เมื่อวันที่ 20 มกราคม 2563 บริษัท มิตซูบิชิ อีเล็คทริค สาขาใหญ่ที่ประเทศญี่ปุ่นได้ออกแถลงการณ์ว่าระบบถูกแฮกตั้งแต่ช่วงปลายเดือนมิถุนายน 2562 โดยจากการตรวจสอบพบว่าผู้ประสงค์ร้ายสามารถเข้าถึงระบบเครือข่ายภายในและได้ขโมยข้อมูลออกไปด้วย ตัวอย่างข้อมูลที่หลุดออกไป เช่น เอกสารสมัครงาน ข้อมูลพนักงาน รวมถึงข้อมูลความลับทางการค้า โดยทางบริษัทฯ พบไฟล์ต้องสงสัยบนเซิร์ฟเวอร์เมื่อช่วงเดือนกันยายน 2562 จึงได้ดำเนินการตรวจสอบและได้ผลสรุปดังกล่าว
มีรายงานเพิ่มเติมจากสำนักข่าวในประเทศญี่ปุ่นว่าบริษัท มิตซูบิชิ อีเล็คทริค นั้นถูกแฮกจากสาขาในประเทศจีนก่อน จากนั้นค่อยขยายการโจมตีมายังเครือข่ายของสาขาอื่นๆ อีก 14 แห่ง ในรายงานอ้างว่าผู้ประสงค์ร้ายโจมตีผ่านช่องโหว่ของโปรแกรมแอนติไวรัส Trend Micro OfficeScan ซึ่งเป็นช่องโหว่ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถอัปโหลดไฟล์ใดๆ เข้ามาในระบบเพื่อสั่งรันโค้ดอันตรายบนเครื่องที่ตกเป็นเหยื่อได้ (ช่องโหว่รหัส CVE-2019-18187) ทั้งนี้ ทาง Trend Micro ได้ออกแพตช์แก้ไขช่องโหว่นี้เมื่อเดือนตุลาคม 2562 โดยระบุว่าพบการใช้ช่องโหว่นี้โจมตีจริงแล้ว
ทั้งนี้ ทางสำนักข่าวฯ ยังได้ให้ข้อมูลเพิ่มเติมด้วยว่า กลุ่มแฮกเกอร์ชื่อ Tick (หรือ Bronze Butler) ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลของบางประเทศอาจอยู่เบื้องหลังการโจมตีในครั้งนี้ด้วย อย่างไรก็ตาม ข้อมูล log หลายส่วนถูกลบไปแล้วจึงอาจไม่สามารถยืนยันความชัดเจนในเรื่องนี้ได้
กรณีศึกษานี้เป็นเรื่องของการโจมตีช่องโหว่ประเภท 0-day ซึ่งเป็นช่องโหว่ที่ถูกค้นพบแล้วแต่ยังไม่มีแพตช์ การจะตรวจจับ (detect) ว่าระบบถูกโจมตีหรือไม่นั้นอาจทำได้ยากเนื่องจากข้อมูลรายละเอียดของช่องโหว่นั้นยังไม่ถูกเปิดเผย หนึ่งในวิธีที่เป็นไปได้ในการตรวจจับการโจมตีในลักษณะนี้คือการเฝ้าระวังและสังเกตความผิดปกติในระบบ ซึ่งในกรณีนี้คือการค้นพบว่ามีไฟล์น่าสงสัยปรากฎอยู่บนเซิร์ฟเวอร์ ซึ่งทำให้ทางบริษัทสามารถดำเนินการตรวจพิสูจน์และยับยั้งความเสียหายได้ถึงแม้จะยังไม่มีแพตช์แก้ไขช่องโหว่อย่างเป็นทางการจากทางผู้พัฒนาก็ตาม หลังจากที่ตรวจพบแล้วว่าระบบถูกโจมตีก็จะเข้าสู่ขั้นตอนของการรายงานเหตุ (reporting) และการประเมินความเสียหาย (assessment) ซึ่งก็จะช่วยให้สามารถวิเคราะห์ขอบเขตของระบบหรือข้อมูลที่ได้รับผลกระทบเพื่อแจ้งเตือนและประสานไปยังหน่วยงานที่เกี่ยวข้องได้ (เช่น ในกรณีนี้คือส่วนงานภายใน บริษัทคู่ค้า และหน่วยงานภาครัฐที่รับผิดชอบด้านการรับแจ้งและประสานงานภัยคุกคามทางไซเบอร์)
————————————————-
ที่มา : ThaiCERT / 27 มกราคม 2563
Link : https://www.thaicert.or.th/newsbite/
