บทเรียน Hacker รู้เขา ป้องกันเรา กับการเจาะข้อมูลระดับชาติ

อาชญากรไซเบอร์ เหิมเกริม เริ่มเจาะ Datacenter ยักษ์ใหญ่ หวังขโมยข้อมูลสำคัญ หรือเหตุล่าสุด Data Set ขนาด 55 ล้านรายการของข้อมูลประชาชนไทย ก็โดนจากสงครามครั้งนี้

เปิดกิจกรรมงานหลักแฮคเกอร์ ช่วงนี้นิยมโจมตีศูนย์ข้อมูลของบริษัทยักษ์ระดับโลกหวังขโมยข้อมูลสำคัญหรือมูลค่าสูง ไม่ว่า Amazon, Apple, Goldman Sachs และ Microsoft ต่างโดนกันถ้วนหน้า

เรื่องของรายงานการตกเป็นเป้าหมายของการก่ออาชญากรรมไซเบอร์ในช่วงปีครึ่งที่ผ่านมา พุ่งเป้าไปที่ศูนย์ข้อมูลสำคัญขนาดใหญ่ของบริษัทยักษ์ใหญ่ระดับโลกหลายๆ แห่งที่สำคัญคือสิ่งนี้เกิดขึ้นพร้อมๆ กันทั่วโลก ล่าสุดบ้านเราก็กำลังเป็นข่าวใหญ่ว่าด้วยแฮกเกอร์เตรียมปล่อยข้อมูลประชาชนเกือบทั้งประเทศ จ่อรอเรียกค่าไถ่ สร้างความปั่นป่วนให้กับหน่วยงานที่เกี่ยวข้อง รวมถึงประชาชนที่ต้องขวัญผวากันรายวัน

มีสำนักวิจัย พบความเคลื่อนไหว Hacker

ส่วนใหญ่ข้อมูลที่ถูกเจาะไปนั้น พบว่าถูกเผยแพร่ใน Dark web ตามรายงานของบริษัทด้านความปลอดภัยทางไซเบอร์ Resecurity

รายงานจาก Resecurity ระบุว่า ได้พบพฤติกรรมอันตรายทางไซเบอร์ที่มีเป้าหมายโจมตีศูนย์ข้อมูลโดยเฉพาะเจาะจงในเรื่องของการรักษาความปลอดภัยในระบบ Supply Chain โดยมีการคาดการณ์ว่าการโจมตีจะเพิ่มระดับอันตรายสูงขึ้นกับในส่วนของศูนย์ข้อมูลและเชื่อมโยงไปยังลูกค้าของตัวองค์กรในระดับถัดไป

ในรายงานของ Resecurity ไม่ได้มีการระบุถึงองค์กรที่ตกเป็นเหยื่อเรื่องนี้ แต่หากศึกษาเพิ่มเติมจากรายงานของสำนักข่าว Bloomberg จะพบว่าเกิดเหตุการณ์ที่ศูนย์ข้อมูลสำคัญๆ ของบริษัทยักษ์ใหญ่ของโลกได้ถูกเจาะและขโมยข้อมูลสำคัญไป ไม่ว่าจะเป็น Alibaba,  Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft และ Walmart โดยที่สำนักข่าวเองก็ได้มีการตรวจสอบรายงานของ Resecurity ด้วยเหมือนกัน และพบว่าเป็นเรื่องจริง

Resecurity ได้ออกรายงานเตือนครั้งแรกถึงอันตรายที่อาจเกิดขึ้นในเดือนกันยายน 2021 พร้อมอัพเดตเพิ่มเติมรายละเอียดถึงสองครั้งในปี 2022 และ 2023 โดยเป้าหมายของการโจมตีคือหวังขโมยข้อมูลสำคัญของแต่ละองค์กรไม่ว่าจะเอกชนหรือภาครัฐ รวมถึงลูกค้ารายอื่นๆ ที่อยู่ภายในศูนย์ข้อมูลแห่งเดียวกัน

พบข้อมูลสำคัญถูกเผยแพร่บน Dark Web

เมื่อไม่นานมานี้ มีการเปิดเผยว่าพบข้อมูลที่รั่วออกจากศูนย์ข้อมูลของหลายองค์กรและยังมีอีกหลายครั้งที่มีข้อมูลหลุดออกมาจากการโจมตีที่เกิดขึ้นเรื่อยๆ ได้ถูกนำไปเผยแพร่ในแหล่งชุมชมออนไลน์ใต้ดินอย่าง Breached.to โดยการตรวจพบจากนักวิเคราะห์หลังจากนั้นไม่นาน แถมยังมีบางส่วนถูกนำไปแชร์กันบนแอพพลิเคชันอย่าง Telegram

Resecurity สามารถระบุตัวบุคคลอันตรายหลายคนที่อยู่เบื้องหลังบน Dark Web โดยคาดว่าน่าจะมาจากทางเอเชีย โดยปฏิบัติการอาชญากรรมนี้ต้องการเข้าถึงบันทึกข้อมูลลูกค้า เมื่อดึงข้อมูลแล้วก็ทำการลบข้อมูลเหล่านั้นออกจากฐานข้อมูลที่เกี่ยวกับการทำงานของแอพพลิเคชันหรือบางระบบงานโดยตรง โดยที่ทั้งแอพพลิเคชันหรือระบบงานเหล่านี้คือหน้าที่ความรับผิดชอบหลักของศูนย์ข้อมูลเหล่านั้นที่โดนโจมตี

หนึ่งในการโจมตีที่เปิดเผยได้อธิบายว่า เกิดการเจาะระบบผ่านทางช่องโหว่ระบบช่วยเหลือการทำงานหรือโมดูลระบบบริหารจัดการตั๋วที่เชื่อมเข้ากับแอพพลิเคชันและระบบต่างๆ ช่วยให้อาชญากรสามารถเข้าถึงและเฝ้าติดตามทุกการเคลื่อนไหวที่เกี่ยวข้องได้ทั้งหมด

หนึ่งในข้อมูลจากรายงานของ Resecurity  ระบุว่าอาชญากรที่เจาะเข้ามาในระบบสามารถดึงบันทึกของกล้องวงจรปิดที่มีความสำคัญอย่างมากในการตรวจสอบทุกซอกทุกมุมภายในศูนย์ข้อมูล เหมือนกับข้อมูลประจำตัวของเจ้าหน้าที่ไอทีรวมถึงลูกค้าที่มาใช้บริการ

เมื่ออาชญากรดูดข้อมูลไปครบตามที่อยากได้แล้ว สิ่งที่จะทำต่อไปก็คือทำการตรวจสอบว่าข้อมูลที่ได้มานั้นมีความสำคัญอย่างไรกับการทำงานของศูนย์ข้อมูล เช่น อัตราค่าบริการหรือรายจ่ายของการซื้ออุปกรณ์ต่างๆ

Hacker ตั้งเป้าเจาะข้อมูลระบบยืนยันกลับจากลูกค้า

ในเดือนกันยายน พ.ศ. 2564 นักวิจัยของ Resecurity สังเกตเห็นพฤติกรรมเป็นครั้งแรก โดยอาชญากรสามารถรวบรวมบันทึกต่างๆ จากลูกค้าศูนย์ข้อมูลกว่า 2,000 ราย ตามรายงาน โดยข้อมูลที่รั่วไหลออกไปมีทั้ง ข้อมูลประจำตัว อีเมล เบอร์มือถือ และการอ้างอิงบัตรประจำตัว ซึ่งมีแนวโน้มที่จะสามารถนำไปใช้ในการตรวจสอบหรือเข้าถึงข้อมูลของลูกค้าบางอย่าง (หลังจากนั้นประมาณวันที่ 24 มกราคม 2023 องค์กรที่ได้รับผลกระทบกำหนดให้ลูกค้าทำการเปลี่ยนรหัสผ่าน)

แฮกเกอร์ยังสามารถบุกรุกเข้าถึงบัญชีอีเมลภายในที่ใช้ในการลงทะเบียนผู้เยี่ยมชม ซึ่งสามารถนำไปใช้เพื่อจารกรรมทางไซเบอร์หรือวัตถุประสงค์ที่เป็นอันตรายอื่นๆ ได้ Resecurity กล่าว

ต่อมา จากการโจมตีที่เกิดขึ้นในปี 2022 อาชญากรสามารถเจาะฐานข้อมูลลูกค้าที่คาดว่าจะมีถึง 1,210 รายการจากศูนย์ข้อมูลแห่งหนึ่งที่มีสำนักงานใหญ่ในสิงคโปร์

ขั้นตอนที่สาม จากการโจมตีที่เดือนมกราคมที่ผ่านมาพบข้อมูลว่าส่งผลกระทบกับองค์กรในสหรัฐอเมริกาที่เป็นลูกค้าของหนึ่งในศูนย์ข้อมูลที่โดนโจมตีไปก่อนหน้านี้ โดยสิ่งที่เกิดใน 2 ขั้นตอนแรกนั้นปรากฏข้อมูลที่ไม่ชัดเจนเท่าปฏิบัติการสุดท้าย แต่นักวิเคราะห์ของ Resecurity เองก็ยังสามารถรวบรวมข้อมูลประจำตัวหลายอย่างที่เจ้าหน้าที่ไอทีใช้ ซึ่งอนุญาตให้เข้าถึงพอร์ทัลลูกค้าในศูนย์ข้อมูลอื่น

และสิ่งที่ปรากฏขึ้นคือในวันที่ 28 มกราคม พบข้อมูลที่ถูกขโมยมาออกวางขายบน Dark Web แห่งหนึ่งที่เรียกว่า Ramp ที่โดยปกติจะรับเป็นหน้าฉากของการซื้อขายข้อมูล หรือ นายหน้า สำหรับการเข้าถึงข้อมูลต่างๆ ที่ถูกขโมยมาจากหลายแหล่ง รวมถึงเป็นแหล่งขาย Ransomware อีกด้วย

ศูนย์ข้อมูลใน อาเซียน ก็โดนกับเขาเหมือนกัน

แม้ว่ารายงานของ Resecurity จะไม่ได้ระบุชื่อของบริษัทผู้ให้บริการศูนย์ข้อมูลที่ถูกโจมตี แต่ในรายงานของ Bloomberg กลับระบุชื่อของ GDS Holdings ซึ่งมีญานธุรกิจตั้งอยู่ที่ เซี่ยงไฮ้ ประเทศจีน และศูนย์ข้อมูลของ ST Telemedia Global ซึ่งมีฐานอยู่ในสิงคโปร์ อยู่ในรายชื่อของบริษัทที่ตกเป็นเหยื่อการโจมตีในรอบนี้

สำหรับ GDS ได้พบว่าข้อมูลบนเว็บไซต์สนับสนุนลูกค้าของตนมีข้อมูลรั่วตั้งแต่ปี 2021 แต่กลับแจ้งกลับไปยังลูกค้าว่าไม่มีความเสี่ยงใดๆ กับระบบไอทีและข้อมูลที่ลูกค้าใช้บริการอยู่ตามรายงานของ Bloomberg แถลงการณ์แบบเดียวกันก็มีมาจากฝั่งของ ST Telemedia ว่าการโจมตีไม่ได้ส่งผลกระทบใดๆ ต่อลูกค้าของบริษัท

มีรายงานพบว่าหลายบริษัทที่มีข้อมูลรั่วไหลออกมานั้น ส่วนใหญ่แล้วเป็นสถาบันทางการเงินในระดับโลก เช่น กองทุนรวมการลงทุน บริษัทวิจัยทางด้านยาชีวภาพหลายแห่ง บริษัทผู้ผลลิตทางเทคโนโลยี เว็บไซต์อี-คอมเมิร์ซ ผู้ให้บริการคลาวด์ บริษัทผู้ให้บริการอินเทอร์เน็ต และบริษัทผู้ให้บริการเครือข่ายเผยแพร่คอนเทนต์ ซึ่งหลายบริษัทมีสำนักงานใหญ่ตั้งอยู่ในสหรัฐอเมริกา อังกฤษ แคนนาดา ออสเตรเลีย สวิตเซอร์แลนด์ นิวซีแลนด์ และ จีน

แม้ว่าในรายงานของ Resecurity จะไม่ได้ระบุว่ากลุ่มภัยคุกคามใดต้องรับผิดชอบต่อการโจมตีในรอบนี้ แต่นักวิเคราะห์เองก็บอกว่าเหยื่ออาจจะโดนโจมตีจากหลายด้าน หรือกลุ่มอาชญากรไซเบอร์ที่มากกว่าหนึ่งราย

นอกจากนั้นการที่อาชญากรเลือกที่จะใช้ RAMP เป็นตลาดสำหรับออกขายสิ่งที่ได้มานั้นอาจจะมีการแลกเปลี่ยนบางอย่างตามมา เพราะล่าสุดชุมชนใต้ดินแห่งนี้เพิ่งจะเพิ่มการสนับสนุนภาษาจีนและต้อนรับแฮคเกอร์ชาวจีนอย่างอบอุ่น โดยมีบางบริการมีการแปลเป็นภาษาจีนไหม้ด้วย ซึ่งจุดนี้ทำให้สามารถระบุได้ว่าการโจมตีจากรอบด้านนั้นมีต้นทางมาจากจีนและประเทศในภูมิภาคเอชียตะวันออกเฉียงใต้ (อุ๊ย อุ๊ย! อุทานแบบ กรรชัย กำเนิดพลอย)

ต้องคอยจับตาดูว่า การโจมตีรูปแบบนี้จะสร้างความเสียหายในวงกว้างแค่ไหน และที่สำคัญจะสามารถค้นหาต้นตอการโจมตีทั้งใน จีน และรอบๆ บ้านเราได้เมื่อไหร่ แต่ที่ต้องจับตามากที่สุดในตอนนี้ ก็คือ หน่วยงานบ้านเราจะตรวจสอบและแก้ไขกันอย่างไร หากมีการนำข้อมูลประชาชนมาเรียกค่าไถ่กันแบบตีแสกหน้า

เรียบเรียงจากบทความ Cyberattacks hit data centers to steal information from global companies : CSO Online