ใครที่ใช้ SolarWinds และได้อัพเดตเวอร์ชั่นล่าสุด นับตั้งแต่เดือนมีนาคม 2020 ที่ผ่านมา คุณคือหนึ่งในลูกค้า 300,000 กว่ารายที่เสี่ยงถูกโจมตี หนึ่งในนั้นที่โดนโจมตีไปแล้วคือ US. Treasury and Commerce Department ลูกค้า SolarWinds ถูกโจมตีเพราะอะไร แล้วระบบของเราจะโดนด้วยมั้ย
เกิดอะไรขึ้นเหรอครับ?? ก็ผู้ร้ายได้ลักลอบไปเข้าไปที่ FTP ของ SolarWinds ได้สำเร็จ แล้วก็จัดการสลับไฟล์ Patch ของแท้ ด้วยไฟล์ Malware ของขวัญจากผู้ร้าย ซึ่งหากคุณโหลดไฟล์นี้มา Run ก็เท่ากับคุณโหลด Malware เข้ามาทำงานในระบบนั่นเอง
จริง ๆ แล้ว ก็มีคนเคยแจ้งไปที่ GitHub ตั้งแต่ปลายปี 2019 นู่นแล้วนะครับว่า FTP server ของ SolarWinds นั้น สามารถ Logon เข้าไป Upload ไฟล์ได้ ด้วย Credential *****123 (เดาเอานะครับ Password คำนั้นคืออะไร) ก็แปลว่า ใครต่อใครสามารถจะแอบเปลี่ยน Patch file ของ SolarWinds เมื่อไหร่ก็ได้ ประเด็นนี้อาจจะถูกหยิบมาใช้ในศาล ที่ลูกค้าของ SolarWinds จ่อคิวรอฟ้องร้องเรียกค่าเสียหายอยู่ ลูกค้าแต่ละราย บิ๊ก ๆ ทั้งนั้นครับ
ถ้าคุณใช้ SolarWinds และมีการอัพเดตเวอร์ชั่นล่าสุดหลังเดือนมีนาคมที่ผ่านมา คุณน่าจะต้องทำตามคำแนะนำของหน่วยงานรัฐบาลในอเมริกานะครับ เขาแนะนำว่า ให้ถอดปลั๊กเครื่องที่มี SolarWindows โหลดอยู่ซะ ว่ากันขนาดนั้นเลย
Malware ตัวนี้ทำอะไรบ้าง
Malware ตัวนี้ทำอะไรบ้าง
- ทำให้หุ้นของ SolarWinds ร่วงแน่นอนครับ Reuter ออกข่าวนี้พร้อม ๆ กับราคาหุ้นของ SolarWinds ที่ Nasdaq รูดลงจาก 23.55 ไปเหลือ 17.95 ดู chart เอาเองครับ หุ้นของบริษัทที่ค่อย ๆ ไต่ขึ้นในช่วง covid นับตั้งแต่เดือนพฤษภาคม ผู้ถือหุ้นกำลังดีใจ พอข่าวออกปุ๊บ ราคาหล่นยังกะโดดร่มลงมา
2. Malware ที่มีโอกาสเข้าระบบของคุณในฐานะ System software ที่ Run service โดย Administrator privilege แถมยังอยู่ใน Exception list ของ Antivirus ด้วย คุณคิดว่า Malware จะทำอะไรกับระบบของคุณได้บ้าง แค่คิดก็ขนหัวลุกแล้วครับ เหมือนเรามอบกุญแจทุกดอก ทั้งรถ บ้าน ตู้เซฟ ให้ผู้ร้ายไป ที่เหลือก็รอลุ้นเอาเองว่า เราจะอยู่ในคิวการโจมตีวันไหน ผู้ร้ายจะลงมือไขกุญแจมาบุกบ้านเราเมื่อไหร่
3. ระบบเล็ก ๆ อย่าง SME ที่มีเครื่องไม่มากอุปกรณ์ไม่เยอะ ไม่มีใครเขาเอา SolarWinds มา Monitor อะไรให้วุ่นวายหรอกครับ ลูกค้าของ SolarWinds มักจะเป็นองค์กรที่มีระบบ IT ที่รองรับงานระดับ Mission Critical ทั้งนั้น ซึ่งต้องมีการดูแลระบบกันอย่างใกล้ชิดในระดับ Realtime ว่าง่าย ๆ คือ Enterprise ใหญ่ ๆ เลยไปจนถึง Government Department ระดับกระทรวง ถ้าองค์กรของคุณใช้ SolarWinds อย่างจริงจัง คุณควรเริ่มตื่นตัวเช็คข่าวได้แล้วล่ะ SolarWinds ของคุณอยู่ในความเสี่ยงด้วยหรือเปล่า
สำหรับใครที่มีความรู้ ก็อาจจะบอกว่า เอ้า…ก็ตอนโหลด Patch ทำไมไม่เช็ค Hash ของไฟล์ก่อนจะ run หรือเมื่อสั่ง Run setup patch ขึ้นมา อย่างน้อย Windows ก็จะมีการเช็ค Certificate ที่ใช้ Sign patch file นั้น และคงจะแสดง Warning ออกมาแล้วว่า ไฟล์นี้ไม่ได้ถูกสร้างโดย SolarWinds
ถ้าใครคิดแบบนี้ ก็แสดงว่า คุณประเมินความขยันรอบคอบของโจรต่ำไปจริง ๆ เพราะ Patch ปลอมนี้ ถูก Digital Sign ด้วยคีย์หรือ Certificate ของ SolarWinds อย่างถูกต้องครับ สามารถโหลดมา Setup ลงเครื่องได้ผ่านฉลุย โดย Windows จะไม่แสดงคำเตือนอะไร
และอย่างที่บอกครับ SolarWinds จะทำงานได้อย่างถูกต้อง มันจะต้องอยู่ใน Exception list ของ Antivirus ทำให้ Malware patch นี้ได้รับสิทธิพิเศษ เช็คอินเข้าระบบทางช่อง VIP ที่ไม่มีการตรวจหรือสแกนอะไรจาก Antivirus เลย…เฉียบ !!!
ผมทำงานด้าน Cybersecurity เห็นความประมาทขององค์กรในเรื่อง Cybersecurity ด้วยทุกเหตุผล ไม่อยากยุ่งยาก, ไม่อยากกระทบ User, ขอ Bypass security ที่เครื่องผู้ใหญ่หรือเครื่องของนาย, ไม่อยากไปเปิด Security บนระบบที่มันเวิร์คดีอยู่แล้ว เดี๋ยวระบบพังแล้วงานเข้า, ไม่มีงบ, ไม่ว่าง เอาไว้วันหลัง ฯลฯ แล้วผลที่ได้ก็คือวิบากกรรมที่ตามมาโดยไม่ต้องรอชาติหน้า ก็จะโดน Ransomware กันเป็นอันดับหนึ่ง, website โดนแฮกหรือโดนปิดก็มีถมไป, โดนขโมย password ของ Mailbox ไปหลอกให้โอนเงิน สูญกันเป็นแสนเป็นล้าน มีให้ได้ยินอยู่บ่อย ๆ เมื่อละเลยปล่อยให้ระบบไม่ปลอดภัย ก็โดนกันไป เป็นเรื่องปกติ
แต่…..เคสของ SolarWinds ครั้งนี้ หวยพลิกครับ คือกลายเป็นว่า
- คนที่ไม่ลงทุนซื้อระบบ Monitoring ชั้นนำอย่าง SolarWinds คือคนที่รอด
- คนที่ไม่ตื่นตัวจะสร้างระบบ Monitoring เลย คอยแก้เมื่อปัญหาเกิด คือคนที่รอด
- คนที่ใช้ SolarWinds แต่ไม่ใส่ใจจะ Update patch ของระบบ ให้เป็นเวอร์ชั่นล่าสุด คือคนที่รอด
เพี้ยนมั้ยครับ !!! ไม่ใส่ใจ Cybersecurity ก็ไม่ปลอดภัย ใส่ใจเป็นอย่างดี ก็ดันกลายเป็นว่าไปเอา Malware มาใส่ในระบบซะอีก แล้วจะเอาไง ดูเหมือนตรรกะจะผิดเพี้ยนไป
แต่ดูให้ดี คิดให้ลึกนะครับ ตรรกะหนึ่งที่ยังไม่ผิดเพี้ยนคือ
“ระดับของความระวังในเรื่อง Cybersecurity เน้นไปที่มูลค่าของ Resource ในระบบ ที่โจรสามารถจะกอบโกยจากระบบของเราได้”
ตรรกะนี้คงพอจะทำให้คุณเข้าใจว่า ทำไมโจรเจ้าของ Malware SolarWinds patch ถึงได้เลือก US treasure เป็นเหยื่อรายแรก ๆ และอุตส่าห์ทำ Malware patch มาซะแนบเนียนดิบดี เพราะโอกาสจะฝัง Malware ไปบน Official website นั้น เป็นโอกาสทองที่ไม่ได้มีกันได้ง่าย ๆ Resource ที่ถูกขโมยในครั้งนี้ึคือ FTP credential นั่นเอง เป็น Resource ที่ดูเล็กและมีมูลค่าน้อยเหลือเกิน
ระบบชองคุณมีอะไรให้ขโมยหรือมีมูลค่ากับโจรมากแค่ไหน ถามผู้เชี่ยวชาญด้าน Cybersecurity ครับ ข้อมูล, เครื่อง, อุปกรณ์, Processing Power, Network Service, Bandwidth, Domain name, พวกนี้โจรสามารถขโมยจากเราไปหาเงินได้ทั้งนั้น ด้วยวิธีการขโมยที่หลากหลาย ซึ่งมีวิธีการป้องกันที่ไม่เหมือนกัน ในขณะที่เราไม่รู้ด้วยซ้ำว่า สิ่งเหล่านี้เป็นสิ่งที่เราจะต้องป้องกัน และมักเปิดอ้าซ่าเอาไว้ให้โจรหยิบไปหาประโยชน์ได้ง่าย ๆ ซ้ำแล้วซ้ำอีก โดยที่เราไม่รู้ตัว
ครั้งนี้ SolarWinds อาจจะคิดไม่ถึงว่า FTP credential ที่ใช้ Upload file ไปที่ website นั้น จะมีมูลค่ากับโจรถึงเพียงนี้ ก็เลยไม่ได้ระวังเท่าที่ควร ซึ่งความผิดพลาดครั้งนี้ จะทำให้บริษัท SolarWinds พังพินาศป่นปี้ขนาดไหน เสียเงิน เสียตลาด เสียลูกค้า เสียชื่อเสียง หมดความน่าเชื่อถือ ถูกฟ้องเรียกค่าเสียหาย และยังไม่มีใครเห็นภาพว่า SolarWinds จะหาทางออกจากความวิบัตินี้อย่างไร
พวกเราดูเป็นตัวอย่างเอาไว้ครับ แล้วย้อนกลับมาดู Resource ของเราเองที่เราวางทิ้งเอาไว้ไม่ได้ป้องกัน และคิดว่ามันไม่มีอะไร วันหนึ่ง Resource เหล่านี้อาจถูกขโมยไปและสร้างความเสียหายให้กับองค์กรอย่างแสนสาหัส อย่าคิดว่า Cybersecurity มันมีแค่ Ransomware ครับ มันมีความเสียหายมากกว่านั้นอีกเยอะเลย ต้องการคำปรึกษาก็ติดต่อมาคุยกันได้ครับ
