การโจมตีไซเบอร์ระดับโลกครั้งใหม่ได้กลายเป็นที่พูดถึงอย่างกว้างขวาง หลังจาก Microsoft ออกมาเปิดเผยว่า กลุ่มแฮกเกอร์ที่มีรัฐบาลจีนหนุนหลัง ได้ใช้ประโยชน์จากช่องโหว่ Zero-Day ในซอฟต์แวร์ SharePoint เพื่อเจาะเข้าไปในระบบของหน่วยงานรัฐบาล ธุรกิจขนาดใหญ่ และโครงสร้างพื้นฐานที่มีความอ่อนไหวทั่วโลก
แฮกเกอร์จีนเจาะ SharePoint เวอร์ชันติดตั้งเอง โจมตีหน่วยงานทั่วโลก
Microsoft รายงานว่า ช่องโหว่ดังกล่าวพบในเวอร์ชันที่ติดตั้งในองค์กร (On-Premises) ไม่ใช่เวอร์ชันที่ให้บริการผ่านคลาวด์ โดยแฮกเกอร์สามารถใช้ช่องโหว่นี้ข้ามขั้นตอนการตรวจสอบสิทธิ์ (Authentication Bypass) และปลอมตัวเป็นผู้ใช้งานที่ได้รับอนุญาตเพื่อเข้าถึงข้อมูลภายในระบบได้อย่างแนบเนียน
บริษัทระบุว่า กลุ่มแฮกเกอร์ที่เกี่ยวข้องในเหตุการณ์ครั้งนี้ ได้แก่ Linen Typhoon และ Violent Typhoon ซึ่งเป็นกลุ่มที่มีประวัติถูกกล่าวหาว่ามีความเกี่ยวข้องกับรัฐบาลจีน นอกจากนี้ยังมีกลุ่ม Storm-2603 ที่ถูกกล่าวหาว่าเข้ามาร่วมโจมตีในครั้งนี้ด้วย โดยบางกลุ่มมีประวัติพัวพันกับแรนซัมแวร์ในอดีต
จุดเริ่มต้นของการโจมตี และผลกระทบต่อผู้ใช้งาน
Microsoft ตรวจพบว่าการโจมตีเริ่มต้นตั้งแต่วันที่ 7 กรกฎาคมที่ผ่านมา ก่อนที่ข้อมูลช่องโหว่จะถูกเปิดเผยต่อสาธารณะ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้อย่างเต็มที่ โดยที่องค์กรส่วนใหญ่ยังไม่ทันได้ตั้งรับ
โชคดีที่เวอร์ชันคลาวด์ของ Microsoft ไม่ได้รับผลกระทบจากการโจมตีในครั้งนี้
Microsoft กล่าวเพิ่มเติมว่า ขณะนี้ยังมีแฮกเกอร์กลุ่มอื่น ๆ พยายามใช้ช่องโหว่เดียวกันในการเจาะระบบต่อไป ซึ่งอาจนำไปสู่การโจมตีในวงกว้างขึ้นได้
ผู้บริหาร Google ยืนยันบางกลุ่มโยงกับจีน
ไม่ใช่แค่ Microsoft เท่านั้นที่ออกมาให้ข้อมูลเกี่ยวกับการโจมตีในครั้งนี้ ผู้บริหารระดับสูงของ Google ก็ออกมายืนยันว่าอย่างน้อยหนึ่งในกลุ่มที่มีส่วนเกี่ยวข้อง มีความเชื่อมโยงกับจีน พร้อมเตือนว่าแฮกเกอร์รายอื่นอาจพยายามเลียนแบบวิธีการโจมตีดังกล่าวเช่นกัน
Microsoft จึงประเมินด้วย “ความมั่นใจสูง” ว่า ช่องโหว่นี้จะถูกนำไปใช้โจมตีต่อเนื่อง และกลายเป็นหนึ่งในเครื่องมือหลักของกลุ่มภัยคุกคามในระยะยาว
Microsoft ออกแพตช์ฉุกเฉิน พร้อมเตือนภัยลูกค้า
ในขณะเดียวกัน Microsoft ก็ไม่ได้นิ่งนอนใจ โดยได้ปล่อยแพตช์ฉุกเฉินเพื่ออุดช่องโหว่นี้ในเวอร์ชันติดตั้งเองทันที พร้อมกับแนะนำให้องค์กรที่ใช้งานรีบอัปเดตเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นเพิ่มเติม
นอกจากนี้ Microsoft ยังประกาศว่าจะมีการอัปเดตด้านความปลอดภัยเพิ่มเติมออกมาในอนาคต เพื่อยกระดับการป้องกันการโจมตีรูปแบบใหม่ ๆ ที่อาจตามมา
จีนปฏิเสธข้อกล่าวหา ระบุ “ไร้หลักฐาน”
ทางสถานเอกอัครราชทูตจีนประจำสหรัฐฯ ได้ออกแถลงการณ์โต้กลับโดยทันที โดยระบุว่าข้อกล่าวหาของ Microsoft เป็นการใส่ร้ายที่ “ไม่มีหลักฐาน” และเน้นย้ำว่า
“จีนต่อต้านทุกรูปแบบของอาชญากรรมไซเบอร์อย่างเด็ดขาด และคัดค้านการใส่ร้ายผู้อื่นโดยไม่มีหลักฐานที่แน่ชัด”
สรุป: ยังไม่มีข้อสรุปชัด แต่ผู้ใช้งานต้องไม่ประมาท
แม้ยังไม่สามารถยืนยันได้ 100% ว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลจีนหนุนหลังเป็นผู้ลงมือจริงตามที่ Microsoft กล่าวอ้าง แต่การที่ช่องโหว่นี้ถูกใช้งานจริงและมีผลกระทบเป็นวงกว้างก็เป็นสิ่งที่น่าเป็นห่วงไม่น้อย
สิ่งสำคัญที่สุดในตอนนี้ คือ องค์กรที่ใช้งาน SharePoint เวอร์ชันติดตั้งเองควรเร่งตรวจสอบความปลอดภัยของระบบ และติดตั้งแพตช์ล่าสุดจาก Microsoft โดยเร็ว เพื่อหลีกเลี่ยงความเสี่ยงจากการถูกโจมตีในลักษณะเดียวกัน
คำแนะนำเพิ่มเติมสำหรับผู้ดูแลระบบ IT:
- ตรวจสอบเวอร์ชันของซอฟแวร์ที่ใช้งานอยู่
- ติดตั้งแพตช์อัปเดตจาก Microsoft ทันที
- เฝ้าระวังพฤติกรรมแปลก ๆ ของผู้ใช้งานในระบบ
- เสริมการป้องกันด้วยระบบ MFA และการตรวจสอบสิทธิ์อย่างรัดกุม
ที่มา: wccftech
