Tags:
Node Thumbnail

จุดเริ่มต้นของการค้นพบว่า SolarWinds โดนแฮ็ก แล้วระบาดไปยังลูกค้าของบริษัท เริ่มจากบริษัทความปลอดภัยชื่อดัง FireEye โดนแฮ็กก่อน แล้วสอบสวนไปมาถึงค่อยพบว่าสาเหตุมาจากซอฟต์แวร์ SolarWinds Orion ฝังมัลแวร์เอาไว้

มาถึงตอนนี้เรารู้แล้วว่ามัลแวร์ Solorigate หรือ Sunburst ทำงานอย่างไร มีกระบวนการที่แนบเนียนมาก แต่ถ้ามองย้อนกลับไปถึงตอนแรกสุด การค้นพบของ FireEye ต้องเรียกได้ว่า "โชคช่วย" ค้นพบโดยบังเอิญ และถ้าไม่เกิดเหตุการณ์นี้ ป่านนี้ก็ยังไม่มีใครรู้ว่า Solorigate ฝังตัวอยู่ในหน่วยงานนับหมื่นแห่งด้วยซ้ำ

No Description

Kevin Mandia ซีอีโอของ FireEye ภาพจาก YouTube FireEye

เหตุการณ์ที่ทำให้ FireEye พบว่าตัวเองโดนแฮ็ก เกิดจากเมลอัตโนมัติที่เตือนพนักงาน FireEye รายหนึ่งว่ามีคนใช้ล็อกอินของพนักงานคนนี้เข้ามาใน VPN ของบริษัทผ่านอุปกรณ์ที่ไม่เคยรู้จักมาก่อน ซึ่งเป็นคำเตือนปกติธรรมดาที่คนส่วนใหญ่มักมองข้ามไป

โชคดีว่าผู้ที่ได้รับเมลเตือนเป็นพนักงานของบริษัทความปลอดภัยไซเบอร์ ทำให้ FireEye ตื่นตัวและตรวจสอบว่าเกิดอะไรขึ้น จนสุดท้ายพบว่าตัวเองถูกแฮ็ก

Kevin Mandia ซีอีโอของ FireEye (และผู้ก่อตั้งบริษัท Mandian ที่ถูก FireEye ซื้อกิจการมา) บอกว่าเขาอยู่ในวงการนี้มานาน เขาบอกได้เลยว่ากรณีนี้ "พิเศษ" ส่วน Charles Carmakal หัวหน้าทีมสอบสวนของ FireEye ระบุว่าวิธีการของแฮ็กเกอร์กลุ่มนี้ถือว่าซับซ้อนที่สุดที่เขาเคยเจอมา

วิธีการของแฮ็กเกอร์กลุ่มนี้มีทั้งใช้คอมพิวเตอร์ที่อยู่ในสหรัฐทั้งหมด เพื่อเลี่ยงการตรวจจับแหล่งที่มาจากประเทศอื่น, เรียนรู้วิธีการตั้งชื่อเครื่องตามธรรมเนียมของ FireEye และไม่ใช้เครื่องมือการแฮ็กในตลาดที่เป็นที่รู้จักในหมู่นักวิจัยความปลอดภัย ซึ่งทั้งหมดนี้ Kevin Mandia เปรียบเทียบว่าเหมือนยิงสไนเปอร์ทะลุเสื้อกันกระสุนได้

เมื่อ FireEye พบว่าตัวเองถูกแฮ็ก ก็ต้องมานั่งไล่หาในโค้ดกว่า 50,000 บรรทัด กว่าจะเจอโค้ดเจ้าปัญหาเพียงแค่ไม่กี่บรรทัด ก็ราวกับ "งมเข็มในมหาสมุทร" หลังจากยืนยันการแฮ็กได้แล้ว FireEye ก็แจ้งเตือนไปยัง SolarWinds ให้ทราบ

ที่มา - Wall Street Journal

Get latest news from Blognone

Comments

By: agora
Windows
on 21 December 2020 - 21:18 #1190772

สุดยอด น่าทึ่งมาก

By: figgaro
ContributorAndroidWindows
on 21 December 2020 - 22:31 #1190777
figgaro's picture

รายหน่งว่า => "รายหนึ่งว่า"


์Nellika Consulting

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 22 December 2020 - 00:22 #1190786

ถ้าผมต้องอ่านโค้ด 5 หมื่นบรรทัดเหมือนเค้านี่คงได้ FireEye ตามชื่อเค้าแน่ๆ

By: Jonathan_Job
WriteriPhoneUbuntuWindows
on 22 December 2020 - 03:08 #1190789 Reply to:1190786
Jonathan_Job's picture

ถ้ามี code ของ build ก่อนหน้า อาจจะใช้แค่ Beyond Compare เปิดเทียบด้วยมือดู ก็ช่วยไปได้เยอะแล้วนะครับ

By: SomeThing
Windows
on 22 December 2020 - 12:11 #1190831 Reply to:1190789

นั่นซิ 50,000 บรรทัดนี่คือ เยอะแล้ว ? บริษัทนีไม่มี SVN หรือยังไง แค่เทียบเวอร์ชั่นก่อนหน้าก็รู้แล้วอะไรเพิ่มเข้ามา หวังว่าจะสืบต่อถึงขั้นตอนพัฒนาซอฟต์แวร์ในบริษัทนะครับ

By: evilstep
AndroidWindows
on 22 December 2020 - 12:38 #1190834 Reply to:1190831

องค์กรใหญ่ขนาดนี้ เรื่อง compare code ง่ายๆ ที่พวกเราใช้กัน เค้าคงไม่พลาดหรอกครับ แต่ถ้าอ่านดีๆ คือ เค้าบอกว่า เป็นโปรแกรมของ solarwinds และ บริษัท fireeye เป็นคนตรวจพบ จากการไล่ code ของ solarwinds เพราะฉะนั้น fireeye ไม่ได้มี sourcecode version ให้ compare หรอกครับ และถึงต่อให้มี ก็ไม่รู้ว่าถูกฝั่งมาตั้งแต่ version ไหน

By: SomeThing
Windows
on 22 December 2020 - 14:42 #1190861 Reply to:1190834

อ่อ ผมเข้าใจผิดเอง เพราะว่าก่อนหน้าเห็นมีเปิดบรรทัดที่เป็นปัญหาด้วย https://www.blognone.com/node/120207
นึกว่า SolarWinds เป็นคนเปิด Source ดังกล่าว พอมาอ่านข่าวนี้มันเลยต่อเนื่องกัน สรุป เบลอเอง

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 22 December 2020 - 12:45 #1190835 Reply to:1190831
Ford AntiTrust's picture

จากที่เคยรีวิว source code ในตอนทำ security test เค้าทำทั้งหมด หากไม่เคยทำกันมาก่อนครับ คิดเงินกันเป็นบรรทัด​เลยครับ

By: SomeThing
Windows
on 22 December 2020 - 14:44 #1190862 Reply to:1190835

วิธีคิดเงินแปลกดีครับ อยากให้ฝั่ง Dev คิดเงินแบบนี้มั่งจัง 555

By: osmiumwo1f
ContributorWindows PhoneWindows
on 23 December 2020 - 14:11 #1190962 Reply to:1190862
osmiumwo1f's picture

ปั้มบรรทัดกันกระจายเลยหล่ะครับ