Tag Archives: ความปลอดภัยไซเบอร์

Zoom งานงอก! นักแฮกเร่ขายล็อกอิน 5 แสนชื่อ ตกชื่อละไม่ถึง 25 สตางค์

5 แสนชื่อก็เทียบเท่ากับครึ่งล้านรายทีเดียว สำหรับซูม (Zoom) เครื่องมือสำคัญที่ชาวโลกบางส่วนเลือกใช้ประชุมงานออนไลน์ขณะต้องทำงานอยู่บ้านในช่วงสกัดกั้นโควิด-19 ล่าสุดแอปพลิเคชันประชุมผ่านวิดีโอตกอยู่ในที่นั่งลำบากอีกครั้ง เพราะมีการพบว่านักแฮกสามารถรวบรวมข้อมูลล็อกอินสำหรับการเข้าใช้งานระบบ ออกมาจำหน่ายบนเว็บไซต์ใต้ดินได้มากกว่า 5 แสนบัญชี โดยตั้งราคาไว้ต่ำมากจนเฉลี่ยแล้วตกชื่อละ 1 เพนนี คิดเป็นมูลค่าไม่ถึง 25 สตางค์ต่อล็อกอิน ที่ผ่านมา Zoom ซึ่งกลายเป็นหนึ่งในเครื่องมือสำคัญของโลกยุคโควิด-19 นั้นถูกถกเถียงกันมากเรื่องความเป็นส่วนตัวและการรักษาความปลอดภัยที่มีช่องโหว่ แน่นอนว่า Zoom พยายามดำเนินการแก้ไขอย่างรวดเร็วเพื่อจัดการกับคำวิจารณ์มากมาย แต่ขณะนี้มีข่าวว่าในตลาดมือเริ่มมีการซื้อขายข้อมูลผู้ใช้ Zoom บนราคาต่ำมากจนมีโอกาสที่จะถูกนำไปใช้กว้างขวางตามอำเภอใจ ผู้ค้นพบการขายข้อมูลล็อกอิน Zoom คือบริษัทไซเบอร์ซีเคียวริตี้ชื่อไซเบิล (Cyble) พบว่าบนเว็บไซต์สังคมนักแฮกมีการประกาศขายข้อมูลล็อกอินเข้าสู่ระบบบัญชี Zoom มากกว่า 500,000 รายการ สนนราคาต่อล็อกอินเพียง 0.002 เหรียญ ซึ่งในบางกรณี ข้อมูลล็อกอินเข้าสู่ระบบเหล่านี้อาจเปิดแจกฟรีก็ได้ ข้อมูลล็อกอินเพื่อเข้าสู่ระบบแต่ละบัญชีประกอบด้วยอีเมลแอดเดรส รหัสผ่าน URL การประชุมส่วนบุคคล และรหัสโฮสต์หรือ host key ทั้งหมดเป็นสิ่งที่นักแฮกต้องการสำหรับภารกิจขโมยข้อมูลสำคัญในการประชุมออนไลน์ของบางบุคคลหรือบางบริษัท Cyble ยืนยันว่าข้อมูลล็อกอินที่ถูกวางจำหน่ายไม่ได้แปลว่าระบบของ Zoom ถูกแฮก แต่นักแฮกตัวร้ายรวบรวมข้อมูลการเข้าสู่ระบบ Zoom โดยใช้การโจมตี…

ภาพรวมเทคนิคการโจมตีโดยกลุ่ม APT ที่ใช้เรื่อง COVID-19 เป็นตัวล่อ

บริษัท Malwarebytes ได้เผยแพร่รายงาน threat intelligence ประจำเดือนเมษายน 2563 โดยเป็นการรวบรวมและวิเคราะห์ข้อมูลการโจมตีโดยกลุ่ม APT (Advanced Persistent Threat) ที่อาศัยเรื่องไวรัสโคโรน่าหรือ COVID-19 เป็นช่องทางในการหลอกล่อ ทั้งนี้ในรายงานฉบับดังกล่าวมีข้อมูลของกลุ่ม APT ที่มุ่งเป้าโจมตีหน่วยงานในประเทศไทยด้วย การโจมตีแบบ APT คือการใช้เทคนิคขั้นสูงเพื่อเจาะเข้ามาฝังตัวอยู่ในระบบเป็นเวลานาน โดยในขั้นตอนแรก ๆ ของการโจมตีมักใช้วิธีเจาะระบบผ่านช่องโหว่ หรือหลอกล่อให้บุคคลภายในหลงเชื่อเปิดไฟล์มัลแวร์ที่เปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาในระบบได้ ตัวอย่างเทคนิคการโจมตีที่พบ เช่น ส่งไฟล์ Microsoft Office ที่อ้างว่าเป็นข้อมูลการรับมือ COVID-19 โดยไฟล์เอกสารดังกล่าวมีสคริปต์ Macro ฝังอยู่ หากอนุญาตให้สคริปต์ทำงาน มัลแวร์ก็จะถูกดาวน์โหลดมาติดตั้งลงในเครื่อง เป็นต้น นอกจากนี้ยังพบการโจมตีผ่านช่องโหว่ของการประมวลผลไฟล์ RTF หรือฝังคำสั่งอันตรายมาในไฟล์ LNK เป็นต้น ซึ่งช่องทางเหล่านี้อาจถูกใช้เพื่อติดตั้งมัลแวร์หรือเปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ในภายหลัง ในรายงานของ Malwarebytes ระบุว่ากลุ่ม APT ที่มุ่งเป้าโจมตีประเทศไทยนั้นมีทั้งหมด 2 กลุ่ม ประกอบด้วย Ocean Lotus และ…

รวมข้อมูลประเด็นความมั่นคงปลอดภัยและความเป็นส่วนตัวของโปรแกรม Zoom

Zoom เป็นโปรแกรมประเภท video conference ที่ได้รับความนิยมเพิ่มมากขึ้นเนื่องจากเหตุการณ์ไวรัสโคโรน่าหรือ COVID-19 แพร่ระบาด ทำให้หลายองค์กรต้องปรับรูปแบบการทำงานให้รองรับการประชุมจากนอกสถานที่ หรือสถาบันการศึกษาหลายแห่งต้องปรับรูปแบบการเรียนการสอนมาเป็นจากระยะไกลแทน อย่างไรก็ตาม หลายฝ่ายได้มีความกังวลต่อประเด็นความมั่นคงปลอดภัยและความเป็นส่วนตัวของการใช้งานโปรแกรม Zoom เนื่องจากมีการรายงานช่องโหว่และพฤติกรรมการทำงานในบางจุดที่อาจก่อให้เกิดข้อกังวลดังกล่าว ไทยเซิร์ตได้รวบรวมข้อมูลประเด็นที่เกี่ยวข้องซึ่งสามารถสรุปได้ดังนี้ ประเด็นด้านความมั่นคงปลอดภัย ตัวติดตั้งของโปรแกรม Zoom เวอร์ชัน Mac มีการเรียกใช้สคริปต์บางอย่างในสิทธิ์ระดับสูง ซึ่งอาจก่อให้เกิดอันตรายกับระบบได้ ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง) โปรแกรม Zoom เวอร์ชัน Windows มีช่องโหว่ที่อาจถูกขโมยรหัสผ่านบัญชีได้ด้วยการหลอกให้คลิกลิงก์ ส่วนเวอร์ชัน Mac มีช่องโหว่ที่อาจถูกดักฟังได้ด้วยการหลอกให้เข้าเว็บไซต์อันตราย ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง) รูปแบบการรับส่งข้อมูลภาพและเสียงในระหว่างที่มีการทำ video conference นั้นไม่ได้ใช้วิธีเข้ารหัสลับข้อมูลในรูปแบบ end-to-end (ต้นทางจนถึงปลายทาง) ซึ่งอาจถูกผู้ไม่หวังดีดักฟังการประชุมได้ ทาง Zoom ยอมรับว่ามีประเด็นนี้จริง ยังไม่มีรายละเอียดว่าจะปรับปรุงในเรื่องนี้หรือไม่ แต่ก็ได้ให้ข้อมูลเพิ่มเติมว่าข้อมูลที่รับส่งระหว่างเครื่องของผู้ใช้กับเซิร์ฟเวอร์ของ Zoom นั้นมีการเข้ารหัสลับข้อมูลแล้ว (อ้างอิง) รูปแบบของอัลกอริทึมที่ใช้เข้ารหัสลับข้อมูลนั้นมีความเสี่ยงที่อาจถูกโจมตีได้ง่าย (ECB mode)…

ไต้หวันห้ามหน่วยงานรัฐใช้ “ซูม” จากความกังวลเรื่องความปลอดภัย

รัฐบาลไต้หวันแนะนำให้หน่วยงานรัฐบาลไต้หวันยุติการใช้งานแอพประชุมผ่านวิดีโอออนไลน์ของบริษัท Zoom Video Communications เนื่องจากความกังวลเรื่องความปลอดภัยและความเป็นส่วนตัว แถลงการณ์ของคณะรัฐมนตรีไต้หวัน ระบุว่า หากหน่วยงานใดต้องการประชุมผ่านวิดีโอออนไลน์ให้หลีกเลี่ยงแอพของบริษัทที่มีปัญหาด้านความปลอดภัย เช่น Zoom ขณะที่กระทรวงศึกษาธิการไต้หวัน ยืนยันว่าได้สั่งห้ามใช้ Zoom สำหรับการเรียนการสอนออนไลน์แล้ว ผู้ใช้แอพ Zoom มีจำนวนเพิ่มขึ้นเป็นมากกว่า 200 ล้านคนตั้งแต่เดือนมีนาคม หลังจากที่คนทำงานจำนวนมากต้องทำงานจากบ้าน และนักเรียนต้องเรียนผ่านวิดีโอออนไลน์ แต่บริษัท Zoom กำลังถูกวิจารณ์อย่างหนักจากผู้ใช้ จากการที่ไม่มีระบบเข้ารหัสการประชุมแต่ละครั้ง รวมทั้งเหตุการณ์ที่เรียกว่า “zoombombing” หรือการที่มีแขกที่ไม่ได้รับเชิญปรากฎตัวออกมาระหว่างการประชุมออนไลน์ เป็นต้น รัฐบาลไต้หวันถือเป็นประเทศแรกที่แนะนำอย่างเป็นทางการให้หลีกเลี่ยงการใช้ Zoom ขณะที่ FBI ของสหรัฐฯ ก็มีคำเตือนให้ระวังการใช้แอพนี้เช่นกัน เมื่อไม่กี่วันก่อน เอริค หยวน ซีอีโอ ของ Zoom Video Communications Inc. กล่าวว่า ทีมงานของบริษัทกำลังพยายามแก้ไขสถานการณ์เพื่อฟื้นฟูชื่อเสียงของ Zoom ความนิยมของ Zoom ในช่วงวิกฤติโควิด-19 นี้ นอกจากสำหรับการประชุมทีมงานและการอบรมแบบออนไลน์แล้ว ผู้ใช้งานยังใช้แพลตฟอร์มนี้เพื่อกิจกรรมนันทนาการอื่น ๆ เช่น…

พบช่องโหว่ในแอปพลิเคชัน SuperVPN บน Android อาจถูกดักฟังข้อมูลได้ ทาง Google ถอดออกจาก Play Store แล้ว ผู้ใช้ควรตรวจสอบ

SuperVPN เป็นโปรแกรมประเภท VPN Client ที่เปิดให้สามารถดาวน์โหลดไปใช้งานได้ฟรี โดยตัวแอปพลิเคชันเวอร์ชัน Android มียอดดาวน์โหลดรวมแล้วกว่า 100 ล้านครั้ง เมื่อเดือนกุมภาพันธ์ 2563 ทีมนักวิจัยจากบริษัท VPNPro ได้ตรวจวิเคราะห์ความมั่นคงปลอดภัยของแอปพลิเคชันประเภท VPN ที่มีให้ดาวน์โหลดใน Google Play Store โดยพบแอปพลิเคชัน VPN ฟรีจำนวน 10 รายการ (รวม SuperVPN ด้วย) ในกลุ่มแอปพลิเคชัน VPN ที่ได้รับความนิยมและมียอดดาวน์โหลดสูงสุด มีช่องโหว่ด้านความมั่นคงปลอดภัยในลักษณะ Man-in-the-Middle ที่อาจทำให้ผู้ใช้ถูกดักฟังข้อมูลที่รับส่งหรือถูกเปลี่ยนเส้นทางการเชื่อมต่อเพื่อพาไปยังเว็บไซต์อันตรายได้ ตัวอย่างปัญหาที่พบ เช่น พบการฝังกุญแจสำหรับเข้าและถอดรหัสลับข้อมูลไว้ในโค้ดของตัวโปรแกรมโดยตรง ซึ่งหลังจากที่มีการเผยแพร่รายงานดังกล่าว ทาง Google ก็ได้ถอดแอปพลิเคชัน VPN หลายรายการออกจาก Play Store เพื่อให้ผู้พัฒนาได้ปรับปรุงแก้ไข แต่แอปพลิเคชัน SuperVPN นั้นยังคงอยู่ เมื่อวันที่ 7 เมษายน 2563 ทาง VPNPro…

ระวังภัย พบการโจมตีอุปกรณ์ IoT เพื่อฝังบอทเน็ต dark_nexus ในไทยตกเป็นเหยื่อไม่ต่ำกว่า 172 เครื่อง

ข้อมูลทั่วไป เมื่อวันที่ 8 เมษายน 2563 บริษัท Bitdefender ได้แจ้งเตือนการโจมตีอุปกรณ์ IoT (Internet of Things) เพื่อฝังมัลแวร์ชื่อ dark_nexus ซึ่งเป็นมัลแวร์ประเภทบอทเน็ต (botnet) ที่เปิดช่องทางให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุมและสั่งการอุปกรณ์ที่ตกเป็นเหยื่อเพื่อใช้ในการโจมตีทางไซเบอร์ได้ เช่น สั่งการให้อุปกรณ์จำนวนมากเชื่อมต่อไปยังคอมพิวเตอร์ปลายทางในเวลาเดียวกัน จุดประสงค์เพื่อทำให้ระบบดังกล่าวไม่สามารถให้บริการได้ (เป็นรูปแบบการโจมตีประเภท DDoS หรือ Distributed Denial of Service) ทั้งนี้ ทาง Bitdefender พบว่าจุดประสงค์ของการแพร่กระจายมัลแวร์ในครั้งนี้คือเพื่อรับจ้างโจมตีแบบ DDoS (DDoS-for-hire service) จากการวิเคราะห์ของทีม Bitdefender พบว่ามัลแวร์ dark_nexus น่าจะถูกพัฒนาต่อยอดมาจากมัลแวร์ Qbot และ Mirai ซึ่งเป็นมัลแวร์ที่เคยถูกใช้เพื่อโจมตีอุปกรณ์ IoT มาแล้วก่อนหน้านี้ เนื่องจากพบโค้ดและโมดูลหลายส่วนที่ใกล้เคียงกับมัลแวร์ก่อนหน้า ช่องทางการโจมตี มีทั้งอาศัยช่องโหว่ของตัวอุปกรณ์และอาศัยการเดารหัสผ่านสำหรับเข้าถึงการตั้งค่า จากข้อมูลของ Bitdefender พบว่าผู้ประสงค์ร้ายได้ใช้มัลแวร์นี้โจมตีอุปกรณ์ IoT ไปแล้วทั่วโลก โดยในประเทศไทยมีอุปกรณ์ที่ได้ตกเป็นเหยื่อแล้วอย่างน้อย 172…