Supply Chain Attackขั้นสูง

คำจำกัดความ: Supply chain attack คือการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังจุดอ่อนในห่วงโซ่อุปทานของซอฟต์แวร์หรือฮาร์ดแวร์ เช่น ผู้ให้บริการภายนอกหรือไลบรารีโอเพนซอร์ส เพื่อเจาะระบบของผู้ใช้ปลายทางหรือองค์กรที่เป็นเป้าหมายที่แท้จริง

Supply Chain Attack: เมื่อภัยคุกคามมาจากภายในซอฟต์แวร์

คุณติดตั้งซอฟต์แวร์จากผู้ให้บริการที่ไว้วางใจได้ คุณปฏิบัติตามแนวทางที่ดีที่สุด คุณอัปเดตทุกอย่างอยู่เสมอ แต่ถึงกระนั้น ระบบของคุณก็ยังถูกเจาะ นี่คือความจริงที่น่าหวาดกลัวของ supply chain attack ซึ่งภัยคุกคามไม่ได้มาจากการโจมตีโดยตรง แต่มาจากสิ่งที่คุณไว้วางใจอยู่แล้ว

Supply Chain Attack คืออะไร

Supply chain attack เกิดขึ้นเมื่ออาชญากรไซเบอร์เจาะระบบเป้าหมายทางอ้อม ด้วยการโจมตีผู้ให้บริการ ไลบรารีซอฟต์แวร์ กลไกการอัปเดต หรือชิ้นส่วนฮาร์ดแวร์ที่เป้าหมายพึ่งพาอยู่ แทนที่จะโจมตีบริษัทที่มีการป้องกันแน่นหนาโดยตรง ผู้โจมตีจะหาจุดเชื่อมที่อ่อนแอกว่าในห่วงโซ่ของการพึ่งพาที่บริษัทนั้นใช้งาน แล้วฝังโค้ดอันตรายไว้ตั้งแต่ต้นทาง

ผลที่ตามมาคือโค้ดอันตราย backdoor หรือสปายแวร์จะถูกส่งไปยังผู้ใช้หลายหมื่นหรือหลายล้านคนโดยอัตโนมัติ มักผ่านกลไกการอัปเดตที่ออกแบบมาเพื่อรักษาความปลอดภัยของซอฟต์แวร์นั่นเอง

วิธีการทำงาน

ซอฟต์แวร์สมัยใหม่ส่วนใหญ่ถูกสร้างขึ้นบนชั้นของการพึ่งพาหลายชั้น ได้แก่ ไลบรารีของบุคคลที่สาม แพ็กเกจโอเพนซอร์ส บริการคลาวด์ และส่วนประกอบที่ผู้ให้บริการจัดหาให้ ความซับซ้อนนี้สร้างพื้นที่โจมตีที่ยากต่อการตรวจสอบอย่างครบถ้วนสำหรับองค์กรใดองค์กรหนึ่ง

ลำดับเหตุการณ์ทั่วไปมีดังนี้:

การระบุเป้าหมาย – ผู้โจมตีระบุผู้ให้บริการซอฟต์แวร์ที่ใช้งานกันแพร่หลาย หรือแพ็กเกจโอเพนซอร์สที่มีมาตรการรักษาความปลอดภัยอ่อนแอกว่าลูกค้าของตน
การเจาะระบบ – ผู้โจมตีแทรกซึมเข้าสู่ระบบ build ของผู้ให้บริการ คลังโค้ด หรือเซิร์ฟเวอร์อัปเดต ซึ่งอาจเกิดขึ้นผ่านฟิชชิง ข้อมูลรับรองที่ถูกขโมย หรือการใช้ประโยชน์จากช่องโหว่ในโครงสร้างพื้นฐานของผู้ให้บริการเอง
การแทรกโค้ด – โค้ดอันตรายถูกแอบแทรกเข้าไปในการอัปเดตซอฟต์แวร์หรือเวอร์ชันไลบรารีที่ถูกต้องตามกฎหมาย
การแจกจ่าย – การอัปเดตที่ถูกปนเปื้อนจะถูกเซ็นด้วยใบรับรองที่ถูกต้องและส่งไปยังผู้ใช้ทุกคน เนื่องจากมาจากแหล่งที่เชื่อถือได้ เครื่องมือรักษาความปลอดภัยจึงมักไม่ตรวจพบ
การรันโค้ด – มัลแวร์ทำงานอย่างเงียบ ๆ บนเครื่องของเหยื่อ โดยอาจเก็บเกี่ยวข้อมูลรับรอง สร้าง backdoor หรือขโมยข้อมูลออกไป

การโจมตี SolarWinds ในปี 2020 เป็นตัวอย่างที่น่าจดจำที่สุด แฮกเกอร์ฝังมัลแวร์ในการอัปเดตซอฟต์แวร์ตามปกติ ซึ่งถูกแจกจ่ายไปยังองค์กรประมาณ 18,000 แห่ง รวมถึงหน่วยงานรัฐบาลสหรัฐฯ โดยการละเมิดนี้ไม่ถูกตรวจพบเป็นเวลาหลายเดือน

อีกกรณีที่เป็นที่รู้จักกันดีเกี่ยวข้องกับระบบนิเวศของแพ็กเกจ NPM ที่ผู้โจมตีเผยแพร่แพ็กเกจอันตรายโดยใช้ชื่อที่ใกล้เคียงกับไลบรารียอดนิยม ซึ่งเป็นเทคนิคที่เรียกว่า typosquatting โดยหวังว่านักพัฒนาจะติดตั้งโดยไม่ตั้งใจ

ทำไมถึงสำคัญสำหรับผู้ใช้ VPN

ซอฟต์แวร์ VPN เองก็ไม่ได้รับการยกเว้น เมื่อคุณติดตั้ง VPN client คุณกำลังไว้วางใจว่าแอปพลิเคชันและทุกไลบรารีที่พึ่งพานั้นปลอดภัย supply chain attack ที่มุ่งเป้าไปที่การแจกจ่ายซอฟต์แวร์ของผู้ให้บริการ VPN อาจส่ง client ที่ถูกเจาะระบบซึ่งรั่วไหล IP address จริงของคุณ ปิดการใช้งาน kill switch หรือบันทึกการรับส่งข้อมูลของคุณโดยที่คุณไม่รู้ตัว

สิ่งนี้ทำให้การดำเนินการต่อไปนี้มีความสำคัญอย่างยิ่ง:

ดาวน์โหลดซอฟต์แวร์ VPN จากแหล่งที่เป็นทางการเท่านั้น ไม่ใช่จาก app store ของบุคคลที่สามหรือเว็บไซต์มิเรอร์
มองหาผู้ให้บริการที่เผยแพร่ reproducible builds หรือผ่านการตรวจสอบโดยบุคคลที่สามอย่างสม่ำเสมอ เพื่อให้สามารถยืนยันซอฟต์แวร์ที่คอมไพล์แล้วได้อย่างอิสระ
ตรวจสอบใบรับรอง code-signing ที่ยืนยันว่าซอฟต์แวร์ไม่ได้ถูกแก้ไขหลังจากออกจากนักพัฒนา
อัปเดตซอฟต์แวร์อยู่เสมอ แต่ยังต้องติดตามข่าวสารด้านความปลอดภัยด้วย หากผู้ให้บริการประกาศเหตุการณ์ supply chain ให้รีบดำเนินการทันที

นอกเหนือจากซอฟต์แวร์ VPN supply chain attack ยังส่งผลกระทบต่อเครื่องมืออื่น ๆ ที่คุณใช้เพื่อความเป็นส่วนตัว เช่น เบราว์เซอร์ ส่วนขยายเบราว์เซอร์ ตัวจัดการรหัสผ่าน และระบบปฏิบัติการ ตัวอย่างเช่น ส่วนขยายเบราว์เซอร์ที่ถูกเจาะระบบอาจบ่อนทำลายทุกสิ่งที่ VPN ทำเพื่อปกป้องความเป็นส่วนตัวของคุณ

ภาพรวมที่กว้างขึ้น

Supply chain attack อันตรายเป็นพิเศษเพราะใช้ประโยชน์จากความไว้วางใจ คำแนะนำด้านความปลอดภัยไซเบอร์แบบดั้งเดิมบอกว่า "ดาวน์โหลดจากแหล่งที่เชื่อถือได้เท่านั้น" แต่ supply chain attack เปลี่ยนแหล่งที่เชื่อถือได้ให้กลายเป็นภัยคุกคาม นี่คือเหตุผลที่แนวคิดอย่าง zero trust architecture, software bill of materials (SBOM) และการยืนยันด้วยการเข้ารหัสของแพ็กเกจซอฟต์แวร์กำลังได้รับความสนใจอย่างจริงจังในชุมชนด้านความปลอดภัย

สำหรับผู้ใช้ทั่วไป บทเรียนที่ได้นั้นเรียบง่ายแต่สำคัญ: ซอฟต์แวร์ที่คุณพึ่งพามีความปลอดภัยเพียงเท่ากับระบบนิเวศทั้งหมดที่อยู่เบื้องหลังเท่านั้น การติดตามข้อมูลข่าวสาร การเลือกผู้ให้บริการที่มีแนวทางปฏิบัติด้านความปลอดภัยที่โปร่งใส และการใช้เครื่องมืออย่างการตรวจสอบ VPN เพื่อยืนยันข้อเรียกร้องของผู้ให้บริการ ล้วนเป็นส่วนหนึ่งของการสร้างการตั้งค่าความเป็นส่วนตัวที่แข็งแกร่งอย่างแท้จริง

// FAQ

การโจมตีห่วงโซ่อุปทานคืออะไร?

การโจมตีห่วงโซ่อุปทานคือการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่องค์ประกอบที่มีความปลอดภัยต่ำกว่าในห่วงโซ่อุปทานของซอฟต์แวร์หรือฮาร์ดแวร์ เช่น ผู้จำหน่ายบุคคลที่สามหรือไลบรารีโอเพนซอร์ส เพื่อโจมตีผู้ใช้ปลายทางหรือองค์กร แทนที่จะโจมตีเป้าหมายโดยตรง ผู้โจมตีจะใช้ประโยชน์จากตัวกลางที่ได้รับความไว้วางใจเพื่อเข้าถึงระบบ

การโจมตีห่วงโซ่อุปทานทำงานอย่างไร?

ผู้โจมตีจะแทรกซึมเข้าไปในผู้จำหน่ายที่ได้รับความไว้วางใจ กลไกอัปเดตซอฟต์แวร์ หรือแพ็กเกจโอเพนซอร์ส และแทรกโค้ดอันตรายหรือส่วนประกอบฮาร์ดแวร์ที่เป็นอันตราย ซึ่งจะถูกแจกจ่ายไปยังเป้าหมายปลายทาง เนื่องจากซอฟต์แวร์หรือฮาร์ดแวร์ที่ถูกโจมตีมาจากแหล่งที่เชื่อถือได้ เหยื่อจึงมักไม่มีเหตุผลที่จะสงสัยว่าเป็นอันตราย

มีตัวอย่างการโจมตีห่วงโซ่อุปทานในโลกจริงอะไรบ้าง?

ตัวอย่างที่น่าสังเกต ได้แก่ การโจมตี SolarWinds ในปี 2020 ที่แฮกเกอร์แทรกโค้ดอันตรายลงในการอัปเดตซอฟต์แวร์ที่แจกจ่ายไปยังองค์กรหลายพันแห่ง และการโจมตี NotPetya ซึ่งแพร่กระจายผ่านการอัปเดตซอฟต์แวร์บัญชีของยูเครนที่ถูกโจมตี เหตุการณ์เหล่านี้ก่อให้เกิดความเสียหายอย่างกว้างขวางต่อรัฐบาลและธุรกิจทั่วโลก

บุคคลและองค์กรสามารถป้องกันการโจมตีห่วงโซ่อุปทานได้อย่างไร?

องค์กรสามารถลดความเสี่ยงได้โดยการตรวจสอบผู้จำหน่ายบุคคลที่สามอย่างรอบคอบ ติดตามการพึ่งพาซอฟต์แวร์เพื่อหาช่องโหว่ และใช้หลักการสิทธิ์ขั้นต่ำเพื่อจำกัดความเสียหายที่อาจเกิดจากส่วนประกอบที่ถูกโจมตี การอัปเดตซอฟต์แวร์อยู่เสมอและการใช้เครื่องมือที่ตรวจสอบความสมบูรณ์ของโค้ดและแพ็กเกจยังช่วยป้องกันการโจมตีเหล่านี้ได้อีกด้วย

← กลับไปยังคำศัพท์