อยู่อย่างไรให้ปลอดภัย จากการป่วนของแฮกเกอร์ ท่ามกลางภาวะสงคราม รัสเซีย-ยูเครน
ตอนนี้ รัสเซีย ได้เริ่มโจมตียูเครนอย่างหนักแล้ว คาดว่าเราอาจได้เห็นความเสี่ยงจากการโจมตีและเหตุการณ์คุกคามความปลอดภัยทางไซเบอร์กันมากขึ้น ไม่ว่าจะเป็นการโจมตีทางอินเทอร์เน็ตที่พุ่งเป้าไปที่ยูเครนหรือการโจมตีผู้ให้การสนับสนุนยูเครนโดยตรงก็ตาม
การโจมตีที่ได้รับแรงสนับสนุนจากรัฐบาลรัสเซียมีจุดมุ่งหมายเพื่อสนับสนุนการบุกยูเครน หรือตอบโต้สหรัฐ และนาโต้ หรือมาตรการต่างประเทศอื่น ๆ ที่ออกมาดำเนินการตอบโต้รัสเซียในการรุกรานยูเครน ซึ่งการโจมตีนี้ มีแนวโน้มว่าต้องการมุ่งทำลายหรือก่อกวนมากกว่าการมุ่งขโมยข้อมูล วันนี้เราเลยจะมาคุยกันถึงประเภทของการโจมตีที่อาจพบเจอกันในช่วงนี้ ไม่ว่าจะเป็น DDoS ที่ทำให้เว็บไซต์ล่ม และการใช้ Ransome หรือ Malware เพื่อทำลายล้าง พร้อมกับแนะนำขั้นตอนในการบรรเทาหรือแก้ไขสถานการณ์
จริงๆ แล้ว ในสถานการณ์ตอนนี้ ยังไม่ควรตื่นตระหนกกันไปมากนัก หากควรระวังตัวและพยายามปฏิบัติตามคำแนะนำจากหลายหน่วยงาน อย่างไรก็ตาม Innnomatter เราจะยังคอยติดตามข้อมูลเรื่องของความเสี่ยงด้านความปลอดภัยไซเบอร์อย่างใกล้ชิด หากมีการเคลื่อนไหวใดๆ จะรีบมารายงานให้ทราบเป็นระยะ
Malware
ความเป็นไปได้ในประเด็นที่อาจเกี่ยวข้องคือ ความเสี่ยงที่มัลแวร์จะโจมตีสหรัฐฯ สมาชิก NATO หรือประเทศอื่นๆ ที่ให้การสนับสนุนในเรื่องนี้ ซึ่งอาจเป็นการโจมตีโดยตรงหรือเกิดลูกหลงจากการโจมตีในยูเครน อย่าง ปฏิบัติการ NotPetya ในปี 2560 ที่มุ่งเป้าที่ยูเครน แต่กลับแพร่กระจายไปยังส่วนอื่น ๆ ของโลก โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์เพิ่งค้นพบมัลแวร์ล้างข้อมูลตัวใหม่ที่มีชื่อว่า HermeticWiper (AKA KillDisk.NCV) ที่แพร่ระบาดในเครื่องยูเครนหลายร้อยเครื่องในช่วงสองเดือนที่ผ่านมา ที่มุ่งสร้างความเสียหายรุนแรงด้วยการเขียนมัลแวร์ขึ้นมาโดยเฉพาะ เพื่อเจาะไปที่ Master Boot Record (MBR) ส่งผลให้ระบบไม่สามารถบูตเครื่องเพื่อทำงานได้ โดยมัลแวร์ตัวใหม่นี้อาละวาดคล้ายกับ NotPetya ที่มีวัตถุประสงค์เพื่อทำลายล้างและอาจทำให้เครื่องที่ติดมัลแวร์นี้เป็นอัมพาต คือทำอะไรไม่ได้นั่นเอง
แนวคิดในการป้องกันที่ดีที่สุด คือพยายามหลีกเลี่ยงอย่าให้มีการติดไวรัสตั้งแต่แรก ซึ่งเราสามารถลดความเสี่ยงได้ด้วยการอัพเดตระบบป้องกันให้ทันสมัยอยู่ตลอด และใช้ระบบควบคุมการเข้าถึงที่รัดกุม รวมถึงใช้การพิสูจน์ตัวตนแบบหลายระดับ นอกจากนี้ ต้องเตรียมแผนรับมือเหตุการณ์ในกรณีเลวร้ายที่สุด รวมถึงต้องมีแผนสร้างความต่อเนื่องทางธุรกิจ และมีระบบโครงสร้างพื้นฐานแบบ failover ที่รองรับในกรณีที่ระบบล่มแต่ยังสามารถทำงานต่อได้ เพื่อปกป้องสินทรัพย์สำคัญของธุรกิจ
DDoS การโจมตีเพื่อให้เว็บล่ม
มีรายงานว่ามีการโจมตีด้วย DDoS บนเว็บไซต์ของยูเครนเกิดขึ้นแล้ว และรัสเซียเองก็เคยใช้ DDoS เพื่อสนับสนุนปฏิบัติการกับอดีตสาธารณรัฐโซเวียตอื่นๆ เช่น จอร์เจีย จากสถานการณ์ตอนนี้ก็มีความเป็นไปได้ที่จะพบผู้บุกรุกสัญชาติรัสเซียที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย โดยโจมตีด้วย DDoS เพื่อตอบโต้มาตรการที่ต่อต้านรัสเซียในการรุกรานยูเครน เช่น การเข้าแทรกแซงปฏิบัติการทางไซเบอร์จากประเทศสมาชิก NATO
แม้ว่า DDoS จะไม่ได้รับความสนใจเท่าการโจมตีรูปแบบอื่นๆ แต่ก็ส่งผลกระทบสำคัญต่อการดำเนินธุรกิจ การลดโอกาสในการโจมตีด้วยวิธีนี้ รวมถึงการลดการโจมตีผ่านเครือข่ายที่กระจายคอนเทนต์ อย่าง Content Distribution Networks หรือ load balancers รวมถึงการใช้ Access Control Lists และ Firewall เพื่อลดการรับส่งข้อมูลที่มาจากโหนดผู้โจมตี
การหลอกด้วย Phishing
การโจมตีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ยังเป็นที่รู้จักกันดีว่าเป็นการหลอกล่อด้วย Phishing โดยเฉพาะการส่งจากบัญชีผู้ใช้งานที่มีอยู่จริง ระบบป้องกันควรตรวจสอบให้แน่ใจว่ามีการกรองสแปมและการสแกนไฟล์ที่แนบมาอย่างเข้มงวด รวมถึงให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายจากการโจมตีด้วยวิธีนี้ และใช้มาตรการควบคุมอย่างสม่ำเสมอ ก็จะช่วยลดผลกระทบจากปัญหานี้ได้เช่นกัน
การโจมตีที่ได้รับการสนับสนุนจากรัฐบาลในแบบ APT ไม่ใช่ภัยคุกคามเพียงรูปแบบเดียว ในช่วงวิกฤตถือเป็นเรื่องปกติที่จะเห็นการทำ Phishing เชื่อมโยงไปยังเว็บไซต์อันตรายที่แฝงตัวมาในรูปของเว็บข่าว กลุ่มให้ความช่วยเหลือ หรือเนื้อหาอื่นๆ ที่ดูเป็นเรื่องเกี่ยวข้องกัน โดยนักต้มตุ๋นและผู้ดำเนินการมุ่งร้ายต่างๆ พยายามฉวยโอกาสจากพื้นฐานธรรมชาติของมนุษย์ ทั้ง ความอยากรู้อยากเห็น ความวิตกกังวล และต้องการหยิบยื่นความช่วยเหลือ ประเด็นเหล่านี้ทำให้ผู้คนไม่ค่อยระแวงและอาจตกเป็นเหยื่อได้ คำแนะนำคือควรระมัดระวังและอย่าคลิกลิงค์ที่ไม่รู้จักหรือเปิดไฟล์แนบ เพราะในเวลาที่อารมณ์อ่อนไหว อาจทำให้ละเลยความปลอดภัยพื้นฐานได้
การโจมตีด้วยการสุ่มหารหัสผ่าน
ตามรายงานจาก NSA, CISA, FBI และ NCSC ทั้งสามหน่วยงานเห็นตรงกันว่า“ตั้งแต่กลางปี 2019 ถึงต้นปี 2021 ผู้อำนวยการหน่วยข่าวกรองหลักของ Russian General Staff (GRU) เลือกใช้วิธีการโจมตีด้วยการสุ่มและคาดเดารหัสผ่านอย่างกว้างๆ เพื่อหาความเป็นไปได้ของรหัส ซึ่งเป้าหมายคือภาครัฐและเอกชนหลายร้อยแห่งทั่วโลก โดย GRU อาศัยช่องโหว่ที่ค้นพบใหม่ เช่น CVE-2020-0688 และ CVE-2020-17144 มาใช้ในการโจมตี
การบรรเทาผลจากการโจมตีประเภทนี้ที่ดีที่สุดคือการเปิดใช้งาน Multi-Factor Authentication, MFA ในทุกระบบ ลดขนาดช่องทางที่เปิดให้ภายนอกมองเห็นและตรวจดูให้แน่ใจว่าระบบได้ทำการติดตั้งอย่างพร้อมสมบูรณ์
การปลอมหน้าเว็บหรือข้อมูลในเว็บไซต์
ประเทศยูเครนยังโดนโจมตีด้วยวิธี Defacement เพื่อเปลี่ยนหรือปลอมแปลงข้อมูลในหน้าเว็บไซต์ ซึ่งทำให้ผู้โจมตีสบช่องในการเผยแพร่ข้อมูลปลอมในเว็บไซต์นั้นๆ ซึ่งการปลอมเว็บไซต์โดยทั่วไปจะเกี่ยวข้องกับกิจกรรมของแฮกเกอร์ แต่ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัสเซียอาจปลอมเป็นนักเคลื่อนไหว (ทางการแฮก) เพื่อปกปิดอำพรางการมีส่วนร่วมของรัฐบาลรัสเซีย และเผยแพร่ข้อมูลการสื่อสารเชิงกลยุทธ์ไปยังกลุ่มเป้าหมายที่เป็นชาวต่างชาติ ด้วยการปลอมแปลงเว็บไซต์ในฝั่งตะวันตก
ปัญหานี้มักเกิดจากข้อบกพร่องเรื่องรหัสผ่านที่ไม่รัดกุมของบัญชีผู้ดูแลระบบ การเขียนสคริปต์ข้ามไซต์ การโจมตีฐานข้อมูล การอัปโหลดไฟล์ หรือปลั๊กอินที่มีช่องโหว่ ซึ่งปัญหานี้สามารถจัดการได้ ด้วยการจำกัดการเข้าถึงบัญชีและบังคับใช้รหัสผ่านที่รัดกุม นอกจากนี้ การค้นหาตำแหน่งที่สามารถแทรกสคริปต์หรือ iframes หรือตำแหน่งที่อาจเกิดการโจมตีด้วยเทคนิค SQL Injection ก็จะสามารถช่วยระบุช่องโหว่ที่ช่วยให้แก้ไขได้อย่างทันการณ์
แรนซัมแวร์ เรียกค่าไถ่
การโจมตีด้วย แรนซัมแวร์ ก็ถูกนำมาใช้ในการป่วนระดับประเทศได้เช่นกัน และเชื่อกันว่าเบื้องหลังของการโจมตีด้วย แรนซัมแวร์ ในปี 2564 ที่โคโลเนียลไปป์ไลน์ เรียกค่าไถ่ท่อส่งน้ำมันหลักของสหรัฐอเมริกา เบื้องหลังคืออาชญากรชาวรัสเซียนั่นเอง แรนซัมแวร์สามารถสร้างผลกระทบทำให้ธุรกิจของเป้าหมายต้องหยุดชะงัก และผู้โจมตีอาจจะยึกยักไม่ยอมถอดรหัสไฟล์ แม้จะได้รับเงินค่าไถ่แล้วก็ตาม เพื่อขยายผลกระทบต่อผู้ที่ตกเป็นเหยื่อ นอกจากนี้แฮกเกอร์ยังฉวยโอกาสที่จะมองหาค่าไถ่ต่อไป โดยจะยังคงด้อม ๆ มองๆ และอาจฉวยประโยชน์จากความโกลาหลนี้
การเตรียมตัวตั้งรับความปั่นป่วน ต้องทำอย่างไรบ้าง
- ประเมินการตั้งค่าต่างๆ ทั้งในส่วนแอปพลิเคชันและสินทรัพย์ เพื่อให้แน่ใจว่ามีความยืดหยุ่นพร้อมรับมือกับการโจมตี
- ตรวจสอบซ้ำเพื่อให้แน่ใจว่าสามารถมองเห็นฟังก์ชันการทำงานของสินทรัพย์สำคัญทางธุรกิจ เพื่อการป้องกันที่ดี
- ประเมินความพร้อมในการรับมือหากเกิดการโจมตีขึ้น
