เอกสาร FOIA เผยการแฮก SolarWinds เปิดเผยอีเมลทั้งหมดของ Treasury.gov
เอกสารที่ได้รับจากการฟ้องร้องตามกฎหมายว่าด้วยเสรีภาพในการเข้าถึงข้อมูล (FOIA) ได้เพิ่มบทใหม่ที่น่ากังวลให้กับเรื่องราวการแฮก SolarWinds ในปี 2020 ตามบันทึกที่เพิ่งปรากฏขึ้น ผู้โจมตีไม่ได้เพียงแค่แทรกซึมเข้าไปในบัญชีจำนวนหนึ่งของกระทรวงการคลังสหรัฐฯ พวกเขาเข้าถึงได้ลึกพอที่จะเปิดเผยทุกที่อยู่อีเมลที่ลงท้ายด้วย treasury.gov ได้ ขอบเขตเต็มรูปแบบของการเปิดเผยข้อมูลภาครัฐจากการแฮก SolarWinds ปรากฏว่ากว้างขวางกว่าที่เจ้าหน้าที่เคยยอมรับต่อสาธารณะ
เอกสาร FOIA เปิดเผยอะไรเกี่ยวกับการเข้าถึงของกระทรวงการคลัง
เมื่อการรั่วไหลของ SolarWinds เริ่มเป็นที่รับรู้ในช่วงปลายปี 2020 คำแถลงของรัฐบาลยอมรับการบุกรุกในภาพรวม แต่ไม่ได้ระบุรายละเอียดว่าผู้โจมตีเจาะลึกเข้าไปในระบบของรัฐบาลกลางได้ไกลแค่ไหน เอกสาร FOIA ใหม่เปลี่ยนภาพนั้นอย่างมีนัยสำคัญ
บันทึกระบุว่าแฮกเกอร์ซึ่งส่วนใหญ่เชื่อว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้รับการเข้าถึงโครงสร้างพื้นฐานอีเมลของกระทรวงการคลังในระดับที่จะทำให้พวกเขาสามารถดูหรือเก็บเกี่ยวที่อยู่อีเมลทั้งหมดที่ดำเนินการภายใต้โดเมน treasury.gov ได้ นี่เกินกว่าการบุกรุกกล่องจดหมายเพียงบางส่วน มันชี้ให้เห็นว่าผู้โจมตีมีการมองเห็นในระดับผู้ดูแลระบบเข้าไปในสภาพแวดล้อมอีเมลของกระทรวง หมายความว่าพวกเขาสามารถระบุทุกบัญชี และมีแนวโน้มรวมถึงเนื้อหาภายในบัญชีเหล่านั้น ได้ทั่วทั้งหน่วยงานที่อ่อนไหวที่สุดแห่งหนึ่งในรัฐบาลสหรัฐฯ
การเข้าถึงเช่นนั้นมีผลกระทบที่กว้างไกลกว่าการขโมยจดหมายโต้ตอบ ไดเรกทอรีอีเมลสามารถเปิดเผยโครงสร้างองค์กร ระบุบุคลากรหลัก และเป็นแผนที่สำหรับแคมเปญฟิชชิ่งที่ตามมา หรือการรวบรวมข่าวกรองแบบมุ่งเป้า
เหตุใดการโจมตีห่วงโซ่อุปทานจึงแตกต่างจากการรั่วไหลทั่วไป
เพื่อเข้าใจว่าทำไมการรั่วไหลนี้ถึงตรวจจับได้ยากและสร้างความเสียหายในวงกว้าง การทำความเข้าใจวิธีการโจมตีจึงช่วยได้ นี่ไม่ใช่กรณีที่แฮกเกอร์เดารหัสผ่านที่ไม่รัดกุม หรือโจมตีเซิร์ฟเวอร์ที่ไม่ได้อัปเดตแพตช์ การโจมตี SolarWinds เป็น การโจมตีห่วงโซ่อุปทาน แบบตำรา หมายความว่าฝ่ายตรงข้ามบุกรุกผู้จำหน่ายซอฟต์แวร์ที่ได้รับความไว้วางใจ และใช้กลไกการอัปเดตที่ถูกต้องของผู้จำหน่ายนั้นเพื่อผลักดันโค้ดอันตรายไปยังลูกค้าโดยตรง
SolarWinds ผลิตซอฟต์แวร์จัดการเครือข่ายชื่อ Orion ซึ่งถูกใช้อย่างแพร่หลายทั้งในหน่วยงานรัฐบาลกลางและบริษัทภาคเอกชน เมื่อผู้โจมตีใส่ Malware ของตนลงในการอัปเดตซอฟต์แวร์ Orion ตามปกติ ทุกองค์กรที่ติดตั้งการอัปเดตนั้นก็เชิญการบุกรุกเข้ามาทางประตูหน้า เครื่องมือความปลอดภัยที่ปกติจะแจ้งเตือนกิจกรรมน่าสงสัย ไม่มีเหตุผลที่จะส่งสัญญาณเตือน เพราะโค้ดอันตรายมาถึงในรูปแบบแพ็คเกจซอฟต์แวร์ที่ได้รับความไว้วางใจและลงนามรับรองแล้ว
นี่คือสิ่งที่ทำให้ การโจมตีห่วงโซ่อุปทาน อันตรายมากเมื่อเทียบกับการรั่วไหลทั่วไป จุดตั้งต้นของผู้โจมตีไม่ได้เกิดจากรอยร้าวในการป้องกันของเป้าหมายเอง แต่เกิดผ่านบุคคลภายนอกที่ได้รับความไว้วางใจ ซึ่งเป้าหมายไม่มีเหตุผลในทางปฏิบัติที่จะไม่ไว้วางใจ
ระบบรัฐบาลที่ถูกบุกรุกทำให้ข้อมูลพลเมืองตกอยู่ในความเสี่ยงได้อย่างไร
ปฏิกิริยาตามสัญชาตญาณต่อการรั่วไหลของกระทรวงการคลังอาจมองว่าเป็นปัญหาของรัฐบาล ซึ่งแยกจากความเป็นส่วนตัวส่วนบุคคลในชีวิตประจำวัน การตีกรอบเช่นนั้นประเมินการเปิดเผยต่ำเกินไป
หน่วยงานรัฐบาลกลางถือครองข้อมูลพลเมืองจำนวนมหาศาล ได้แก่ บันทึกภาษี การเปิดเผยข้อมูลทางการเงิน ข้อมูลการจ้างงาน ใบสมัครขอรับสวัสดิการ และอื่นๆ เมื่อผู้โจมตีได้รับการเข้าถึงระดับผู้ดูแลระบบในสภาพแวดล้อมอีเมลของหน่วยงานอย่างกระทรวงการคลัง พวกเขาอยู่ในสถานะที่สามารถดักฟังการสื่อสารภายในเกี่ยวกับการตรวจสอบ การสอบสวน และการตัดสินใจทางนโยบาย พวกเขาสามารถระบุได้ว่าเจ้าหน้าที่คนใดดูแลโครงการใด ซึ่งเป็นข้อมูลที่สามารถนำไปใช้สร้างอีเมลฟิชชิ่งแบบเจาะจงเป้าหมายที่น่าเชื่อถืออย่างยิ่งเพื่อโจมตีหน่วยงานอื่น หรือแม้แต่พลเมืองส่วนบุคคลที่เกี่ยวข้องกับเรื่องของรัฐบาลที่ดำเนินอยู่
นอกเหนือจากการโจมตีต่อเนื่องแบบมุ่งเป้า ยังมีประเด็นด้านมูลค่าข่าวกรอง การรู้ว่าใครทำงานที่กระทรวงการคลัง พวกเขาดูแลโครงการอะไร และใครติดต่อกับใคร มีประโยชน์อย่างแท้จริงต่อหน่วยข่าวกรองต่างประเทศ และมูลค่านั้นไม่ต้องการให้ผู้โจมตีต้องถอดรหัสไฟล์ที่เข้ารหัสแม้แต่ไฟล์เดียว
ผู้ใช้ที่ใส่ใจความเป็นส่วนตัวทำอะไรได้และไม่ได้เพื่อปกป้องตนเอง
ณ จุดนี้ การเปิดเผยข้อมูลภาครัฐจากการแฮก SolarWinds ทำให้ผู้ใช้รายบุคคลต้องเผชิญกับความเป็นจริงที่ไม่สบายใจ โดยพื้นฐานแล้ว แทบไม่มีอะไรที่พลเมืองส่วนบุคคลสามารถทำได้เพื่อป้องกันไม่ให้หน่วยข่าวกรองต่างประเทศบุกรุกโครงสร้างพื้นฐานอีเมลภายในของหน่วยงานรัฐบาลกลาง
การใช้ VPN ช่วยปกป้องทราฟฟิกของคุณเอง รหัสผ่านที่รัดกุมและการยืนยันสองปัจจัยช่วยปกป้องบัญชีส่วนตัวของคุณ ข้อความที่เข้ารหัสจากต้นทางถึงปลายทางปกป้องการสนทนาส่วนตัวของคุณ มาตรการเหล่านี้ไม่มีผลใดๆ ต่อการที่ผู้จำหน่ายซอฟต์แวร์ที่รัฐบาลกลางไว้วางใจถูกบุกรุก หรือต่อการที่หน่วยงานรัฐบาลที่ถือครองบันทึกเกี่ยวกับคุณถูกแทรกซึมผ่านช่องทางการอัปเดตของผู้จำหน่ายนั้น
นี่ไม่ใช่ข้ออ้างสำหรับแนวคิดที่จะปล่อยตามยถากรรม มันเป็นข้อถกเถียงเพื่อความชัดเจนว่าเครื่องมือต่างๆ ถูกออกแบบมาให้ทำอะไรจริงๆ เครื่องมือความเป็นส่วนตัวส่วนบุคคลจัดการกับพื้นผิวการโจมตีส่วนบุคคล ช่องโหว่เชิงระบบในโครงสร้างพื้นฐานของรัฐบาลหรือองค์กรต้องการการตอบสนองเชิงระบบ: การตรวจสอบความปลอดภัยผู้จำหน่ายอย่างเข้มงวด สถาปัตยกรรมเครือข่ายแบบไม่มีความไว้วางใจ (zero-trust) กำหนดเวลาบังคับในการเปิดเผยการรั่วไหล และการกำกับดูแลของฝ่ายนิติบัญญัติที่มีผลบังคับใช้จริง
สำหรับบุคคลธรรมดา การตอบสนองที่มีประโยชน์ที่สุดคือการรับรู้อยู่เสมอว่าหน่วยงานรัฐบาลถือครองข้อมูลอะไร ใส่ใจกับประกาศการรั่วไหลของข้อมูลเมื่อมาถึง และระมัดระวังเป็นพิเศษกับการสื่อสารที่ไม่พึงประสงค์ซึ่งดูเหมือนว่ามาจากแหล่งที่มาของรัฐบาลภายหลังมีการรายงานการรั่วไหลใดๆ
สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ
ขอบเขตการรั่วไหลของกระทรวงการคลังที่เพิ่งเปิดเผยใหม่เป็นเครื่องย้ำเตือนว่าการปกป้องข้อมูลส่วนบุคคลอยู่ภายในระบบนิเวศที่ใหญ่กว่า ซึ่งบุคคลธรรมดาไม่ได้ควบคุม แนวปฏิบัติความปลอดภัยของคุณเองนั้นสำคัญ แต่สถานะความปลอดภัยของทุกสถาบันที่ถือครองข้อมูลเกี่ยวกับคุณก็สำคัญเช่นกัน
การแฮก SolarWinds ไม่ใช่ความผิดปกติที่เกิดขึ้นเพียงครั้งเดียว มันเปิดโปงจุดอ่อนเชิงโครงสร้างในเรื่องวิธีการไว้วางใจห่วงโซ่อุปทานซอฟต์แวร์และวิธีการเปิดเผยการรั่วไหล การเข้าใจบริบทนั้นเป็นสิ่งจำเป็นสำหรับใครก็ตามที่ติดตามว่าภัยคุกคามระดับรัฐแปรเปลี่ยนเป็นความเสี่ยงความเป็นส่วนตัวในโลกจริงได้อย่างไร เริ่มต้นด้วยการสร้างความเข้าใจที่แน่นหนาว่าการโจมตีห่วงโซ่อุปทานทำงานอย่างไรและเหตุใดจึงยากที่จะป้องกันในระดับบุคคล ภูมิหลังนั้นจะเพิ่มความคมชัดให้กับการอ่านทุกเรื่องที่คล้ายกันซึ่งตามมา
