จุดเริ่มต้นของการค้นพบว่า SolarWinds โดนแฮ็ก แล้วระบาดไปยังลูกค้าของบริษัท เริ่มจากบริษัทความปลอดภัยชื่อดัง FireEye โดนแฮ็กก่อน แล้วสอบสวนไปมาถึงค่อยพบว่าสาเหตุมาจากซอฟต์แวร์ SolarWinds Orion ฝังมัลแวร์เอาไว้

มาถึงตอนนี้เรารู้แล้วว่ามัลแวร์ Solorigate หรือ Sunburst ทำงานอย่างไร มีกระบวนการที่แนบเนียนมาก แต่ถ้ามองย้อนกลับไปถึงตอนแรกสุด การค้นพบของ FireEye ต้องเรียกได้ว่า "โชคช่วย" ค้นพบโดยบังเอิญ และถ้าไม่เกิดเหตุการณ์นี้ ป่านนี้ก็ยังไม่มีใครรู้ว่า Solorigate ฝังตัวอยู่ในหน่วยงานนับหมื่นแห่งด้วยซ้ำ

Kevin Mandia ซีอีโอของ FireEye ภาพจาก YouTube FireEye

เหตุการณ์ที่ทำให้ FireEye พบว่าตัวเองโดนแฮ็ก เกิดจากเมลอัตโนมัติที่เตือนพนักงาน FireEye รายหนึ่งว่ามีคนใช้ล็อกอินของพนักงานคนนี้เข้ามาใน VPN ของบริษัทผ่านอุปกรณ์ที่ไม่เคยรู้จักมาก่อน ซึ่งเป็นคำเตือนปกติธรรมดาที่คนส่วนใหญ่มักมองข้ามไป

โชคดีว่าผู้ที่ได้รับเมลเตือนเป็นพนักงานของบริษัทความปลอดภัยไซเบอร์ ทำให้ FireEye ตื่นตัวและตรวจสอบว่าเกิดอะไรขึ้น จนสุดท้ายพบว่าตัวเองถูกแฮ็ก

Kevin Mandia ซีอีโอของ FireEye (และผู้ก่อตั้งบริษัท Mandian ที่ถูก FireEye ซื้อกิจการมา) บอกว่าเขาอยู่ในวงการนี้มานาน เขาบอกได้เลยว่ากรณีนี้ "พิเศษ" ส่วน Charles Carmakal หัวหน้าทีมสอบสวนของ FireEye ระบุว่าวิธีการของแฮ็กเกอร์กลุ่มนี้ถือว่าซับซ้อนที่สุดที่เขาเคยเจอมา

วิธีการของแฮ็กเกอร์กลุ่มนี้มีทั้งใช้คอมพิวเตอร์ที่อยู่ในสหรัฐทั้งหมด เพื่อเลี่ยงการตรวจจับแหล่งที่มาจากประเทศอื่น, เรียนรู้วิธีการตั้งชื่อเครื่องตามธรรมเนียมของ FireEye และไม่ใช้เครื่องมือการแฮ็กในตลาดที่เป็นที่รู้จักในหมู่นักวิจัยความปลอดภัย ซึ่งทั้งหมดนี้ Kevin Mandia เปรียบเทียบว่าเหมือนยิงสไนเปอร์ทะลุเสื้อกันกระสุนได้

เมื่อ FireEye พบว่าตัวเองถูกแฮ็ก ก็ต้องมานั่งไล่หาในโค้ดกว่า 50,000 บรรทัด กว่าจะเจอโค้ดเจ้าปัญหาเพียงแค่ไม่กี่บรรทัด ก็ราวกับ "งมเข็มในมหาสมุทร" หลังจากยืนยันการแฮ็กได้แล้ว FireEye ก็แจ้งเตือนไปยัง SolarWinds ให้ทราบ

ที่มา - Wall Street Journal