--> "จาก XZ สู่ Crowdstrike" – Kaspersky ชี้ผลกระทบที่จะเกิดหลังการโจมตี Supplychain | NextTopBrand

Value Content$type=grid$count=9$meta=0$sn=0$rm=0$hide=post

"จาก XZ สู่ Crowdstrike" – Kaspersky ชี้ผลกระทบที่จะเกิดหลังการโจมตี Supplychain



โลกาภิวัตน์และการเปลี่ยนแปลงทางดิจิทัล (globalisation and digitalisation) ทำให้เศรษฐกิจโลกหลายๆ ด้านต้องพึ่งพาเทคโนโลยีอย่างมาก เช่น สมาร์ทโฟน โน้ตบุ๊ก จำเป็นต้องมีซอฟต์แวร์และการอัปเดตความปลอดภัยเป็นประจำจากผู้ผลิต เนื่องด้วยหน่วยงาน ทรัพยากร สินค้าและบริการ รวมตัวกันเป็นเครือข่ายที่ซับซ้อน ก่อให้เกิดโครงข่ายซัพพลายเชนที่ช่วยสนับสนุนการค้าระหว่างประเทศ การเดินทาง และการพาณิชย์ดังที่เราเห็นในปัจจุบัน

บริษัทผู้ให้บริการจะได้รับความไว้วางใจในระดับหนึ่งที่ในการส่งการอัปเดตซอฟต์แวร์ไปยังอุปกรณ์ โดยไม่มีมัลแวร์และเกิดข้อผิดพลาดใดๆ ระดับความไว้วางใจโดยนัยนี้ ทำให้การโจมตีซัพพลายเชนเป็นโอกาสที่ดึงดูดผู้ก่อภัยคุกคาม เมื่อเข้าถึงโครงสร้างพื้นฐานของผู้ผลิต ผู้ก่อภัยคุกคามจะสามารถแทรกมัลแวร์เข้าไปในการอัปเดตซอฟต์แวร์ที่ถูกต้อง ซึ่งเป็นหนึ่งในแนวทางการโจมตีที่มีประสิทธิภาพและอันตรายที่สุดเท่าที่จะเป็นไปได้

เวกเตอร์การโจมตีนี้ไม่ใช่แนวคิดใหม่ ดังเห็นได้จากเหตุการณ์อย่าง ShadowPad, CCleaner และ ShadowHammer ซึ่งแสดงให้เห็นว่าผู้โจมตีสามารถเข้าถึงเน็ตเวิร์กที่ได้รับการปกป้องมากที่สุดได้ อย่างไรก็ตาม เหตุการณ์ Crowdstrike ที่เกิดเมื่อเร็ว ๆ นี้แสดงให้เห็นถึงความสำคัญของซัพพลายเชน และผลกระทบในระดับที่ไม่เคยเกิดขึ้นมาก่อนเมื่อมีข้อผิดพลาด ทำให้เกิดคำถามเกี่ยวกับการป้องกันที่เปราะบางของซัพพลายเชนและผู้ใช้ที่พึ่งพาซัพพลายเชน


Crowdstrike - วันที่โลกหยุดนิ่ง

เศรษฐกิจโลกต้องหยุดชะงักลง เริ่มตั้งแต่วันศุกร์ที่ 19 กรกฎาคม 2024 เวลา 04:09 UTC เป็นระยะเวลาประมาณสองถึงสามวัน ซึ่งเกิดจากการอัปเดตการกำหนดค่าเนื้อหาโดย CrowdStrike บริษัทรักษาความปลอดภัยไซเบอร์ในสหรัฐฯ ซึ่งเป็นบริษัทหนึ่งในไม่กี่บริษัทที่มีสิทธิ์เคอร์เนล (kernel) สำหรับระบบปฏิบัติการวินโดวส์



นายวิทาลี คัมลุค ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) แคสเปอร์สกี้ กล่าวว่า “การอัปเดตการกำหนดค่าของ Crowdstrike ควรดำเนินการเป็นกิจวัตร เป็นการอัปเดตกลไกการป้องกันของแพลตฟอร์ม Falcon เป็นประจำ การรับข้อมูลเทเลมิทรี และการตรวจจับเทคนิคของภัยคุกคามใหม่ๆ ที่เป็นไปได้บนแพลตฟอร์มวินโดวส์ หากแต่การอัปเดตครั้งนี้ส่งผลให้เกิดการรีบูตเครื่องวินโดวส์มากกว่า 8.5 ล้านเครื่องทั่วโลกอย่างไม่สิ้นสุด”

จากรายงานที่ปรากฏในสื่อ โครงสร้างพื้นฐานที่สำคัญ เช่น โรงพยาบาล ธนาคาร สายการบิน และอื่นๆ รวมถึงโครงสร้างพื้นฐานที่สำคัญของรัฐบาล เช่น NASA ของสหรัฐอเมริกา คณะกรรมาธิการการค้าของรัฐบาลกลาง สำนักบริหารความมั่นคงทางนิวเคลียร์แห่งชาติ ศูนย์บริการเหตุฉุกเฉินทางโทรศัพท์ 911 เว็บไซต์ของรัฐบาลฟิลิปปินส์ และอื่นๆ อีกมากที่ใช้ระบบวินโดวส์ ซึ่งได้รับการปกป้องโดย Crowdstrike ต่างก็ได้รับผลกระทบจากการอัปเดตที่ผิดพลาดและไม่สามารถดำเนินงานต่อได้ ถือว่าเป็นเหตุการณ์ที่เลวร้ายที่สุดในประวัติศาสตร์ ด้วยความเสียหายทางการเงินจำนวนมหาศาลอย่างที่ไม่เคยเกิดขึ้นมาก่อน

ระบบที่ได้รับผลกระทบ ได้แก่ โฮสต์วินโดวส์ที่ใช้เซ็นเซอร์เวอร์ชัน 7.11 ขึ้นไป ซึ่งออนไลน์ระหว่างวันศุกร์ที่ 19 กรกฎาคม 2024 เวลา 04:09 น. UTC ถึงวันศุกร์ที่ 19 กรกฎาคม 2024 เวลา 05:27 น. UTC และได้รับการอัปเดตแล้ว แต่โฮสต์ของ Mac และ Linux ไม่ได้รับผลกระทบ ท้ายที่สุดแล้ว เหตุการณ์นี้ไม่ได้เกิดจากการโจมตี APT ใดๆ แต่เป็นการอัปเดตซอฟต์แวร์ที่ผิดพลาด ซึ่งแสดงให้เห็นผลพวงที่อาจเกิดขึ้นเมื่อซัพพลายเชนที่ดำเนินการอย่างสมบูรณ์แบบถูกโจมตี อย่างไรก็ตาม นี่ไม่ใช่เหตุการณ์แรกของความล้มเหลวของซัพพลายเชน ก่อนหน้านี้ก็มีเหตุการณ์อย่างการลุกร้ำไลบรารี Linux XZ

Linux XZ - หมาป่าในชุดแกะถูกเปิดเผย

ในช่วงต้นปี 2024 โปรเจ็กต์ Linux XZ Utils ชุดเครื่องมือ command-line บีบอัดข้อมูลและไลบรารีฟรีถูกโจมตีในลักษณะซัพพลายเชน การโจมตีนี้ใช้แบ็คดอร์ที่ซับซ้อนและมีความช่ำชองสูง ปกปิดและซ่อนตัวไว้อย่างเชี่ยวชาญ เพื่อเชื่อมโยงและขัดขวาง OpenSSH ซึ่งเป็นการใช้งาน Secure Shell (SSH) แบ็คดอร์นี้ได้เปิดใช้งานการเข้าถึงที่ไม่ได้รับอนุญาต SSH ยังเป็นโปรโตคอลเครือข่ายการเข้ารหัสเพื่อใช้งานอุปกรณ์อย่างปลอดภัย รวมถึงเซิร์ฟเวอร์องค์กร อุปกรณ์ IoT เราเตอร์เน็ตเวิร์ก อุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเน็ตเวิร์ก และอื่น ๆ

ปัจจุบัน เครื่องใช้ไฟฟ้าภายในบ้านหลายสิบล้านเครื่องที่เชื่อมต่อกับ Internet of Things (IoT) เซิร์ฟเวอร์ ศูนย์ข้อมูล และอุปกรณ์เน็ตเวิร์กหลายล้านเครื่องต้องพึ่งพา SSH ซึ่งอาจนำไปสู่หายนะที่อาจจะทำให้เกิดเหตุการณ์คล้าย Crowdstrike ได้ Red Hat บริษัทซอฟต์แวร์โอเพ่นซอร์สตั้งข้อสังเกตว่า ฐานข้อมูลช่องโหว่แห่งชาติ NIST ได้ติดตามเหตุการณ์นี้ในชื่อ CVE-2024-30942 ด้วยคะแนนความรุนแรงสูงสุดที่ 10 คะแนน แสดงถึงศักยภาพในการใช้ประโยชน์จากผู้ก่อภัยคุกคามที่เป็นอันตราย

การวิเคราะห์ทางนิติเวชเปิดเผยว่าเป็นการกระทำโดยผู้ใช้ GitHub ที่มีชื่อผู้ใช้ JiaT75 หรือที่รู้จักในชื่อ 'Jia Cheong Tan' ซึ่งเข้าร่วมทีมงานโครงการ XZ Utils และมีส่วนร่วมในโครงการ XZ ตั้งแต่ปี 2021 คาดเดาว่าตัวตนของ JiaT75 อาจเป็นภัยคุกคามหลายรายที่ทำงานผ่านแอคเคาต์เดียว โดยแอคเคาต์ดังกล่าวใช้ VPN ของสิงคโปร์และอยู่ในเขตเวลา UTC+8

JiaT75 ปฏิบัติการแบบหมาป่าในชุดแกะ คือสร้างความไว้วางใจ พบปะกับผู้ร่วมโปรเจ็กต์ และเสนอความช่วยเหลือเชิงบวกเพื่อให้ได้รับการควบคุมรักษาไฟล์ที่เก็บถาวรของโปรเจ็กต์ XZ และได้รับสิทธิพิเศษในการรวมคอมมิต พบว่า XZ/libzma build ถูกแก้ไขและปิดบังด้วยชุดคำสั่งที่ซับซ้อน กลายเป็นการพึ่งพา SSH บนระบบปฏิบัติการบางระบบ ทำให้สามารถเข้าถึงระบบที่ติดมัลแวร์ได้อย่างอิสระ

โชคดีที่เหตุการณ์นี้ถูกตรวจพบได้ทันเวลาและมีการวิจัยอย่างต่อเนื่อง แต่วิศวกรรมสังคมร่วมกับลักษณะของซอฟต์แวร์โอเพ่นซอร์สยังคงเป็นอีกช่องทางในการโจมตีซัพพลายเชน

ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ทำการวิเคราะห์กรณีนี้อย่างครอบคลุม ซึ่งรวมถึงการตรวจสอบกลยุทธ์วิศวกรรมสังคมที่เกี่ยวข้อง

ภาพรวมภัยคุกคามเป็นลางบอกเหตุสำหรับอนาคตที่ผสานกับ AI เป็นอย่างไร

AI กำลังผสานเข้ากับสังคมมากขึ้นเรื่อยๆ โดยมีการใช้ AI หลายด้านเพื่อเพิ่มประสิทธิภาพโครงสร้างพื้นฐานในเมืองอัจฉริยะ ยกระดับการดูแลสุขภาพ การศึกษา การเกษตร และอื่นๆ เทคโนโลยี AI ก็มีข้อผิดพลาดเช่นเดียวกับเทคโนโลยีอื่นๆ เพราะเป็นโมเดลการเรียนรู้และการฝึกสร้างข้อมูล และอาจตกเป็นเป้าหมายการโจมตีของซัพพลายเชนโดยการใส่อินพุตที่เป็นอันตราย

นายวิทาลีกล่าวเสริมว่า “แนวทางการโจมตีซัพพลายเชนที่เป็นไปได้บน AI คือการจัดการข้อมูลการฝึกอบรมและนำช่องโหว่มาสู่โมเดล AI หรือแก้ไขโมเดล AI ด้วยเวอร์ชันที่ถูกปรับเปลี่ยนเพื่อสร้างผลลัพธ์ที่ไม่ถูกต้อง พฤติกรรมดังกล่าวอาจตรวจจับได้ยาก ส่งผลให้ไม่มีใครสังเกตกิจกรรมอันตรายเป็นระยะเวลานาน”

สำหรับภัยคุกคาม APT ที่ดำเนินการระยะยาว การโจมตีซัพพลายเชนสามารถรอเป้าหมายที่เหมาะสมอย่างเงียบๆ ขณะเดียวกันก็อาจปกปิดเพย์โหลดของมัลแวร์ ซ่อนตัวเป็นไฟล์ที่ถูกต้อง และวางเครื่องมือเพิ่มเติมภายในโครงสร้างพื้นฐานของบริษัทที่น่าเชื่อถือ เพื่ออำนวยความสะดวกในการเข้าถึงระดับที่สูงขึ้นหรือเข้าถึงระบบเต็มรูปแบบได้ ที่แย่กว่านั้นคือความเป็นไปได้ในระยะยาวที่บั๊กหรือข้อบกพร่องจะถูกนำมาใช้ในการโจมตีซัพพลายเชนที่เน้นไปที่ AI ซึ่งจะทำให้ความสามารถและคุณภาพลดลงเมื่อเวลาผ่านไป เทียบได้กับระเบิดเวลาที่จะส่งผลกระทบต่อระบบสำคัญที่มีความสำคัญอย่างยิ่งหรือมีขอบเขตเป็นวงกว้าง

AI แบบจำลองภาษาขนาดใหญ่ (LLM) ที่พร้อมใช้งาน เช่น ChatGPT, CoPilot และ Gemini สามารถถูกใช้ในการสร้างการโจมตีแบบสเปียร์ฟิชชิงที่ดูน่าเชื่อถือ ในขณะที่ AI deepfakes สามารถใช้เลียนแบบบุคคลสำคัญได้ ซึ่งส่งผลเสียอย่างเช่นกรณีที่ผู้ก่อภัยคุกคามเลียนแบบภาพของประธานเจ้าหน้าที่ฝ่ายการเงินของบริษัทหนึ่งในฮ่องกงเพื่อเบิกจ่ายเงิน ทำให้สูญเสียเงินถึง 25 ล้านดอลลาร์สหรัฐ

ผู้เชี่ยวชาญที่ศูนย์วิจัยเทคโนโลยี AI ของแคสเปอร์สกี้เป็นผู้นำด้านการนำ AI มาประยุกต์ใช้กับความปลอดภัยไซเบอร์และพัฒนา Ethical AI ยาวนานเกือบสองทศวรรษ ความเชี่ยวชาญนี้ถูกรวมเข้ากับผลิตภัณฑ์ต่างๆ ของแคสเปอร์สกี้ ปรับปรุงทุกสิ่งตั้งแต่การตรวจจับภัยคุกคามที่เสริมด้วย AI และการจัดลำดับความสำคัญของการแจ้งเตือน ไปจนถึงคลังข้อมูลภัยคุกคามที่ขับเคลื่อนโดย Generative AI

นายวิทาลีกล่าวว่า “เพื่อจัดการกับภูมิทัศน์ภัยคุกคามที่อาจเกิดขึ้นจากการโจมตีซัพพลายเชน องค์กรต่างๆ จึงมีกลยุทธ์อื่นๆ ที่นอกเหนือจากแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีที่สุด นอกจากนี้องค์กรยังจำเป็นต้องดำเนินกลยุทธ์การจัดการและบรรเทาผลกระทบที่อาจเกิดขึ้นจากการโจมตีซัพพลายเชนในโครงสร้างพื้นฐานขององค์กร”

กลยุทธ์ต่าง ๆ ได้แก่ การทดสอบอย่างเข้มงวดก่อนเริ่มใช้งานจริง ความสมบูรณ์ของทูล การควบคุมการผลิตที่เข้มงวด หมายเลขเวอร์ชันของโมเดล และการตรวจสอบความถูกต้องของโมเดล เพื่อติดตามการเปลี่ยนแปลง การตรวจสอบความผิดปกติอย่างต่อเนื่อง ลายเซ็นดิจิทัลสำหรับบิวด์ และการตรวจสอบความปลอดภัยเป็นประจำ

สามารถอ่านข้อมูลเพิ่มเติมได้ที่ http://kaspersky.com

COMMENTS

ชื่อ

$type=slider,2,Audio Video,288,Audio Visual,193,automotive,308,beauty,3,Business,238,CSR,28,Economic,8,Electronics,86,Entertainment,151,EV,113,FinTech,127,Food,105,Gallery,2,Health & Beauty,91,Home Appliance,130,InsurTech,13,Interview,4,IT & DeepTech,782,Lifestyle,268,Marketing,167,Mobile Device,1189,Motorbike,34,PR News,335,PropTech,53,Real Estate,298,Review,110,Sports,3,Telecom,211,Travel,6,
ltr
item
NextTopBrand: "จาก XZ สู่ Crowdstrike" – Kaspersky ชี้ผลกระทบที่จะเกิดหลังการโจมตี Supplychain
"จาก XZ สู่ Crowdstrike" – Kaspersky ชี้ผลกระทบที่จะเกิดหลังการโจมตี Supplychain
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ5lhQb8vMl8r5mN8GsjNk2fCpk-Wohi6Tpg7-8Z6Yp5xP7zHnlWLjK_rdCpkX6ZvNd37E6NeJOpCdNMD2YaadDY-V6t-UM1TJsKUttMCuSRmFxC8FSX6Y6dM50gMQDNCtVa6vC_d3eRfVV7nWj4LeuIagvTdiGDA2_rRNycyyPCUbMZC5l8OYd3j7dVk/s16000/XZ_1.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ5lhQb8vMl8r5mN8GsjNk2fCpk-Wohi6Tpg7-8Z6Yp5xP7zHnlWLjK_rdCpkX6ZvNd37E6NeJOpCdNMD2YaadDY-V6t-UM1TJsKUttMCuSRmFxC8FSX6Y6dM50gMQDNCtVa6vC_d3eRfVV7nWj4LeuIagvTdiGDA2_rRNycyyPCUbMZC5l8OYd3j7dVk/s72-c/XZ_1.jpg
NextTopBrand
https://www.nexttopbrand.com/2024/08/xz-crowdstrike-kaspersky-supplychain.html
https://www.nexttopbrand.com/
https://www.nexttopbrand.com/
https://www.nexttopbrand.com/2024/08/xz-crowdstrike-kaspersky-supplychain.html
true
673143005888157321
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy