Threats Update

จากการสำรวจเชิงสถิติในช่วงหลายปีที่ผ่านมา พบว่าระบบคอมพิวเตอร์ของยูทาห์ รัฐทางตะวันตกของสหรัฐฯ ต้องเผชิญหน้ากับการโจมตีและการแฮ็คมากกว่า 300 ล้านครั้งต่อวัน เนื่องจากเป็นที่ตั้งของ NSA Data Center ศูนย์คอมพิวเตอร์ของสำนักงานความมั่นคงแห่งชาติ สหรัฐอเมริกา

หลังจากที่ Edward Snowden ได้ออกมาเปิดเผยถึงการกระทำของ NSA และการมีตัวตนของ Data Center ของ NSA ก็ทำให้อัตราการโจมตี Data Center ของ NSA สูงขึ้นเรื่อยจนในปี 2015 ที่ผ่านมานี้มีจำนวนการโจมตีสูงสุดถึง 300 ล้านครั้งต่อวัน

นักวิจัยด้านความปลอดภัยจาก SANS Institute’s Internet Storm Center ได้ออกมาเปิดเผยถึงการที่ Joomla ตกเป็นเป้าในการเจาะช่องโหว่เพื่อนำโค้ดสำหรับแพร่เชื้อ Ransomware ตระกูล Teslacrypt ไปยังผู้ใช้งานเข้าไปฝังบนเว็บไซต์ ต่อเนื่องจากก่อนหน้านี้ที่ WordPress ตกเป็นเป้าหมายไปแล้ว

ปัจจุบันนี้ มีเว็บไซต์เปิดเผยสู่สาธารณะ (สามารถค้นหาเจอโดยใช้ Search Engine) เพียง 4% เท่านั้น ที่เหลืออีก 96% เป็นเว็บไซต์ที่ซ่อนตัวอยู่ ไม่สามารถเข้าถึงได้ด้วยวิธีปกติ หรือที่เรียกว่า Deep Web เช่น เว็บไซต์ทางการศึกษา บันทึกการแพทย์ ข้อมูลรัฐบาล รายงานวิทยาศาสต์ และอื่นๆ ซึ่งส่วนหนึ่งในนั้นคือ Dark Web ที่รวมแหล่งข้อมูลผิดกฏหมาย และเว็บไซต์ที่ต้องเข้าผ่าน Tor เป็นต้น คำถามถือ เราจะสามารถค้นหาข้อมูลใน Deep Web (และ Dark Web) อันลึกสุดกู่ได้อย่างไร

Balabit ผู้ให้บริการเทคโนโลยี Contectual Security ชั้นนำ ได้ออกมาเปิดเผยถึงผลสำรวจ 10 อันวิธีการแฮ็คยอดนิยม จากความคิดเห็นของผู้เข้าร่วมงานสัมมนา Black Hat กว่า 494 คน พบว่า Social Engineering เป็นเทคนิคสำคัญอันดับ 1 ที่แฮ็คเกอร์นิยมใช้ในปัจจุบัน ตามมาด้วย Compromised Accounts และ Web-based Attacks

Kevin Beaumont และ Larry Abrahms นักวิจัยจาก BleepingComputer ออกมาเผยถึงมัลแวร์เรียกค่าไถ่ หรือ Ransomware ตัวใหม่ที่ชื่อว่า “Locky” โดยจะแฝงตัวอยู่ในไฟล์ MS Word โดยอาศัยเทคนิคการทำ Social Engineering เพื่อหลอกให้เหยื่อเปิดไฟล์ ขณะนี้กำลังแพร่กระจายตัวด้วยอัตราเร็วที่สูงมาก ประมาณ 100,000 เครื่องต่อวัน

นักวิจัยด้านความปลอดภัยจาก Google และ Red Hat ได้ตรวจพบบั๊ก Stack Buffer Overflow ใน GNU C Library (glibc) ที่ใช้ใน DNS Resolver บน Linux ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ในส่วนนี้เพื่อเข้าควบคุมระบบ Linux ของผู้ใช้งานได้

VMware ได้ออก Patch ซ้ำสำหรับ vCenter เพื่อแก้ปัญหาที่เคยแก้ไปแล้วในเดือนตุลาคม 2015 ที่ผ่านมาอีกครั้ง หลังพบว่าการแก้ไขปัญหาครั้งนั้นยังคงมีช่องโหว่อยู่

Air-gapped Computer หรือคอมพิวเตอร์ที่แยกขาดออกจากระบบเครือข่ายอื่นอย่างสิ้นเชิง ถือได้ว่าเป็นคอมพิวเตอร์ที่ปลอดภัยที่สุดในโลก เนื่องจากแฮ็คเกอร์ไม่สามารถหาช่องทางเพื่อโจมตีจากระยะไกลได้เลย แต่งานวิจัยล่าสุดของ Tel Aviv University และ Technion ระบุว่า ค้นพบวิธีการใหม่ที่สามารถขโมยข้อมูลกุญแจสำหรับถอดรหัส (Secret Decryption Key) จาก Air-gapped Computer ที่อยู่อีกห้องหนึ่งได้

สำหรับผู้ที่ใช้งานระบบ Cisco Unified Communications System นั้น ทาง Cisco ได้ออกมาประกาศพบช่องโหว่บน Cisco Emergency Responder (CER) ที่มีหน้าที่ส่งตำแหน่งของโทรศัพท์เครื่องที่แจ้งเหตุฉุกเฉิน และติดตามตำแหน่งของผู้ใช้งาน ซึ่งมีช่องโหว่ Cross Site Scripting (XSS) ให้ถูกโจมตีได้

ก่อนหน้านี้ Ransomware นั้นมีการโจมตีแบบเหวี่ยงแหหวังผลไปเรื่อยๆ และเรียกค่าไถ่จากเหยื่อครั้งละ 200-500 เหรียญ หรือราวๆ 7,000 – 17,500 บาทเท่านั้น แต่ในสัปดาห์ที่ผ่านมาได้เกิดกรณี Ransomware โจมตีโรงพยาบาล เข้ารหัสอีเมล์และข้อมูลผู้ป่วย พร้อมเรียกค่าไถ่สูงถึง 3.6 ล้านเหรียญ หรือราวๆ 126 ล้านบาทเลยทีเดียว

Chris Vickery นักวิจัยทางด้านความปลอดภัยที่ออกมาเปิดเผยช่องโหว่ต่างๆ มากมาย คราวนี้ได้ออกมาเปิดเผยถึงช่องโหว่บนเว็บไซต์ Microsoft Career ในส่วนที่เป็น Mobile Site ว่ามีการตั้งค่าของ MongoDB ที่ไม่ปลอดภัยเพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่บันทึกอยู่ภายใน MongoDB ได้โดยไม่ต้องมีการยืนยันตัวตนแต่อย่างใด อีกทั้งยังสามารถเขียนข้อมูลลงไปเพื่อทำการแก้ไขได้อีกด้วย ส่งผลให้การส่งข้อมูล HTML ที่สร้างขึ้นมาเพื่อทำการโจมตีโดยเฉพาะประสบความสำเร็จได้ และนำไปสู่การโจมตีแบบ Watering Hole ต่อไป

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ( Global Research and Analysis Team ) ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool ( RAT ) ซึ่งเป็นมัลแวร์โปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ

มัลแวร์เรียกค่าไถ่ หรือ Ransomware กลายเป็นหนึ่งในมัลแวร์ยอดนิยมที่แฮ็คเกอร์มักแพร่กระจายไปยังผู้เล่นอินเทอร์เน็ตที่ไม่ระมัดระวัง เพื่อทำการเข้ารหัสไฟล์ในเครื่องของเหยื่อแล้วเรียกร้องค่าไถ่เพื่อปลดรหัสไฟล์ดังกล่าว อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยต่างไม่แนะนำจ่ายค่าไถ่เพื่อปลดรหัสไฟล์ เนื่องจากไม่มีสิ่งใดการันตีได้ว่าสามารถปลดรหัสได้จริง และจะไม่ถูกล็อกรหัสใหม่ในอนาคต

FBI ได้เข้าจับกุมและสอบสวนผู้ต้องหา 1 รายที่ทำการสารภาพแล้วว่าได้ทำการโจมตีระบบโทรศัพท์ PBX ของบริษัทในสหรัฐอเมริกา เพื่อหลอกขโมยเงินออกมาได้กว่า 50 ล้านเหรียญในระยะเวลา 4 ปีตั้งแต่ปี 2008 – 2012 โดยหนึ่งในผู้ปฏิบัติการนั้นอยู่ในไทย

SAP ได้ออก Patch รายเดือนกุมภาพันธ์ 2016 โดยอุดช่องโหว่รวมทั้งสิ้น 23 ช่องโหว่ โดยมี 13 ช่องโหว่ที่มีความอันตรายระดับสูง และแนะนำให้ผู้ใช้งาน Patch ทันทีเพื่อลดมีความเสี่ยงที่จะเกิดอันตรายขึ้นกับระบบ SAP ที่ใช้งานอยู่

Cisco ประกาศออก Patch อุดช่องโหว่ร้ายแรงสำหรับ Adaptive Security Appliance (ASA) ที่ผู้โจมตีสามารถทำ Remote Code Execution (RCE) จากการอาศัยช่องโหว่บน Internet Key Exchange (IKE) จนอุปกรณ์เกิด Heap Buffer Overflow ได้บนทั้งการใช้งานแบบ IPv4 และ IPv6 นั่นเอง

Imperva ได้ออกมารายงานถึงความเสียหายที่เกิดขึ้นจากการโจมตีด้วย CryptoWall Ransomware ของกลุ่มผู้โจมตีกลุ่มหนึ่ง ในช่วงเดือนพฤษภาคม – กรกฎาคม 2015 ว่ามีเหยื่อยอมจ่ายเงิน 670 ราย รวมเป็นเงินทั้งสิ้น 330,607 เหรียญในรูปแบบของ Bitcoin

Microsoft ได้ประกาศออก Patch ของเดือนกุมภาพันธ์ 2016 โดยภายใน Patch รอบนี้มีด้วยกันทั้งสิ้น 13 ช่องโหว่ และ 6 ช่องโหว่ในนั้นเป็นช่องโหว่รายแรงที่เปิดให้ทำ Remote Code Execution (RCE) ได้ โดยมีรายละเอียดดังนี้

แฮ็คเกอร์รายหนึ่ง (ไม่เปิดเผยตัวตน) ได้ออกมาเปิดเผยข้อมูลพนักงานภาครัฐฯ ได้แก่ พนักงานจาก FBI เกือบ 20,000 คน และพนักงงานจากกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security: DHS) อีกกว่า 9,000 คน บนโลกออนไลน์ ซึ่งเบื้องต้นคาดการณ์ว่าแฮ็คเกอร์ดังกล่าวต้องการสนับสนุนกลุ่มปาเลสไตน์ ฝ่ายตรงข้ามอิสราเอลที่มีสหรัฐฯ หนุนหลังอยู่