แฮกเกอร์อิหร่านโจมตี LA Metro ขโมยข้อมูล 700GB

แฮกเกอร์อิหร่านโจมตี LA Metro ขโมยข้อมูล 700GB

กลุ่มแฮกเกอร์ที่เชื่อมโยงกับอิหร่านถูกระบุว่าเป็นผู้รับผิดชอบการเจาะระบบครั้งใหญ่ขององค์การขนส่งมวลชนลอสแอนเจลีสเคาน์ตี (LACMTA) ซึ่งเป็นหนึ่งในระบบขนส่งสาธารณะที่ใหญ่ที่สุดในสหรัฐอเมริกา บริษัทความปลอดภัยไซเบอร์จากอิสราเอล Gambit Security ระบุว่าการบุกรุกนี้เป็นฝีมือของตัวแสดงที่เชื่อมโยงกับรัฐอิหร่าน ซึ่งได้ขโมยข้อมูลไปอย่างน้อย 700 กิกะไบต์ รวมถึงอีเมลและข้อมูลสำรองระบบ ส่งผลให้หน่วยงานต้องปิดเครือข่ายบางส่วนเมื่อต้นปีนี้ เหตุการณ์นี้ถือเป็นหนึ่งในกรณีการเจาะระบบโครงสร้างพื้นฐานสำคัญโดยแฮกเกอร์อิหร่านที่ส่งผลกระทบรุนแรงที่สุดที่เกิดขึ้นในภาคสาธารณะภายในประเทศในช่วงเวลาที่ผ่านมา

ข้อมูลอะไรถูกขโมยจาก LACMTA และการเจาะระบบเกิดขึ้นได้อย่างไร

จากการค้นพบของ Gambit Security ผู้โจมตีสามารถนำข้อมูลภายในจำนวนมากออกไปได้ก่อนที่การบุกรุกจะถูกควบคุม ข้อมูลขนาด 700GB ที่ขโมยไปนั้นรวมถึงคลังอีเมลของพนักงานและข้อมูลสำรองการดำเนินงาน ซึ่งเป็นข้อมูลสองประเภทที่ก่อให้เกิดความเสี่ยงอย่างมากเมื่อตกไปอยู่ในมือของฝ่ายตรงข้าม

คลังอีเมลมักมีมากกว่าแค่การติดต่อทั่วไป เพราะอาจรวมถึงบันทึกบุคลากร เอกสารนโยบายภายใน สัญญากับผู้ขาย การสื่อสารทางกฎหมาย และข้อมูลที่ละเอียดอ่อนเกี่ยวกับผู้โดยสารที่เก็บรวบรวมผ่านการดำเนินงานของบริการ ส่วนข้อมูลสำรองนั้น ขึ้นอยู่กับวิธีการตั้งค่า อาจประกอบด้วยข้อมูลประจำตัวของระบบ ภาพรวมของฐานข้อมูล และไฟล์คอนฟิกที่สามารถนำมาใช้เพื่ออำนวยความสะดวกในการบุกรุกในอนาคต

การเจาะระบบครั้งนี้ร้ายแรงพอที่จะทำให้ต้องปิดเครือข่ายบางส่วน ซึ่งเป็นการตอบสนองที่บ่งชี้ว่าหน่วยงานตระหนักดีว่ากำลังถูกโจมตีและดำเนินการเพื่อจำกัดความเสียหาย อย่างไรก็ตาม การปิดระบบก็ยืนยันว่าผู้โจมตีได้เข้าถึงระบบในระดับที่มีความหมายแล้วก่อนที่จะถูกตรวจพบ

เหตุใดเครือข่ายขนส่งสาธารณะจึงเป็นเป้าหมายที่อ่อนแอสำหรับแฮกเกอร์ที่รัฐให้การสนับสนุน

หน่วยงานขนส่งสาธารณะอยู่ในตำแหน่งที่ไม่สะดวกนักในระบบนิเวศความปลอดภัยไซเบอร์ พวกเขาจัดการโครงสร้างพื้นฐานในระดับเดียวกับองค์กรขนาดกลาง แต่บ่อยครั้งที่ดำเนินงานด้วยข้อจำกัดด้านงบประมาณและบุคลากรแบบแผนกเทศบาล ระบบรุ่นเก่าที่สร้างขึ้นก่อนที่รูปแบบภัยคุกคามสมัยใหม่จะมีอยู่ ตั้งอยู่เคียงข้างกับแพลตฟอร์มตั๋วดิจิทัลรุ่นใหม่ ซอฟต์แวร์การดำเนินงานแบบเรียลไทม์ และเครื่องมือสื่อสารของพนักงาน ทำให้เกิดภาพความมั่นคงปลอดภัยที่ปะติดปะต่อซึ่งยากต่อการป้องกันอย่างเป็นเอกภาพ

ตัวแสดงที่เชื่อมโยงกับรัฐอิหร่านได้แสดงให้เห็นรูปแบบที่ชัดเจนในการมุ่งเป้าไปที่สถาบันลักษณะนี้ โดยแทนที่จะโจมตีเครือข่ายรัฐบาลกลางที่มีการป้องกันแน่นหนาโดยตรง พวกเขากลับมุ่งเน้นไปที่องค์กรภาคสาธารณะ สาธารณูปโภค และระบบขนส่ง ซึ่งมีการป้องกันที่บางกว่าและมีโอกาสสร้างความปั่นป่วนได้สูง CISA และ FBI ได้เตือนซ้ำแล้วซ้ำเล่าว่ากลุ่มแฮกเกอร์อิหร่านกำลังตรวจหาช่องโหว่ในภาคโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงภาคขนส่งอย่างแข็งขัน

สำหรับตัวแสดงภัยคุกคามต่างชาติ การเจาะระบบหน่วยงานขนส่งมวลชนหลักสำเร็จมีจุดประสงค์หลายประการ คือให้ข้อมูลที่อาจนำไปใช้ประโยชน์ได้ แสดงให้เห็นถึงขีดความสามารถ และสร้างความปั่นป่วนต่อสาธารณะด้วยการลงทุนที่ค่อนข้างน้อย เมื่อเทียบกับการโจมตีเป้าหมายทางการทหารหรือข่าวกรองที่มีการป้องกันแข็งแกร่ง

ข้อมูลอีเมลและข้อมูลสำรอง 700GB หมายความว่าอย่างไรสำหรับบุคคลที่ได้รับผลกระทบ

สำหรับพนักงานของ LACMTA ข้อกังวลเร่งด่วนคือการเปิดเผยข้อมูลส่วนบุคคลและข้อมูลทางวิชาชีพที่ถูกจัดเก็บหรือส่งผ่านระบบของหน่วยงาน อีเมลจากคลังที่ถูกโจรกรรมอาจมีหมายเลขประกันสังคม รายละเอียดการฝากเงินเดือนโดยตรง บันทึกผลปฏิบัติงาน หรือการสื่อสารเกี่ยวกับสุขภาพ ขึ้นอยู่กับว่าพนักงานใช้ระบบอีเมลภายในเพื่อติดต่อเรื่องทรัพยากรบุคคลอย่างไร

สำหรับผู้โดยสาร ความเสี่ยงขึ้นอยู่กับว่าหน่วยงานขนส่งเก็บรวบรวมและเก็บรักษาข้อมูลใด และมีข้อมูลเหล่านั้นเข้าไปอยู่ในข้อมูลสำรองที่ถูกโจรกรรมหรือไม่ ระบบการชำระเงินแบบไร้สัมผัส ประวัติการเดินทางที่เชื่อมโยงกับบัญชี และตัวระบุส่วนบุคคลใดๆ ที่จัดเก็บไว้สำหรับโปรแกรมค่าโดยสารลดหย่อนหรือบริการช่วยเหลือผู้พิการ ล้วนเป็นประเภทข้อมูลที่มีโอกาสปรากฏอยู่

ควรทราบว่าขอบเขตของข้อมูลที่ถูกขโมยออกไปยังอยู่ระหว่างการประเมิน ตัวเลข 700GB แสดงถึงขั้นต่ำที่ยืนยันได้ ไม่ใช่เพดานสูงสุด การระบุว่าผู้กระทำเชื่อมโยงกับรัฐยังทำให้เกิดคำถามว่าข้อมูลจะถูกนำไปใช้เพื่อผลประโยชน์ทางการเงิน ใช้ในการรวบรวมข่าวกรอง หรือเก็บสำรองไว้เพื่อการต่อรองในอนาคต

กรณีนี้เป็นเครื่องเตือนใจว่าแม้แต่สถาบันที่มีชื่อเสียงและมีความรับผิดชอบต่อสาธารณะก็ไม่รอดพ้น ดังที่ การเจาะอีเมลของผู้อำนวยการ FBI เอง แสดงให้เห็น การมีชื่อเสียงโด่งดังไม่ได้หมายความว่ามีความปลอดภัยสูง หากหัวหน้าหน่วยงานบังคับใช้กฎหมายระดับแนวหน้าของประเทศยังอาจเผชิญกับการบุกรุกอีเมล ช่องว่างระหว่างการรับรู้กับความเป็นจริงที่หน่วยงานขนส่งมวลชนก็ยิ่งชัดเจนมากขึ้น

หน่วยงานรัฐและหน่วยงานสาธารณะควรเสริมสร้างการสื่อสารที่ละเอียดอ่อนอย่างไร

การเจาะระบบ LACMTA เป็นกรณีศึกษาที่ชัดเจนเกี่ยวกับความเสี่ยงของการลงทุนที่ไม่เพียงพอในการควบคุมความปลอดภัยขั้นพื้นฐาน แนวปฏิบัติหลายประการ หากนำไปใช้อย่างเป็นระบบ จะช่วยลดทั้งโอกาสการบุกรุกที่สำเร็จและความเสียหายที่เกิดขึ้นเมื่อเกิดเหตุขึ้นได้อย่างมาก

ความปลอดภัยของอีเมลเป็นจุดเริ่มต้นที่สมเหตุสมผล สภาพแวดล้อมอีเมลสมัยใหม่ควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัยในทุกบัญชี ใช้หลักการเข้าถึงแบบ zero-trust และใช้เกตเวย์ความปลอดภัยอีเมลที่สามารถตรวจจับกิจกรรมการขโมยข้อมูลปริมาณมากที่ผิดปกติได้ หลักปฏิบัติในการจัดเก็บถาวรก็ควรได้รับการทบทวนด้วยเช่นกัน: การเก็บอีเมลที่ไม่ผ่านการกรองไว้หลายปีบนระบบที่เข้าถึงได้สร้างเป้าหมายที่อุดมสมบูรณ์ซึ่งมีค่ายิ่งขึ้นเมื่อเวลาผ่านไป

ความปลอดภัยของข้อมูลสำรองก็สมควรได้รับความสนใจไม่แพ้กัน ควรเก็บข้อมูลสำรองไว้ในสภาพแวดล้อมที่แยกส่วนโดยมีการควบคุมการเข้าถึงที่เข้มงวด โดยในอุดมคติให้ใช้รูปแบบออฟไลน์หรือตัดขาดจากเครือข่าย (air-gapped) สำหรับภาพรวมที่ละเอียดอ่อนที่สุด การทดสอบความสมบูรณ์ของข้อมูลสำรองเป็นประจำควรควบคู่ไปกับการเฝ้าติดตามความพยายามเข้าถึงโดยไม่ได้รับอนุญาต

การแบ่งส่วนเครือข่าย การเฝ้าติดตามอย่างต่อเนื่อง และการวางแผนรับมือเหตุการณ์เป็นองค์ประกอบพื้นฐาน หน่วยงานที่ยังคงพึ่งพาโมเดลความปลอดภัยแบบปริมณฑล ซึ่งทุกสิ่งที่อยู่ภายในเครือข่ายได้รับความไว้วางใจโดยปริยาย กำลังดำเนินงานโดยมีช่องโหว่ทางสถาปัตยกรรมพื้นฐานที่ผู้เล่นที่รัฐสนับสนุนรู้ว่าจะใช้ประโยชน์ได้อย่างไร

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

หากคุณอาศัยหรือทำงานในลอสแอนเจลีสเคาน์ตีและมีปฏิสัมพันธ์กับระบบของ LACMTA ขั้นตอนเร่งด่วนที่สุดคือการเฝ้าติดตามบัญชีการเงินและรายงานเครดิตของคุณเพื่อหากิจกรรมที่ผิดปกติ หากหน่วยงานติดต่อคุณเกี่ยวกับการเจาะระบบ ให้ถือว่าการแจ้งเตือนใดๆ เป็นเรื่องจริงจังและปฏิบัติตามคำแนะนำเกี่ยวกับมาตรการป้องกัน เช่น การแจ้งเตือนการทุจริตหรือการอายัดเครดิต

ในมุมกว้างกว่านั้น เหตุการณ์นี้ตอกย้ำหลักการที่ใช้ได้ไกลเกินกว่าลอสแอนเจลีส: ไม่มีสถาบันใดที่จะมีชื่อเสียงเกินไป ใหญ่เกินไป หรือมีลักษณะสาธารณะเกินไปที่จะไม่ตกเป็นเป้าหมาย การเจาะระบบโครงสร้างพื้นฐานสำคัญโดยแฮกเกอร์อิหร่านที่ LACMTA เป็นไปตามรูปแบบที่ถูกบันทึกไว้ของตัวแสดงต่างชาติที่มุ่งเป้าองค์กรที่มีความพร้อมในการป้องกันตนเองน้อยที่สุด

สำหรับพนักงานในหน่วยงานสาธารณะใดๆ ให้ปฏิบัติต่ออีเมลทำงานด้วยความระมัดระวังเช่นเดียวกับที่คุณใช้กับบัญชีส่วนตัวที่ละเอียดอ่อน หลีกเลี่ยงการใช้เพื่อสิ่งใดก็ตามที่คุณไม่ต้องการให้เปิดเผย เปิดใช้งานคุณสมบัติความปลอดภัยทุกอย่างที่มีให้ และรายงานสิ่งผิดปกติใดๆ ไปยังแผนกไอทีของคุณโดยไม่ล่าช้า การเจาะระบบในลอสแอนเจลีสเป็นเครื่องเตือนใจว่าผลกระทบจากการรักษาสุขอนามัยดิจิทัลที่หย่อนยานขยายเกินกว่ากล่องจดหมายของบุคคลใดบุคคลหนึ่ง