TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
SolarWinds ได้ออกมาแถลงยอมรับว่า Supply Chain ของตนถูกแทรกซึม แต่นอกจากนี้ดูเหมือนว่าจะเป็นช่องทางให้คนร้ายแทรกซึมอยู่ในหน่วยงานรัฐบาลสหรัฐฯหลายแห่งและเป็นสาเหตุที่ FireEye ถูกแฮ็กเมื่อสัปดาห์ก่อนด้วย
เหตุการณ์ทางฝั่ง SolarWinds ก็คือคนร้ายได้แทรกแซงแพลตฟอร์ม Orion ซึ่งเป็นซอฟต์แวร์ที่ใช้เพื่อติดตามและบริหารจัดการเครือข่ายขนาดใหญ่ได้ โดยคาดว่าตัวอัปเดตของซอฟต์แวร์เวอร์ชันระหว่าง 2019.4 ถึง 2020.2.1 มีการถูกแทรกแซงโดยคนร้าย ปัจจุบันบริษัทได้ออกการแก้ไขในเวอร์ชัน 2020.2.1 HF 2 แล้ว
ประเด็นคือจากการสืบสวนของทั้งหน่วยงานความมั่นคงสหรัฐฯและผู้เชี่ยวชาญหลายฝ่าย คาดว่าเหตุการณ์ครั้งนี้คือจุดที่คนร้ายรัสเซียระดับรัฐสนับสนุน (คาดว่าจะเป็นกลุ่ม APT29) ใช้เข้าไปแทรกซึมหน่วยงานรัฐบาลต่างๆ ในสหรัฐฯ ไม่เพียงเท่านั้นดูเหมือนว่าแคมเปญการโจมตีนี้จะครอบคลุมไปยังหน่วยงานภาครัฐและเอกชน ทั่วโลกทั้งอเมริกาเหนือ ยุโรป เอเซีย และตะวันออกกลางด้วย
อีกประเด็นคือเมื่อสัปดาห์ก่อน FireEye ได้แถลงเหตุถูกแฮ็กขโมยเอาเครื่องมือ Red Team ออกไป ซึ่งล่าสุดบริษัทก็เผยว่า Supply Chain ที่ถูกแทรกแซงได้ของ SolarWinds คือสาเหตุที่คนร้ายใช้เข้ามายังเครือข่ายของ FireEye ได้ โดยตั้งชื่อมัลแวร์นี้ว่า SUNBURST ส่วน Microsoft ได้อัปเดต Defender ของตนแล้วให้ชื่อมัลแวร์ว่า Solorigate
ที่มา : https://www.zdnet.com/article/fireeye-confirms-solarwinds-supply-chain-attack/ และ https://www.reuters.com/article/us-usa-solarwinds-cyber/it-company-solarwinds-says-it-may-have-been-hit-in-highly-sophisticated-hack-idUSKBN28N0Y7
