IoT เป็นเหตุ มหาวิทยาลัยถูกโจมตีด้วยตู้ขายน้ำอัตโนมัติและระบบไฟอัจฉริยะของตนเองกว่า 5,000 เครื่อง

Verizon ออกรายงานกรณีศึกษาเกี่ยวกับ Data Breach ประจำปี 2017 ซึ่งหนึ่งในกรณีที่น่าสนใจนั้น เป็นเหตุการณ์ที่มหาวิทยาลัยแห่งหนึ่งถูกโจมตีด้วยอุปกรณ์ IoT ของมหาวิทยาลัยเอง ไม่ว่าจะเป็นตู้ขายน้ำอัตโนมัติหรือระบบไฟอัจฉริยะ ส่งผลให้การเข้าถึงอินเทอร์เน็ตเกิดความล่าช้า สาเหตุหลักมาจากการใช้รหัสผ่านแบบดั้งเดิมจากโรงงาน

เหตุการณ์เริ่มต้นเมื่อฝ่าย Help Desk ของมหาวิทยาลัยได้รับเรื่องร้องเรียนจากนักศึกษาเกี่ยวกับการเชื่อมต่ออินเทอร์เน็ตมีปัญหาหรือใช้งานได้ช้า ซึ่งทีม IT Security ของมหาวิทยาลัยงุนงงกับสิ่งที่เกิดขึ้นเป็นอย่างมาก อย่างไรก็ตาม การตรวจสอบเบื้องต้น พบว่าสมาชิกในทีมรู้สึกเอะใจกับสิ่งผิดปกติเกี่ยวกับโดเมน “Seafood” ที่ปรากฏขึ้นมาใน DNS เป็นจำนวนมาก

หัวหน้าทีมรับมือสถานการณ์ผิดปกติของมหาวิทยาลัยพบว่า DNS Server ของมหาวิทยาลัยมีการแจ้งเตือนและปรากฏการร้องขอเพื่อแปลงชื่อของ Sub-domain เกี่ยวกับ “Seafood” เป็น IP มากผิดปกติ และเนื่องจาก DNS Server พยายามแปลงชื่อเป็น IP ตลอดเวลา จึงทำให้คำร้องขอปกติไม่ได้รับการประมวลผล ผลลัพธ์คือนักศึกษาหลายคนไม่สามารถใช้งานอินเทอร์เน็ตได้ หรือใช้งานได้ช้าลง

มหาวิทยาลัยจึงติดต่อไปยังทีม Verizon RISK (Research, Investigations, Solutions and Knowledge) เพื่อทำการตรวจสอบ Log ของ Firewall และ DNS ซี่งทีม RISK ค้นพบว่าตู้ขายน้ำอัตโนมัติ ระบบไฟอัจฉริยะ และอุปกรณ์ IoT อื่นๆ กว่า 5,000 เครื่องถูกแฮ็คเกอร์เข้าควบคุมโดยใช้ IoT Botnet ซึ่งแพร่กระจายไปยังอุปกรณ์ทั่วมหาวิทยาลัยผ่านทางการทำ Brute Force รหัสผ่านดั้งเดิมที่มาจากโรงงาน หลังจากนั้นจึงสั่งการให้ส่งคำร้อง DNS เกี่ยวกับ Seafood ไปยัง DNS Server ทุกๆ 15 นาที ที่แย่กว่านั้นคือ หลังจากที่เข้าควบคุมอุปกรณ์ IoT ได้แล้ว Botnet ได้ทำการเปลี่ยนรหัสผ่านใหม่ ทำให้มหาวิทยาลัยหมดสิทธิ์กลับเข้าไปควบคุมอุปกรณ์ IoT ทันที

ในตอนแรก หัวหน้าทีมรับมือสถานการณ์ผิดปกติของมหาวิทยาลัยคิดว่าจะต้องเปลี่ยนอุปกรณ์ IoT ใหม่ทั้งหมด แต่หลังจากได้รับรายงานจากทีม RISK ระบุว่า Botnet แพร่กระจายจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่งผ่านทางการทำ Brute Force มหาวิทยาลัยจึงได้ใช้ Packet Sniffer เพื่อดักจับรหัสผ่านของ Botnet ที่ใช้แฮ็คอุปกรณ์ IoT ทำให้ได้รหัสผ่านใหม่ทั้งหมดภายในไม่กี่ชั่วโมง จากนั้นจึงเขียนสคริปต์เพื่อทำการล็อกอินเข้าไปยังอุปกรณ์เพื่ออัปเดตรหัสผ่านใหม่และจัดการกำจัด Botnet ในทีเดียว

รายงานกรณีศึกษาเกี่ยวกับ Data Breach ของ Verizon ยังระบุคำแนะนำด้านความมั่นคงปลอดภัยเมื่อนำอุปกรณ์ IoT เข้ามาใช้งานในองค์กรว่า ควรเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ให้แข็งแกร่งยิ่งขึ้น รวมไปถึงแยกโซนเน็ตเวิร์กของระบบ IoT ออกมาจากระบบเครือข่ายหลักที่สำคัญ เนื่องจากระบบ IoT มักจะมีความมั่นคงปลอดภัยอ่อนแอกว่าระบบปกติ

ผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้ที่: http://www.verizonenterprise.com/resources/reports/rp_data-breach-digest-2017-sneak-peek_xg_en.pdf

ที่มา: http://www.networkworld.com/article/3168763/security/university-attacked-by-its-own-vending-machines-smart-light-bulbs-and-5-000-iot-devices.html