จุดเริ่มต้นของการค้นพบว่า SolarWinds โดนแฮ็ก แล้วระบาดไปยังลูกค้าของบริษัท เริ่มจากบริษัทความปลอดภัยชื่อดัง FireEye โดนแฮ็กก่อน แล้วสอบสวนไปมาถึงค่อยพบว่าสาเหตุมาจากซอฟต์แวร์ SolarWinds Orion ฝังมัลแวร์เอาไว้
มาถึงตอนนี้เรารู้แล้วว่ามัลแวร์ Solorigate หรือ Sunburst ทำงานอย่างไร มีกระบวนการที่แนบเนียนมาก แต่ถ้ามองย้อนกลับไปถึงตอนแรกสุด การค้นพบของ FireEye ต้องเรียกได้ว่า "โชคช่วย" ค้นพบโดยบังเอิญ และถ้าไม่เกิดเหตุการณ์นี้ ป่านนี้ก็ยังไม่มีใครรู้ว่า Solorigate ฝังตัวอยู่ในหน่วยงานนับหมื่นแห่งด้วยซ้ำ

Kevin Mandia ซีอีโอของ FireEye ภาพจาก YouTube FireEye
เหตุการณ์ที่ทำให้ FireEye พบว่าตัวเองโดนแฮ็ก เกิดจากเมลอัตโนมัติที่เตือนพนักงาน FireEye รายหนึ่งว่ามีคนใช้ล็อกอินของพนักงานคนนี้เข้ามาใน VPN ของบริษัทผ่านอุปกรณ์ที่ไม่เคยรู้จักมาก่อน ซึ่งเป็นคำเตือนปกติธรรมดาที่คนส่วนใหญ่มักมองข้ามไป
โชคดีว่าผู้ที่ได้รับเมลเตือนเป็นพนักงานของบริษัทความปลอดภัยไซเบอร์ ทำให้ FireEye ตื่นตัวและตรวจสอบว่าเกิดอะไรขึ้น จนสุดท้ายพบว่าตัวเองถูกแฮ็ก
Kevin Mandia ซีอีโอของ FireEye (และผู้ก่อตั้งบริษัท Mandian ที่ถูก FireEye ซื้อกิจการมา) บอกว่าเขาอยู่ในวงการนี้มานาน เขาบอกได้เลยว่ากรณีนี้ "พิเศษ" ส่วน Charles Carmakal หัวหน้าทีมสอบสวนของ FireEye ระบุว่าวิธีการของแฮ็กเกอร์กลุ่มนี้ถือว่าซับซ้อนที่สุดที่เขาเคยเจอมา
วิธีการของแฮ็กเกอร์กลุ่มนี้มีทั้งใช้คอมพิวเตอร์ที่อยู่ในสหรัฐทั้งหมด เพื่อเลี่ยงการตรวจจับแหล่งที่มาจากประเทศอื่น, เรียนรู้วิธีการตั้งชื่อเครื่องตามธรรมเนียมของ FireEye และไม่ใช้เครื่องมือการแฮ็กในตลาดที่เป็นที่รู้จักในหมู่นักวิจัยความปลอดภัย ซึ่งทั้งหมดนี้ Kevin Mandia เปรียบเทียบว่าเหมือนยิงสไนเปอร์ทะลุเสื้อกันกระสุนได้
เมื่อ FireEye พบว่าตัวเองถูกแฮ็ก ก็ต้องมานั่งไล่หาในโค้ดกว่า 50,000 บรรทัด กว่าจะเจอโค้ดเจ้าปัญหาเพียงแค่ไม่กี่บรรทัด ก็ราวกับ "งมเข็มในมหาสมุทร" หลังจากยืนยันการแฮ็กได้แล้ว FireEye ก็แจ้งเตือนไปยัง SolarWinds ให้ทราบ
ที่มา - Wall Street Journal
on
สุดยอด น่าทึ่งมาก
agora Mon, 21/12/2020 - 21:18
สุดยอด น่าทึ่งมาก
รายหน่งว่า => "รายหนึ่งว่า"
figgaro Mon, 21/12/2020 - 22:31
รายหน่งว่า => "รายหนึ่งว่า"
ถ้าผมต้องอ่านโค้ด 5
KuLiKo Tue, 22/12/2020 - 00:22
ถ้าผมต้องอ่านโค้ด 5 หมื่นบรรทัดเหมือนเค้านี่คงได้ FireEye ตามชื่อเค้าแน่ๆ
ถ้ามี code ของ build ก่อนหน้า
Jonathan_Job Tue, 22/12/2020 - 03:08
In reply to ถ้าผมต้องอ่านโค้ด 5 by KuLiKo
ถ้ามี code ของ build ก่อนหน้า อาจจะใช้แค่ Beyond Compare เปิดเทียบด้วยมือดู ก็ช่วยไปได้เยอะแล้วนะครับ
นั่นซิ 50,000 บรรทัดนี่คือ
SomeThing Tue, 22/12/2020 - 12:11
In reply to ถ้ามี code ของ build ก่อนหน้า by Jonathan_Job
นั่นซิ 50,000 บรรทัดนี่คือ เยอะแล้ว ? บริษัทนีไม่มี SVN หรือยังไง แค่เทียบเวอร์ชั่นก่อนหน้าก็รู้แล้วอะไรเพิ่มเข้ามา หวังว่าจะสืบต่อถึงขั้นตอนพัฒนาซอฟต์แวร์ในบริษัทนะครับ
องค์กรใหญ่ขนาดนี้ เรื่อง
evilstep Tue, 22/12/2020 - 12:38
In reply to นั่นซิ 50,000 บรรทัดนี่คือ by SomeThing
องค์กรใหญ่ขนาดนี้ เรื่อง compare code ง่ายๆ ที่พวกเราใช้กัน เค้าคงไม่พลาดหรอกครับ แต่ถ้าอ่านดีๆ คือ เค้าบอกว่า เป็นโปรแกรมของ solarwinds และ บริษัท fireeye เป็นคนตรวจพบ จากการไล่ code ของ solarwinds เพราะฉะนั้น fireeye ไม่ได้มี sourcecode version ให้ compare หรอกครับ และถึงต่อให้มี ก็ไม่รู้ว่าถูกฝั่งมาตั้งแต่ version ไหน
อ่อ ผมเข้าใจผิดเอง
SomeThing Tue, 22/12/2020 - 14:42
In reply to องค์กรใหญ่ขนาดนี้ เรื่อง by evilstep
อ่อ ผมเข้าใจผิดเอง เพราะว่าก่อนหน้าเห็นมีเปิดบรรทัดที่เป็นปัญหาด้วย https://www.blognone.com/node/120207
นึกว่า SolarWinds เป็นคนเปิด Source ดังกล่าว พอมาอ่านข่าวนี้มันเลยต่อเนื่องกัน สรุป เบลอเอง
จากที่เคยรีวิว source code
Ford AntiTrust Tue, 22/12/2020 - 12:45
In reply to นั่นซิ 50,000 บรรทัดนี่คือ by SomeThing
จากที่เคยรีวิว source code ในตอนทำ security test เค้าทำทั้งหมด หากไม่เคยทำกันมาก่อนครับ คิดเงินกันเป็นบรรทัดเลยครับ
วิธีคิดเงินแปลกดีครับ
SomeThing Tue, 22/12/2020 - 14:44
In reply to จากที่เคยรีวิว source code by Ford AntiTrust
วิธีคิดเงินแปลกดีครับ อยากให้ฝั่ง Dev คิดเงินแบบนี้มั่งจัง 555
ปั้มบรรทัดกันกระจายเลยหล่ะครั
osmiumwo1f Wed, 23/12/2020 - 14:11
In reply to วิธีคิดเงินแปลกดีครับ by SomeThing
ปั้มบรรทัดกันกระจายเลยหล่ะครับ