Retool บริษัทพัฒนาซอฟต์แวร์ธุรกิจของสหรัฐรายงานว่า ลูกค้าในระบบคลาวด์จำนวน 27 รายได้รับผลกระทบจากกระบวนการลักลอบเข้าสู่บัญชีโดยไม่ได้รับอนุญาต ซึ่งกระบวนการดังกล่าวได้เริ่มขึ้นจากการส่งข้อความหลอกลวง (SMS phishing) เพื่อล้วงรายละเอียดข้อมูลการล็อกอินจากพนักงานของ Retool จนสามารถเข้าสู่ระบบภายในของบริษัทได้ และหลังจากนั้นผู้โจมตีก็สามารถเข้าควบคุมบัญชีของลูกค้าได้ซึ่งทั้งหมดเป็นบริษัทด้านคริปโทเคอร์เรนซี
Retool ได้เปิดเผยเมื่อเร็ว ๆ นี้ว่า ลูกค้าของบริษัทในระบบคลาวด์จำนวน 27 รายได้ตกเป็นเหยื่อของการโจมตีที่เริ่มจากการส่งข้อความหลอกลวงไปยังกลุ่มเป้าหมาย (targeted SMS-based phishing attack) ซึ่งก็คือกลุ่มพนักงานของบริษัท Retool
ทั้งนี้ การที่มีผู้สามารถลักลอบเข้าสู่ระบบภายในของบริษัท Retool ได้นั้น ทำให้เกิดความวิตกเกี่ยวกับความปลอดภัยของฟีเจอร์การซิงค์ข้อมูลกับระบบคลาวด์ โดยเฉพาะอย่างยิ่งฟีเจอร์ในการซิงค์คลาวด์ของแอปพลิเคชันยืนยันตัวตนของกูเกิล (Google Authenticator)
สำหรับกระบวนการโจมตีเพื่อเจาะเข้าสู่ระบบภายในของ Retool เมื่อวันที่ 27 ส.ค.ที่ผ่านมานั้น ได้เริ่มขึ้นจากการที่ผู้ไม่หวังดีได้ส่งข้อความหลอกลวง (SMS phishing) ที่มุ่งเป้าไปที่พนักงานของ Retool โดยผู้โจมตีได้สวมรอยว่าเป็นสมาชิกในทีมไอทีของบริษัท และหลอกให้ผู้รับข้อความคลิกเข้าไปในลิงก์ปลอมที่ส่งมาพร้อมกับข้อความ ซึ่งใช้แอบอ้างว่าจะช่วยดำเนินการแก้ไขปัญหาที่เกี่ยวข้องกับบัญชีเงินเดือนของพนักงานได้
โชคร้ายที่มีพนักงานคนหนึ่งของ Retool ตกหลุมพรางของการหลอกลวงดังกล่าว และลงเอยด้วยการกดเข้าสู่หน้าล็อกอินปลอมที่มีแบบฟอร์มการยืนยันตัวตนโดยใช้หลายปัจจัย (Multi-Factor Authentication – MFA) ซึ่งทำให้ข้อมูลการเข้าสู่ระบบภายในของพนักงานถูกผู้ไม่หวังดีขโมยไปได้
เมื่อผู้ไม่หวังดีได้รับรายละเอียดการเข้าสู่ระบบของพนักงานแล้ว พวกเขาก็เดินหน้าต่อไปอีกขั้นด้วยการโทรศัพท์มาติดต่อกับพนักงานผู้นั้นโดยตรง และด้วยการใช้เทคโนโลยี Deepfake ขั้นสูง ทำให้ผู้ไม่หวังดีสามารถเลียนแบบเสียงของสมาชิกในทีมไอทีได้อย่างน่าเชื่อถือ และสามารถหลอกให้พนักงานเปิดเผยรหัส MFA ได้ในที่สุด
สถานการณ์ยิ่งเอื้อประโยชน์ให้กับคนร้าย เนื่องจากพนักงานใช้ฟีเจอร์ของ Google Authenticator ในการซิงโครไนซ์กับระบบคลาวด์ ทำให้ผู้โจมตีสามารถเข้าถึงระบบบริหารจัดการภายในของ Retool ได้โดยง่าย และหลังจากนั้น คนร้ายก็สามารถเข้าควบคุมบัญชีลูกค้าของ Retool จำนวน 27 รายซึ่งล้วนอยู่ในอุตสาหกรรมคริปโทเคอร์เรนซี
บริษัทฟอร์เทรส ทรัสต์ (Fortress Trust) ก็เป็นหนึ่งในลูกค้าของ Retool ที่ได้รับผลกระทบ โดยได้รับความเสียหายอย่างหนักจากการถูกขโมยเงินคริปโทฯ ไปประมาณ 15 ล้านดอลลาร์หรือกว่า 500 ล้านบาท
ด้านรัฐบาลสหรัฐได้ออกคำเตือนเกี่ยวกับภัยคุกคามของเทคโนโลยี Deepfake โดยการใช้เทคโนโลยี Deepfake ในการโจมตีบริษัท Retool ในครั้งนี้ได้ทำให้รัฐบาลสหรัฐเกิดความกังวลและได้ประกาศเตือนล่าสุดเกี่ยวกับการใช้เทคโนโลยี Deepfake ในการปลอมแปลงเสียง วิดีโอ และข้อความ เพื่อวัตถุประสงค์ที่เป็นอันตราย เช่น การโจมตีอีเมลธุรกิจ และการหลอกลวงที่เกี่ยวกับคริปโทเคอร์เรนซี
แม้ว่าจะยังไม่รู้ตัวตนของกลุ่มแฮ็กเกอร์ที่โจมตีบริษัท Retool แต่กลยุทธ์ที่ใช้นั้นคล้ายคลึงกับกลุ่มโจมตีทางการเงินที่รู้จักกันในชื่อ Scattered Spider หรือ UNC3944 ซึ่งเป็นที่รู้จักกันดีในด้านเทคนิคการหลอกลวงขั้นเทพ
แมนเดียนท์ (Mandiant) บริษัทรักษาความปลอดภัยทางไซเบอร์ได้แบ่งปันข้อมูลเชิงลึกเกี่ยวกับวิธีการของผู้โจมตี โดยระบุว่า พวกเขาอาจใช้การเข้าถึงสภาพแวดล้อมของเหยื่อเพื่อสนับสนุนการหลอกลวงเหยื่อ โดยอาจจะเป็นการสร้างโดเมนหลอกลวงใหม่ ๆ ด้วยการใช้ชื่อของระบบภายในของบริษัท
สเนียร์ โคเดช หัวหน้าฝ่ายวิศวกรรมของ Retool ได้เน้นย้ำถึงบทเรียนที่สำคัญของเหตุการณ์นี้ โดยเฉพาะอย่างยิ่งความเสี่ยงในการซิงค์รหัสแบบครั้งเดียว (One Time Password – OTP) กับระบบคลาวด์ ซึ่งจะทำให้ผู้อื่นสามารถเข้าถึงบัญชีของคุณได้ง่ายขึ้น แม้ว่าคุณจะมีระบบยืนยันตัวตนแบบ MFA ก็ตาม
โคเดชหวังว่าการแบ่งปันข้อมูลเกี่ยวกับการโจมตีนี้จะทำให้ทั้งอุตสาหกรรมตระหนักรู้มากขึ้น และช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พัฒนาระบบของพวกเขาให้แข็งแกร่งขึ้น ขณะที่ Retool เองก็กำลังทำงานร่วมกับเจ้าหน้าที่ตำรวจและบริษัทด้านนิติเวชเพื่อสืบสวนเกี่ยวกับการโจมตีนี้
———————————————————————————————————————————————————————————
ที่มา : สำนักข่าวอินโฟเควสท์ / วันที่เผยแพร่ 24 ก.ย.66
Link : https://www.infoquest.co.th/2023/337287