บุคคลที่สามที่เชื่อถือได้

แฮกเกอร์เข้าถึงได้โดยการนำมัลแวร์ไปใส่ในการอัปเดตซอฟต์แวร์ของซอฟต์แวร์ Orion ของ SolarWinds ซึ่งใช้กันอย่างแพร่หลายในการจัดการเครือข่ายองค์กรขนาดใหญ่ การโจมตีด้วย Sunburst อาศัยความสัมพันธ์ที่เชื่อถือได้ระหว่างองค์กรเป้าหมายกับ SolarWinds เมื่อผู้ใช้ Orion อัปเดตระบบในฤดูใบไม้ผลิปี 2020 พวกเขาเชิญม้าโทรจันเข้ามาในเครือข่ายคอมพิวเตอร์โดยไม่รู้ตัว

นอกเหนือจากรายงานเกี่ยวกับการรักษาความปลอดภัยที่หละหลวมที่ SolarWinds แล้ว ยังไม่ค่อยมีใครรู้เกี่ยวกับวิธีที่แฮกเกอร์เข้าถึง SolarWinds เบื้องต้นได้ อย่างไรก็ตาม รัสเซียเคยใช้กลวิธีในการประนีประนอมกระบวนการอัปเดตซอฟต์แวร์ของบุคคลที่สามมาก่อนในปี 2560 ซึ่งเป็นช่วงที่เกิด การโจมตี NotPetya ที่น่าอับอาย ซึ่งถือเป็นการ โจมตีทางไซเบอร์ที่สร้างความเสียหายทางการเงินมากที่สุดใน ประวัติศาสตร์

4. ไม่ทราบขอบเขตของความเสียหาย

ต้องใช้เวลาในการเปิดเผยขอบเขตของความเสียหาย การสอบสวนมีความซับซ้อน เนื่องจากผู้โจมตีได้เข้าถึงเหยื่อส่วนใหญ่ในฤดูใบไม้ผลิปี 2020 ซึ่งทำให้แฮกเกอร์มีเวลาขยายและซ่อนการเข้าถึงและการควบคุมระบบของเหยื่อ ตัวอย่างเช่นผู้เชี่ยวชาญบางคนเชื่อว่าช่องโหว่ใน VMWare ซึ่งเป็นซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายในเครือข่ายองค์กร ยังถูกใช้เพื่อเข้าถึงระบบของเหยื่อแม้ว่าบริษัทจะปฏิเสธก็ตาม

โลโก้ Microsoft ที่ด้านข้างของอาคาร

องค์กรที่ถูกเปิดเผยบางแห่ง เช่น Microsoft ใช้ซอฟต์แวร์ SolarWinds อย่างจำกัด ซึ่งดูเหมือนว่าจะมีความเสียหายที่พวกเขาได้รับ Raimond Spekking , CC BY-SA

ฉันคาดว่าความเสียหายจะกระจายไม่ทั่วถึงในหมู่ผู้ประสบภัย สิ่งนี้จะขึ้นอยู่กับปัจจัยต่างๆ เช่น ความกว้างขวางขององค์กรที่ใช้ซอฟต์แวร์ SolarWinds การแบ่งกลุ่มเครือข่าย และลักษณะของวงจรการบำรุงรักษาซอฟต์แวร์ ตัวอย่างเช่น Microsoft รายงานว่ามีการปรับใช้ Orion ที่จำกัดดังนั้นการโจมตีจึงส่งผลกระทบอย่างจำกัดต่อระบบของพวกเขา

ในทางตรงกันข้าม เงินรางวัลที่แฮ็กเกอร์ขโมยมาจาก FireEye นั้นรวมถึงเครื่องมือทดสอบการเจาะระบบ ซึ่งใช้ในการทดสอบการป้องกันของไคลเอนต์ FireEye ระดับไฮเอนด์ การขโมยเครื่องมือเหล่านี้น่าจะให้รางวัลโดยแฮ็กเกอร์ เพื่อเพิ่มขีดความสามารถในการโจมตีในอนาคต รวมทั้งรับข้อมูลเชิงลึกเกี่ยวกับสิ่งที่ไคลเอนต์ FireEye กำลังป้องกัน

5. ผลกระทบอาจรวมถึงอันตรายในโลกแห่งความเป็นจริง

มีเส้นแบ่งบางๆ ที่มักไม่มีอยู่จริงระหว่างการรวบรวมข้อมูลและการก่อให้เกิดอันตรายในโลกแห่งความเป็นจริง สิ่งที่อาจเริ่มต้นจากการสอดแนมหรือการจารกรรมสามารถขยายไปสู่สงครามได้อย่างง่ายดาย

การปรากฏตัวของมัลแวร์ในระบบคอมพิวเตอร์ที่ให้สิทธิ์ผู้ใช้แก่ผู้โจมตีมากขึ้นนั้นเป็นอันตราย แฮกเกอร์สามารถใช้การควบคุมระบบคอมพิวเตอร์เพื่อทำลายระบบคอมพิวเตอร์ เช่นเดียวกับกรณีการโจมตีทางไซเบอร์ของอิหร่านต่อ Saudi Aramco ในปี 2555และทำลายโครงสร้างพื้นฐานทางกายภาพ เช่นเดียวกับกรณีที่Stuxnet โจมตีโรงงานนิวเคลียร์ของอิหร่านในปี 2010

นอกจากนี้ บุคคลที่มีข้อมูลเพียงอย่างเดียวอาจทำอันตรายอย่างแท้จริงได้ ตัวอย่างเช่น การละเมิด Equifax ของจีนในปี 2560 ทำให้ข้อมูลทางการเงินและข้อมูลส่วนบุคคลโดยละเอียดเกี่ยวกับชาวอเมริกันหลายล้านคนอยู่ในมือของหนึ่งในคู่แข่งเชิงกลยุทธ์ที่ยิ่งใหญ่ที่สุดของสหรัฐฯ

ไม่มีใครรู้ขอบเขตทั้งหมดของการโจมตีด้วย Sunburst แต่ขอบเขตนั้นมีขนาดใหญ่ และผู้ที่ตกเป็นเหยื่อเป็นตัวแทนของเสาหลักที่สำคัญของรัฐบาลสหรัฐฯ เศรษฐกิจ และโครงสร้างพื้นฐานที่สำคัญ ข้อมูลที่ขโมยมาจากระบบเหล่านั้นและมัลแวร์ที่แฮ็กเกอร์น่าจะทิ้งไว้ สามารถใช้สำหรับการโจมตีที่ตามมาได้ ฉันเชื่อว่ามีแนวโน้มว่าการโจมตีด้วย Sunburst จะส่งผลเสียต่อชาวอเมริกัน