จากเหตุการณ์แฮ็กเกอร์กลุ่ม LAPSUS$ เจาะเข้าระบบของบริษัท Okta ที่ให้บริการ CRM จนกระทบลูกค้าหลายราย
วันนี้มีเอกสารสอบสวนการเจาะระบบของ Okta หลุดออกมาทางนักวิจัยความปลอดภัยอิสระ Bill Demirkapi โดยเอกสารนี้เป็นของบริษัทความปลอดภัย Mandiant (เพิ่งขายให้กูเกิล) ที่ได้รับการว่าจ้างจาก Okta ให้มาตรวจสอบเหตุการณ์
เส้นทางการแฮ็กระบบเริ่มจากพนักงานของบริษัท Sitel ที่รับงานเอาท์ซอร์สด้านคอลล์เซ็นเตอร์และฝ่ายบริการลูกค้าให้ Okta อีกทอดหนึ่ง โดยแฮ็กเกอร์เข้าบัญชีของพนักงาน Sitel ได้ตั้งแต่เดือนมกราคม 2022 และค่อยๆ ไล่เจาะตามลำดับชั้นมาเรื่อยๆ จนเข้าถึงระบบของ Okta ได้
สิ่งที่น่าสนใจในการเจาะระบบ Sitel คือ แฮ็กเกอร์พบไฟล์ Excel ชื่อ DomAdmins-LastPass.xlsx เก็บรหัสผ่านขององค์กรเก็บอยู่ในอินทราเน็ตของ Sitel จึงสามารถวาง backdoor ไว้ในระบบได้สำเร็จ
LAPSUS$ was able to create backdoor users in Sitel's environment after retrieving an Excel document conspicuously titled "DomAdmins-LastPass.xlsx" 🤦♂️. 5/N pic.twitter.com/VNjjlSGoTM
— Bill Demirkapi (@BillDemirkapi) March 28, 2022
ประเด็นอื่นที่น่าสนใจคือ การแฮ็กของ LAPSUS$ ไม่ได้ใช้เครื่องมือที่ซับซ้อน และใช้วิธีแฮ็กไป ค้นหาเครื่องมือเจาะในอินเทอร์เน็ตที่ใช้แฮ็กช่องโหว่ถัดไปเรื่อยๆ ด้วย (หาด้วย Bing บนเครื่องที่เจาะได้อีกที) ตัวอย่างคือ LAPSUS$ ใช้สคริปต์เจาะช่องโหว่ Windows ที่อยู่บน GitHub สาธารณะ, ฝังมัลแวร์ Mimikatz ที่ดาวน์โหลดจาก GitHub โดยปิดการทำงานของ FireEye Endpoint Agent บนเครื่องที่เจาะได้
Demirkapi ตั้งคำถามว่า Okta ได้รับรายงานนี้จาก Mandiant ก่อนตั้งแต่เดือนมกราคมแล้วว่าเครื่องของพนักงานเอาท์ซอร์สโดนเจาะ แต่ทำไมไม่สนใจสืบหาต่อ จนทำให้ Okta โดนเจาะในท้ายที่สุด เขายังวิจารณ์ Sitel ว่าพบเหตุการเจาะระบบพนักงาน แต่ก็ปิดเรื่องไว้ ไม่ยอมแจ้งลูกค้าของตัวเอง (ที่มีจำนวนมาก ไม่ใช่มีแต่ Okta) ด้วยเช่นกัน
ที่มา - TechCrunch