TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cloudflare หนึ่งในผู้ให้บริการอินเทอร์เน็ตรายใหญ่ของโลกได้ออกมาเปิดเผยเหตุการณ์โจมตีล่าสุดที่ตนประสบมา โดยคนร้ายสามารถเข้าถึงเซิร์ฟเวอร์ Atlassian ได้ประกอบด้วย Confluence wiki, Jira bug database และ Bitbucket source code management ซึ่งคาดว่าจะเป็นกลุ่มแฮ็กเกอร์ระดับรัฐสนับสนุนที่ต้องการฝังตัวในเครือข่าย แต่จุดเริ่มต้นมาจากความผิดพลาดของ Okta บริษัทด้าน IAM เมื่อปีก่อน
เรื่องราวเริ่มต้นจากการที่คนร้ายได้อาศัย access token และ credential จากการที่ข้อมูลของ Okta ประสบเหตุรั่วไหลช่วงเดือนตุลาคมปีก่อนเพื่อเข้าถึงเซิร์ฟเวอร์ Atlassian ของ Cloudflare ครั้งแรกในวันที่ 14 พ.ย และหวนกลับมาดำเนินการอีกครั้ง 22 พ.ย. โดยครั้งนี้ได้สร้างการฝังตัวให้อยู่ได้อย่างยาวนานในเซิร์ฟเวอร์ด้วย Jira ScriptRunner พร้อมเข้าถึงระบบจัดการโค้ด (Bitbucket) รวมถึงยังพยายามเข้าไปยังเซิร์ฟเวอร์ที่มีการเชื่อมต่อไปยังดาต้าเซ็นเตอร์ในเซาเปาโล เคราะห์ดีที่ระบบยังไม่ถูกนำไปใช้จริงและความพยายามของคนร้ายส่วนนี้ไม่ประสบความสำเร็จ
Cloudflare ตรวจพบกิจกรรมผิดปกติในวันที่ 23 พ.ย. แต่มีทีมเข้ามาเริ่มสืบสวนเหตุเมื่อ 26 พ.ย. อย่างไรก็ดีบริษัทยืนยันว่าไม่มีข้อมูลของลูกค้าได้รับผลกระทบ และตนก็ได้พยายามอย่างแข็งขันในการจัดการกับช่องโหว่หรือความเสี่ยงอื่นเสร็จสิ้นในวันที่ 5 ม.ค. ปีนี้ แต่ยังทำการ hardening software กันอยู่ โดยมีหลายกระบวนการที่ Cloudflare ทำคือ
- เปลี่ยน Credentials ทั้งหมดในระบบ Production
- ทดสอบการใช้ Segmentation เชิงกายภาพและระบบ Staging
- ประมวลพิสูจน์หลักฐานระบบกว่า 4,893 ตัว
- Reimage และ Reboot ระบบทั้งหมดใน Global Network ขององค์กร รวมถึงเซิร์ฟเวอร์ Atlassian และเครื่องใดๆที่คนร้ายเข้าถึง
- แม้ว่าความพยายามเจาะเข้าสู่ดาต้าเซ็นเตอร์เซาเปาโลจะไม่สำเร็จ แต่ Cloudflare ถึงขนาดส่งอุปกรณ์ทั้งหมดกลับไปยังผู้ผลิตเพื่อทำให้แน่ใจว่าดาต้าเซ็นเตอร์จะปลอดภัย 100%
จากการประเมินเหตุการณ์คาดว่าคนร้ายน่าจะเป็นทีมระดับรัฐสนับสนุน โดยจากพฤติกรรมคือเข้ามา wiki page และ bug database และซอร์สโค้ด ซึ่งเหมือนกับเป็นการมองหาประโยชน์จากช่องโหว่ของสถาปัตยกรรม หรือการบริหารจัดการเครือข่าย เพื่อฝังรากลึกให้ได้มากที่สุด
