การโจมตีด้านไซเบอร์ โดยมีเป้าหมายที่ศูนย์ดูแลข้อมูล เพื่อขโมยข้อมูลจากบริษัทระดับแนวหน้าของโลก

มีการรายงานว่าพบการจารกรรมกรรมข้อมูลของบริษัทยักษ์ใหญ่ของโลกบางแห่ง ที่อยู่ภายใต้การดูแลของศูนย์ดูแลข้อมูล เช่น Amazon, Apple, Goldman Sachs และ Microsoft

บริษัทด้านความมั่งคงความปลอดภัย Resecurity รายงานว่าการโจมตีทางไซเบอร์ ได้โจมตีศูนย์ข้อมูลหลายแห่งในหลายภูมิภาคทั่วโลก ถูกตรวจพบในช่วงปีครึ่งที่ผ่านมา ซึ่งส่งผลให้บริษัทยักษ์ใหญ่ของโลกบางแห่งถูกขโมยข้อมูล และถูกนำไปเผยแพร่บนเว็บมืด

"การดำเนินการที่เป็นอันตรายต่อองค์กรศูนย์ข้อมูล เป็นบทเรียนสำคัญของการรักษาความปลอดภัยทางไซเบอร์ของซัพพลายเชน" Resecurity กล่าวในบล็อกโพสต์ "คาดว่าผู้โจมตี จะมีการโจมตีทางไซเบอร์อีกครั้ง ซึ่งอาจเป็นอันตราย และสร้างความเสียหายต่อศูนย์เก็บข้อมูลและลูกค้าของพวกเขา"

โดยบริษัทรักษาความปลอดภัยไม่ได้เปิดเผยรายชื่อของเหยื่อ แต่ตามรายงานที่แยกออกมาจาก Bloomberg ระบุว่า การโจมตีทางไซเบอร์ได้ขโมยข้อมูลประจำตัวของบริษัทยักษ์ใหญ่หลายราย ไม่ว่าจะเป็น Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft และ Walmart ซึ่ง Bloomberg กล่าวว่า ได้ทำการตรวจสอบเอกสารความปลอดภัยที่เกี่ยวข้องกับกิจกรรมเหล่านี้แล้ว

ในช่วงเดือนกันยายน 2021 ทางบริษัท Resecurity ได้ออกมาเตือนศูนย์ข้อมูลเกี่ยวกับกิจกรรมการโจมตีทางไซเบอร์ โดยเป้าหมายคือพวกเขาเหล่านั้น ให้มีการปรับปรุงระบบเพิ่มเติม ซึ่งเหตุการณ์นี้อาจมีส่วนเกี่ยวข้องกับอีกสองกรณีในปี 2022 และมกราคม 2023 โดยเป้าหมายของการดำเนินการครั้งนี้ คือการขโมยข้อมูลที่เป็นความลับจากองค์กรธุรกิจ และองค์กรภาครัฐ ที่อยู่ภายใต้การดูแลของศูนย์ดูแลข้อมูล Resecurity กล่าว

ข้อมูลของลูกค้าถูกปล่อยบนเว็บมืด

เมื่อเร็วๆ นี้ ข้อมูลประจำตัวที่เกี่ยวข้องกับองค์กรศูนย์ข้อมูลที่ได้รับมาจากการโจมตีทางไซเบอร์ และอีกในหลายเหตุการณ์ที่เกี่ยวเนื่องกัน ได้ถูกเผยแพร่ในสื่อใต้ดินชื่อ Breached.to ซึ่งถูกตรวจพบโดยนักเทคนิคเมื่อวันจันทร์ที่ผ่านมา โดยบางส่วนของแคชข้อมูลนั้นยังถูกแชร์บนช่องทางของแอป Telegram ด้วย

ทางบริษัทรักษาความปลอดภัยได้ระบุตัวตนผู้ดำเนินการหลายราย ซึ่งมีความเป็นไปได้ว่ามาจากฝั่งเอเชีย ซึ่งหนึ่งในผู้ดำเนินการนี้ได้เข้าถึงข้อมูลและได้ทำการขโมยข้อมูลจากฐานข้อมูลหลายแหล่งที่เชื่อมโยงกับแอปพลิเคชัน และระบบที่ถูกใช้ในศูนย์ดูแลข้อมูลขององค์กรหลายแห่ง
อย่างหนึ่งในกรณีนี้ การเข้าถึงเบื้องต้นน่าจะมาจาก การเข้าถึงโปรแกรมช่วยเหลือที่มีช่องโหว่หรือระบบการจัดการที่ผูกติดกับแอปพลิเคชันและระบบอื่นๆ ซึ่งทำให้ผู้คุกคามสามารถเข้าควบคุมข้อมูลได้

โดยผู้คุกคามสามารถดึงข้อมูลจากกล้องวงจรปิด พร้อมกับวิดีโอที่เกี่ยวข้อง ที่ได้จากศูนย์ตรวจสอบข้อมูลทั่วไป เช่นเดียวกับข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าหน้าที่ไอที และลูกค้าของศูนย์ดูแลข้อมูล บริษัท Resecurity กล่าว

และเมื่อได้ข้อมูลส่วนตัวเหล่านั้นแล้ว แฮกเกอร์จะดำเนินการตรวจสอบอย่างละเอียดเพื่อรวบรวมข้อมูลเกี่ยวกับรายชื่อของลูกค้าภายใต้ศูนย์ดูแลข้อมูล รายการบริการที่ซื้อและอุปกรณ์ที่ใช้งาน

การจารกรรมข้อมูล มุ่งเป้าไปที่ข้อมูลที่ผ่านการยืนยันตัวตนแล้ว

ในเดือนกันยายนปี 2021 เมื่อนักเทคนิคของบริษัท Resecurity สังเกตพบเจอกิจกรรมนี้เป็นครั้งแรก ผู้โจมตีในตอนนั้นสามารถรวบรวมข้อมูลต่างๆ ของลูกค้าศูนย์ดูแลข้อมูลกว่า 2,000 ราย รวมถึงข้อมูลส่วนตัว อีเมล โทรศัพท์มือถือ และข้อมูลบัตรประจำตัว ซึ่งมีความเป็นไปได้สูงว่าจะนำไปใช้สำหรับการยืนยันตัวตน (ประมาณวันที่ 24 มกราคม 2023 องค์กรที่ได้รับผลกระทบได้กำหนดให้ลูกค้าเปลี่ยนรหัสผ่าน)

แฮกเกอร์ยังสามารถเข้าแรกแทรงหนึ่งในอีเมลบัญชีผู้ใช้งานที่ใช้ในการลงทะเบียนผู้เข้าชม ซึ่งอาจนำไปใช้เพื่อการจารกรรมทางไซเบอร์ หรือเพื่อวัตถุประสงค์ไม่ดีในด้านอื่นๆ บริษัท Resecurity กล่าวเสริม

ในตัวอย่างเหตุการณ์ครั้งที่สองในปี 2022 แฮกเกอร์สามารถเจาะฐานข้อมูลลูกค้าที่สันนิษฐานว่ามี ถึง 1,210 รายการ จากองค์กรศูนย์ดูแลข้อมูลที่มีสำนักงานใหญ่ในสิงคโปร์อีกด้วย

ในเหตุการณ์ครั้งที่สามซึ่งพบในเดือนมกราคมปีนี้ เกี่ยวข้องกับองค์กรในสหรัฐอเมริกา ซึ่งป็นหนึ่งในลูกค้าของศูนย์ดูแลข้อมูล ที่ได้รับผลกระทบก่อนหน้านี้ โดยบริษัท Resecurity กล่าวว่า " ข้อมูลเกี่ยวกับกรณีนี้ยังมีจำนวนจำกัดเมื่อเทียบกับ 2 กรณีก่อนหน้า แต่ทางบริษัท Resecurity สามารถเก็บรวบรวมข้อมูลประจำตัวของเจ้าหน้าที่ไอทีหลายราย ที่ได้รับสิทธิ์ให้เข้าถึงข้อมูลของลูกค้าในศูนย์ดูแลข้อมูลต่างๆ ได้"

จากนั้นในวันที่ 28 มกราคม ข้อมูลที่ถูกขโมยจากเหตุการณ์ที่ผ่านมา ถูกเผยแพร่เพื่อขายบนเว็บไซต์ใต้ดิน ที่เรียกว่า Ramp ซึ่งมักถูกใช้โดยบัญชีกลุ่มแรนซัมแวร์

“แฮกเกอร์มักจะรู้ว่ากิจกรรมของพวกเขาสามารถตรวจพบได้ และมูลค่าของข้อมูลอาจลดลงเมื่อเวลาผ่านไป ดังนั้นจึงต้องรีบทำเงินให้ได้จากข้อมูลเหล่านี้ ” บริษัท Resecurity กล่าว พร้อมกับเสริมว่า ข้อมูลเหล่านั้นอาจถูกลบได้ “โดยวิธีดังกล่าว มักถูกใช้โดยแฮกเกอร์ระดับประเทศ เพื่อปกปิดการกระทำดังกล่าว ซึ่งโดยทั่วไปแล้วเพื่อไม่ให้รู้ถึงแรงจูงใจและเส้นทางในการโจมตี”

ศูนย์ข้อมูลในเอเชียรายงานการถูกโจมตี

ในขณะที่บริษัท Resecurity ไม่ได้ระบุรายชื่อผู้ถูกโจมตีของศูนย์ดูแลข้อมูล แต่ Bloomberg ย้ำว่า GDS Holdings ซึ่งมีฐานอยู่ในเซี่ยงไฮ้และ ST Telemedia Global Data Centers ในสิงคโปร์ ก็เป็นหนึ่งในองค์กรที่ตกเป็นเหยื่อในการโจมตีนี้ด้วย

GDS ยอมรับว่าเว็บไซต์สนับสนุนลูกค้าถูกแฮกในปี 2021 แต่ทางบริษัทไม่มีความเสี่ยงด้านระบบไอทีหรือข้อมูลของลูกค้า เช่นเดียวกับ ST Telemedia ที่กล่าวว่าไม่มีความเสี่ยงใดๆ ต่อลูกค้าเช่นเดียวกัน

ตามรายงานนักเทคนิคของบริษัท Resecurity องค์กรที่อยู่ในชุดข้อมูลที่รั่วไหลมานั้น ได้แก่ สถาบันการเงินที่มีสาขาอยู่ทั่วโลก รวมถึงกองทุนการลงทุน บริษัทวิจัยชีวการแพทย์ ผู้จำหน่ายเทคโนโลยี ไซต์อีคอมเมิร์ซ บริการคลาวด์ ISP และบริษัทที่ส่งมอบข้อมูลผ่านเครือข่ายอินเทอร์เน็ต โดยบริษัทเหล่านี้มีสำนักงานใหญ่ในสหรัฐอเมริกา สหราชอาณาจักร แคนาดา ออสเตรเลีย สวิตเซอร์แลนด์ นิวซีแลนด์ และประเทศจีน

ทางหน่วยงานรักษาความปลอดภัยไม่ได้ระบุว่ากลุ่ม APT รับผิดชอบต่อการโจมตีอย่างไร ซึ่งนักวิจัยตั้งข้อสังเกตว่า เป็นไปได้ที่เหยื่ออาจถูกขโมยข้อมูลโดยผู้กระทำหลายคน

การเลือก RAMP ที่เป็นตลาดกลางในการขายข้อมูลเหล่านั้น ช่วยให้ทาง Resecurity ได้รู้ข้อมูลบางอย่างเพิ่มเติม เนื่องจาก RAMP ได้มีการรองรับภาษาจีน และเปิดรับแฮ็กเกอร์ที่พูดภาษาจีนให้เข้าร่วมได้ โดย “ฟอรัมส่วนใหญ่จะมีการแปลเป็นภาษาจีน ซึ่งเป็นสิ่งเราสามารถยืนยันได้ว่าแฮกเกอร์หลายรายอาจมาจากจีน และประเทศต่างๆ ในเอเชียตะวันออกเฉียงใต้” บริษัท Resecurity กล่าว

มีการแบ่งปันข้อมูลเกี่ยวกับการจารกรรมในครั้งนี้ กับฝ่ายที่ได้รับผลกระทบ และทีมตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์แห่งชาติ (CERTs) ในประเทศจีนและสิงคโปร์ โดยทางบริษัทวิจัยยังได้แบ่งปันข้อมูลกับหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เนื่องจากมีข้อมูลจำนวนมากที่เกี่ยวข้องกับบริษัทยักษ์ใหญ่ใน Fortune 500 ในชุดข้อมูลด้วย

ที่มา: https://bit.ly/3ZbRGyO