01/27/2023

คู่สัญญาของกลาโหมสหรัฐฯ โดนแฮ็กผ่านช่องโหว่บน Microsoft Exchange

สามเสาหลักด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ ทั้งหน่วยความมั่นคงแห่งชาติ (NSA) ทาง FBI และหน่วยความมั่นคงด้านความปลอดภัยของระบบไซเบอร์และโครงสร้างพื้นฐาน (CISA) ออกแถลงการณ์ร่วม ยอมรับว่ามีผู้โจมตีจำนวนมากจ้องเล่นงานระบบไอทีของการทหารในประเทศ

โดยเมื่อวันที่ 4 ตุลาคมที่ผ่านมานั้น ได้ออกแถลงการณ์เกี่ยวกับอันตรายขั้นสูงแบบต่อเนื่องหรือ APT ที่โจมตีบนเครือข่ายระดับองค์กรที่เกี่ยวข้องกับ “Defense Industrial Base (DIB)” ที่ทาง CISA เคยระบุถึงการโจมตีลักษณะนี้เมื่อพฤศจิกายนปีที่แล้ว และเชื่อว่ามีการโจมตีครั้งแรกมาตั้งแต่มกราคม 2021

กลุ่ม APT มักมีความเชื่อมโยงกับการสนับสนุนจากรัฐบาลประเทศต่างๆ เน้นใช้วิธีการที่ซับซ้อนในการเข้าแทรกซึมระบบเป้าหมายอย่างต่อเนื่อง ซุ่มนานเป็นเดือนเป็นปี และครั้งนี้ก็ใช้ช่องโหว่บน Microsoft Exchange หลายรายการเช่น CVE-2021-27065 และ CVE-2021-26858

ผู้โจมตีใช้ช่องโหว่เหล่านี้ติดตั้งเว็บเซลล์อันตราย China Chopper บนเซิร์ฟเวอร์เอ็กซ์เชนจ์ของบริษัท เป็นประตูหลังที่เปิดให้เข้าถึงเซิร์ฟเวอร์หลักได้โดยไม่ต้องพึ่งการเชื่อมต่อไปที่ระบบของเซิร์ฟควบคุมสั่งการ (C2) ของแฮ็กเกอร์แต่อย่างใด เว็บเชลล์นี้พบการนำมาใช้อย่างแพร่หลายมากขึ้นในปีนี้