Microsoft Detection and Respond Team (DART) ได้ออกรายงานเล่าประสบการณ์จากการเข้าไปแก้ปัญหาให้ลูกค้าที่พบแฮกเกอร์ถึง 6 กลุ่มในเครือข่ายของลูกค้ารายเดียว
Microsoft DART เป็นทีมงานที่จะเข้าช่วยลูกค้าในกรณีพบปัญหาทางไซเบอร์ในเชิงลึก โดยรายงานในครั้งนี้ได้พูดถึงลูกค้ารายใหญ่แห่งหนึ่งที่เครือข่ายถูกโจมตีโดยแฮกเกอร์ถึง 6 กลุ่ม ซึ่งแฮกเกอร์สามารถเข้าไปลอบขโมย Credentials ระดับผู้ดูแล ข้อมูลและอีเมล์ได้นานถึง 243 วัน
ปัญหาโดยสรุปคือ Microsoft พบว่าลูกค้ารายนี้ไม่ได้เปิดใช้ Multi-factor Authentication ซึ่งกว่า 243 วันที่ลูกค้าไม่สามารถไล่แฮกเกอร์ออกไปจากระบบได้จึงเชื้อเชิญให้ทีม DART เข้ามาดู แม้ว่าวันแรกที่เข้ามาทีมงานจะสามารถดีดแฮกเกอร์ออกไปได้หนึ่งกลุ่ม แต่ต้องตะลึงเมื่อพบกับแฮกเกอร์อีก 5 กลุ่มในเครือข่าย
แฮกเกอร์ได้ใช้เทคนิค *Password Spraying กับบัญชีผู้ดูแล Office 365 และจากนั้นก็ไปค้นหา Credentials ในอีเมล์ที่พนักงานแชร์กันมา โดยทีมพบว่าแฮกเกอร์มองหาทรัพย์สินทางปัญญาของบริษัท
ทั้งนี้ Microsoft ได้แนะนำ 5 ขั้นตอนเพื่อช่วยองค์กรป้องกันการโจมตีของคนร้ายแบบ APT เช่นนี้ไว้ประกอบด้วย การใช้ MFA ยกเลิกการใช้วิธีการพิสูจน์ตัวตนแบบเก่าๆ สอนให้พนักงานตอบสนองเหตุการณ์ มี SIEM เพื่อเก็บ Log และจำไว้ว่าแฮกเกอร์อาจใช้เครื่องมือผู้ดูแลปกติเพื่อค้นหาเหยื่อได้
ผู้สนใจสามารถอ่านรายงานเต็มๆ ได้ที่ https://mssecurity.wpengine.com/wp-content/uploads/2020/03/then-there-were-six.pdf
*Password Spraying คือการโจมตีหลายบัญชีพร้อมกันกับรหัสผ่านที่คาดว่าน่าจะถูกใช้บ่อย ซึ่งช่วยสู้มาตรการ Log-out เมื่อ Log-in ผิด ได้ดีกว่าวิธี Brute-forced ที่ทำทีละบัญชี
ขอขอบคุณแหล่งที่มา :
https://www.techtalkthai.com/microsoft-dart-report-experience-one-organize-with-six-hackers/