จากช่วงสิ้นเดือนที่ผ่านมา มีข่าวออกมาว่าทาง Mandiant นั้นถูกแฮ็ค ล่าสุดทาง FireEye ได้ออกมากล่าวถึงความคืบหน้าการวิเคราะห์และตรวจสอบเหตุการณ์ดังกล่าวแล้วครับ โดยสรุปออกมาเป็นดังนี้

  • Attacker ไม่ได้เจาะเข้ามาแต่อย่างใด, มีทั้งส่วนการพยายามเจาะและการเข้าถึง network ภายในหลายครั้งแต่ก็เป็นการกระทำที่ไม่สำเร็จ
  • Attacker ไม่ได้เจาะเข้าเครื่องเหยื่อหรือบุคลากรใดๆในบริษัท
  • เราสามารถยืนยันได้ว่า password และ credential ของเหยื่อทั้งในส่วนของ social media และ email account นั้นถูกเปิดเผยไปถึง 8 ครั้งจากที่ 3rd ถูกแฮ็ค (เช่น LinkedIn) ย้อนกลับไปตั้งแต่ปี 2016 หรือก่อนหน้านั้น
  • เหตุการณ์เริ่มตั้งแต่กันยายน 2016 ตัว Attacker ได้ใช้ password และ credential ของเหยื่อในการเข้าถึง online account ต่างๆ รวมถึง LinkedIn, Hotmail และ OneDrive accounts.
  • Attacker ได้เปิดเผย document ของ FireEye 3 ฉบับ ซึ่งได้มาจาก online account ของเหยื่อ
  • ข้อมูล document อื่นๆที่ปล่อยโดย Attacker เป็นข้อมูลที่ถูกให้สามารถเข้าถึงได้ทั่วไป หรือไม่ก็เป็นการ capture screen ที่ทำโดย Attacker
  • Screen Capture หลายๆอันถูกสร้างโดย Attacker และ post online นั้นไม่จริง ไม่ได้เป็นการเข้าถึงและถ่ายจากภายในองค์กรแต่อย่างใด

ตัวเหยื่อเองนั้น support ลูกค้าอยู่จำนวนเล็กน้อยเท่านั้น, ชื่อของเหยื่อทั้ง 2 ที่ถูกเปิดเผยจาก Attacker อยู่ใน email ของเหยื่อ เราเชื่อว่ามีเพียงแค่ลูกค้า 2 เจ้าเท่านั้นที่ได้รับผลกระทบจากเหตุการณ์ความเสียหายครั้งนี้

จากเหตุการณ์นี้เราได้เรียนรู้และมีการปรับปรุงหลายๆอย่างดังนี้

  • เราติดต่อลูกค้าทั้ง 2 หลังจากเหตุการณ์นี้และได้แจ้งข่าว update ตลอดสัปดาห์
  • เรารีบกักขังเครื่องเหยื่อทันที
  • เราทำการเก็บข้อมูลและ review data ที่ทำ forensic จากเครื่องเหยื่อ
  • เราปิดการใช้งาน account ของเหยื่อในระบบของ FireEye ทันที
  • เราทำงานร่วมกับเหยื่อเพื่อจะเอา online account กลับมาควบคุมให้ได้
  • เราทำงานร่วมกับเหยื่อที่จะเพิ่มความปลอดภัยใน online account ต่างๆ รวมถึงการทำ multi-factor authentication ทุกๆจุดที่ทำได้
  • เราได้สื่อสารไปยังพนักงานของ FireEye ทุกคน ไม่ว่าจะด้วยคำพูดหรือการเขียนก็ตาม เพื่อให้เตือนถึงความระแวดระวังและ step ที่จะทำให้ account ของเค้าเหล่านั้นปลอดภัย
  • เราทำงานร่วมกับเหยื่อและ 3rd party ต่างๆเพื่อที่จะเอา log มาทำการ analysis เพิ่มเติม
  • เราทำการ review data ทั้งหมดที่ส่งและรับจาก online account ของเหยื่อ
  • เราทำการ review การยืนยันตัวตนและเข้าถึงของเหยื่อไม่ว่าจะเป็น network ขององค์กร, Single-Sign-On (SSO), Multi-Factor, และ 3rd party account.

การสืบสวนของเรายังคงดำเนินต่อไป ในขณะที่เราไม่คาดหวังจะเจออะไรใหม่ เราจะ update อีกทีเมื่อพบอะไรเพิ่มเติม

Source:: FireEye