มีรายงานการตรวจพบการรั่วไหลของข้อมูลครั้งใหญ่ในวงการไซเบอร์ภายใต้ชื่อ “FortiBleed” ซึ่งเป็นการเปิดเผยข้อมูลสิทธิ์การเข้าใช้งาน (Credentials) ของระบบ Fortinet และ FortiGate VPN สำหรับ URL ไฟร์วอลล์ขององค์กรต่างๆ ทั่วโลกจำนวนสูงถึง 73,932 แห่ง
ผู้ที่ค้นพบข้อมูลรั่วไหลในครั้งนี้คือ Bob Diachenko นักวิจัยด้านความปลอดภัยไซเบอร์ โดยเขาได้ระบุว่าไปพบเซิร์ฟเวอร์ตัวหนึ่งที่เก็บข้อมูลสิทธิ์การเข้าใช้งาน VPN ของ Fortinet ที่ยังใช้งานได้จริง ซึ่งข้อมูลดังกล่าวประกอบไปด้วย:
- ชื่อผู้ใช้งาน
- อีเมล
- รหัสผ่านที่เป็นข้อความธรรมดา ที่ไม่มีการเข้ารหัส
จากภาพหลักฐานและข้อมูลที่ Diachenko นำมาเปิดเผย พบว่ามีรายชื่อของบริษัทยักษ์ใหญ่ระดับโลกตกเป็นเหยื่อในฐานข้อมูลนี้มากมาย เช่น Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid และแม้กระทั่งตัวบริษัท Fortinet เองก็ไม่รอด
ข้อสังเกตเพิ่มเติม: ในชุดข้อมูลที่หลุดออกมา แฮกเกอร์ยังได้เขียนบันทึกกำกับไว้ด้วยว่าแต่ละองค์กรทำธุรกิจประเภทไหน มีรายได้เท่าไหร่ และมีพนักงานจำนวนกี่คน ซึ่งคาดว่าข้อมูลเหล่านี้ถูกจัดเตรียมไว้สำหรับวางแผนเลือกเป้าหมายในการโจมตีต่อในอนาคต
Diachenko ได้วิเคราะห์เพิ่มเติมและเชื่อว่า ปฏิบัติการนี้ดำเนินการโดยกลุ่มภัยคุกคามที่พูดภาษารัสเซีย ซึ่งมุ่งเป้าโจมตีอุปกรณ์ FortiGate SSL VPN โดยมีรายละเอียดการโจมตีที่น่ากลัวดังนี้:
- ระดมสุ่มรหัสผ่านมหาศาล: แฮกเกอร์ได้ทำการสุ่มรหัสผ่าน ประมาณ 1.16 พันล้านครั้ง กับอุปกรณ์ FortiGate เป้าหมาย 320,777 เครื่อง และอีกกว่า 2.1 พันล้านครั้ง กับระบบ Microsoft SQL Server อีก 163,650 ระบบ
- ใช้ซูเปอร์คอมพิวเตอร์ถอดรหัส: แฮกเกอร์ใช้วิธีดึงแฮชการยืนยันตัวตนออกมา แล้วนำไปถอดรหัสผ่านระบบคลัสเตอร์ที่ใช้ GPU ถึง 45 ตัว โดยบริหารจัดการผ่านแพลตฟอร์ม Hashtopolis
- แทรกซึมระบบภายใน: หลังจากได้รหัสผ่านที่ถูกต้อง แฮกเกอร์จะใช้สิทธิ์นั้นเพื่อแฝงตัวและเคลื่อนไหว เข้าสู่ระบบ Active Directory ซึ่งเป็นหัวใจหลักในเครือข่ายภายในขององค์กรนั้นๆ
สาเหตุที่นักวิจัยสามารถสืบรู้เบื้องลึกเบื้องหลังของปฏิบัติการนี้ได้ เนื่องจากแฮกเกอร์ทำงานพลาด โดยเผลอเปิดไดเรกทอรีบนเซิร์ฟเวอร์ทิ้งไว้เป็นสาธารณะ (Open Directory) ทำให้ Diachenko สามารถเข้าไปเก็บข้อมูลประวัติการพิมพ์คำสั่ง (bash histories), เครื่องมือที่ใช้, สคริปต์, ตลอดจนไฟล์บันทึกการทำงาน (logs) ของแฮกเกอร์มาวิเคราะห์ได้ทั้งหมด
ผลกระทบจากเหตุการณ์นี้ส่งผลให้องค์กรหลายแห่งใน ญี่ปุ่น, ไต้หวัน, เวียดนาม, อิรัก และตุรกี ถูกเจาะระบบโดยสมบูรณ์ที่น่ากังวลที่สุดคือ มีบริษัทผู้รับเหมาด้านกลาโหมของกลุ่ม NATO ในประเทศตุรกีรายหนึ่งถูกแฮก และมีรายงานว่าเอกสารชั้นความลับได้ถูกขโมยออกไปด้วย
Hudson Rock บริษัทด้านข่าวกรองภัยคุกคามทางไซเบอร์ ได้นำชุดข้อมูลดังกล่าวไปวิเคราะห์ต่อและระบุว่า นี่ถือเป็นหนึ่งในคลังข้อมูลรหัสผ่านที่เกี่ยวข้องกับ Fortinet ที่ใหญ่ที่สุดเท่าที่เคยมีการค้นพบ
ขณะเดียวกัน Kevin Beaumont นักวิจัยไซเบอร์ชื่อดังอีกราย ก็ได้ร่วมตรวจสอบความถูกต้องของข้อมูลนี้อย่างอิสระ และยืนยัน ว่า “รหัสผ่านและสิทธิ์การเข้าถึงระดับ Admin บางส่วนที่สุ่มตรวจนั้น เป็นของจริงและใช้งานได้จริง” โดยเขาพบว่าอุปกรณ์ของ Fortinet ราว 75,000 เครื่องในรายชื่อนี้ ส่วนใหญ่ยังคงเปิดใช้งานและเชื่อมต่ออยู่บนโลกออนไลน์ในปัจจุบัน ซึ่งมีความเสี่ยงสูงมากหากองค์กรเหล่านั้นยังไม่รีบเปลี่ยนรหัสผ่านหรืออัปเดตระบบอุดรอยรั่ว
ที่มา : BPC
