ShinyHunters เจาะระบบคณะกรรมาธิการยุโรปและ ENISA

กลุ่มภัยคุกคาม ShinyHunters อ้างความรับผิดชอบต่อการละเมิดครั้งสำคัญที่ส่งผลกระทบต่อคณะกรรมาธิการยุโรป หน่วยงานความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (ENISA) และคณะกรรมาธิการด้านบริการดิจิทัล ผู้โจมตีได้รั่วไหลข้อมูลสำคัญออกมาในวงกว้าง ทั้งอีเมล ไฟล์แนบ ไดเรกทอรีผู้ใช้แบบ Single Sign-On (SSO) ครบชุด คีย์การเซ็นชื่อ DKIM สแนปช็อตการกำหนดค่า AWS ข้อมูล NextCloud และ Athena รวมถึง URL ของผู้ดูแลระบบภายใน นักวิจัยด้านความปลอดภัยที่ตรวจสอบข้อมูลที่รั่วไหลออกมาได้บรรยายสถานการณ์นี้ว่า "วุ่นวายมาก" โดยชี้ให้เห็นถึงการเข้าถึงเชิงลึกทั่วทั้งระบบการยืนยันตัวตน โครงสร้างพื้นฐานคลาวด์ และเครื่องมือภายในต่าง ๆ

การละเมิดครั้งนี้โดดเด่นไม่เพียงแค่ในแง่ของขนาด แต่ยังอยู่ที่เป้าหมายอีกด้วย ENISA คือหน่วยงานที่รับผิดชอบในการให้คำแนะนำแก่ประเทศสมาชิกสหภาพยุโรปด้านนโยบายความมั่นคงปลอดภัยไซเบอร์ การบุกรุกระบบของหน่วยงานดังกล่าวอย่างสำเร็จนั้นสร้างคำถามที่ไม่สบายใจเกี่ยวกับช่องว่างระหว่างคำแนะนำที่สถาบันเหล่านี้มอบให้กับผู้อื่น และการป้องกันที่พวกเขามีไว้สำหรับตนเอง

สิ่งที่รั่วไหลออกมาจริง ๆ

ข้อมูลที่รั่วไหลครอบคลุมหลายประเภทที่แตกต่างกันและมีความละเอียดอ่อน ไดเรกทอรีผู้ใช้ SSO มีความสำคัญเป็นพิเศษ เนื่องจากระบบ SSO ทำหน้าที่เป็นประตูยืนยันตัวตนส่วนกลาง หากไดเรกทอรีนั้นถูกบุกรุก ผู้โจมตีจะได้รับแผนผังของผู้ใช้และเส้นทางการเข้าถึงในบริการที่เชื่อมต่อกันหลายรายการ

คีย์การเซ็นชื่อ DKIM เป็นอีกองค์ประกอบที่ร้ายแรง DKIM (DomainKeys Identified Mail) ใช้เพื่อยืนยันว่าอีเมลนั้นมาจากโดเมนที่อ้างถึงจริง ๆ เมื่อคีย์เหล่านั้นถูกเปิดเผย ผู้โจมตีอาจส่งอีเมลที่ดูเหมือนเป็นการสื่อสารที่ถูกต้องและมีการเซ็นชื่อจากสถาบันของสหภาพยุโรป ทำให้แคมเปญฟิชชิงมีความน่าเชื่อถือมากขึ้นอย่างมาก

สแนปช็อตการกำหนดค่า AWS เปิดเผยโครงสร้างพื้นฐานคลาวด์ รวมถึงที่เก็บข้อมูล นโยบายการเข้าถึง และการกำหนดค่าบริการ ข้อมูลดังกล่าวคือพิมพ์เขียวสำหรับการโจมตีต่อเนื่องที่มุ่งเป้าไปที่ข้อมูลและบริการที่โฮสต์บนคลาวด์

เมื่อพิจารณาองค์ประกอบเหล่านี้ร่วมกัน จะเห็นได้ว่าการเข้าถึงนั้นเกินกว่าการดึงข้อมูลแบบผิวเผินมาก นักวิจัยมีเหตุผลที่จะแจ้งเตือนถึงความเป็นไปได้ของการโจมตีรองที่สร้างขึ้นจากสิ่งที่ถูกเปิดเผย

เหตุใดแม้แต่หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์จึงถูกละเมิด

สัญชาตญาณที่จะสันนิษฐานว่าหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ต้องมีการป้องกันที่แน่นหนาเป็นพิเศษนั้นเป็นสิ่งที่เข้าใจได้ แต่มันสะท้อนถึงความเข้าใจผิดเกี่ยวกับการทำงานของการละเมิด ไม่มีองค์กรใดที่ปลอดภัยจากการโจมตี และความซับซ้อนของโครงสร้างพื้นฐานสมัยใหม่มักสร้างช่องว่างที่ยากจะปิดได้อย่างสมบูรณ์

เหตุการณ์นี้เป็นตัวอย่างที่ชัดเจนว่าเหตุใดผู้เชี่ยวชาญด้านความปลอดภัยจึงสนับสนุนการป้องกันเชิงลึก ซึ่งเป็นหลักการที่ว่าการมีชั้นการป้องกันที่ซ้อนทับกันหลายชั้นนั้นน่าเชื่อถือกว่าการควบคุมเดี่ยว เมื่อชั้นหนึ่งล้มเหลว อีกชั้นควรจำกัดความเสียหายได้

ในกรณีนี้ การเปิดเผยไดเรกทอรี SSO และคีย์การเซ็นชื่อบ่งชี้ว่าการควบคุมการยืนยันตัวตนและแนวปฏิบัติการจัดการคีย์ยังไม่ได้รับการเสริมความแข็งแกร่งหรือแบ่งส่วนอย่างเพียงพอ การที่ข้อมูลการกำหนดค่าคลาวด์สามารถเข้าถึงได้จากการละเมิดบ่งชี้ว่าสภาพแวดล้อมเหล่านั้นอาจไม่ได้รับการแยกส่วนหรือตรวจสอบอย่างเพียงพอ

บทเรียนไม่ใช่ว่าสถาบันของสหภาพยุโรปประมาทเป็นพิเศษ แต่คือภัยคุกคามที่ซับซ้อนและต่อเนื่องอย่าง ShinyHunters มุ่งเป้าไปที่องค์กรที่มีมูลค่าสูงโดยเฉพาะ เพราะผลตอบแทนจากการละเมิดที่สำเร็จนั้นมีนัยสำคัญมาก

สิ่งที่หมายความสำหรับคุณ

สำหรับผู้อ่านส่วนใหญ่ การละเมิดโครงสร้างพื้นฐานของสถาบันสหภาพยุโรปอาจรู้สึกห่างไกล แต่ข้อมูลที่ถูกเปิดเผยสร้างความเสี่ยงปลายน้ำที่แท้จริง

การเปิดเผยคีย์ DKIM หมายความว่าอีเมลฟิชชิงที่แอบอ้างว่ามาจากที่อยู่คณะกรรมาธิการยุโรปอาจตรวจจับได้ยากขึ้นโดยใช้การตรวจสอบทางเทคนิคมาตรฐาน ทุกคนที่ติดต่อกับสถาบันของสหภาพยุโรป ไม่ว่าจะเพื่อธุรกิจ การกำกับดูแล หรือวัตถุประสงค์ด้านการวิจัย ควรใช้ความระมัดระวังเพิ่มเติมต่ออีเมลที่ไม่คาดคิดจากโดเมนเหล่านั้นในช่วงเวลาข้างหน้า

ในวงกว้างกว่านั้น การละเมิดนี้เป็นตัวอย่างที่เป็นรูปธรรมของเหตุผลที่การพึ่งพาการควบคุมความปลอดภัยเพียงอย่างเดียวมีความเสี่ยง SSO นั้นสะดวกและปลอดภัยเมื่อนำไปใช้อย่างดี แต่หากไดเรกทอรีนั้นเองถูกบุกรุก ความสะดวกนั้นกลายเป็นความรับผิด การเพิ่มการยืนยันเพิ่มเติม เช่น การยืนยันตัวตนแบบหลายปัจจัยที่ใช้ฮาร์ดแวร์ จะจำกัดผลกระทบเมื่อระบบหนึ่งล้มเหลว

สำหรับการสื่อสารส่วนตัว การเข้ารหัสข้อมูลสำคัญก่อนที่จะถึงที่เก็บข้อมูลคลาวด์หมายความว่าแม้รายละเอียดการกำหนดค่าจะถูกเปิดเผย เนื้อหาที่อยู่เบื้องหลังก็ยังคงได้รับการป้องกัน VPN เพิ่มชั้นการป้องกันเพิ่มเติมด้วยการรักษาความปลอดภัยของการรับส่งข้อมูลระหว่างอุปกรณ์ของคุณและบริการที่คุณเชื่อมต่อ ลดการเปิดเผยบนเครือข่ายที่ไม่น่าเชื่อถือ (สำหรับการมองลึกเพิ่มเติมเกี่ยวกับวิธีที่การเข้ารหัสปกป้องข้อมูลระหว่างการส่งและขณะพัก โปรดดูคู่มือพื้นฐานการเข้ารหัสของเรา)

สิ่งที่ควรนำไปปฏิบัติ

การละเมิดนี้มอบรายการตรวจสอบที่ชัดเจนซึ่งคุ้มค่าแก่การทบทวนสำหรับทุกคนที่จัดการความปลอดภัยดิจิทัลของตนเอง:

  • ตรวจสอบการตั้งค่าการยืนยันตัวตนของคุณ หากเป็นไปได้ ใช้คีย์ความปลอดภัยฮาร์ดแวร์หรือ MFA แบบแอปพลิเคชัน แทนที่จะเป็นรหัส SMS ซึ่งสกัดกั้นได้ง่ายกว่า
  • ตรวจสอบสิทธิ์การจัดเก็บข้อมูลบนคลาวด์ ไฟล์ที่จัดเก็บในบริการคลาวด์ควรมีสิทธิ์ขั้นต่ำที่จำเป็น บัคเก็ตที่กำหนดค่าผิดพลาดและนโยบายการเข้าถึงที่กว้างขวางเป็นปัจจัยที่เกิดขึ้นซ้ำในการละเมิดครั้งใหญ่
  • ระวังการฟิชชิงที่ใช้โดเมนของสถาบัน เมื่อคีย์ DKIM ถูกเปิดเผย อีเมลที่มีการเซ็นชื่อทางเทคนิคจากโดเมนที่ได้รับผลกระทบไม่สามารถเชื่อถือได้ว่าเป็นหลักฐานความถูกต้องเพียงอย่างเดียว
  • เข้ารหัสข้อมูลสำคัญก่อนอัปโหลด การเข้ารหัสแบบ End-to-end ช่วยให้มั่นใจว่าแม้แต่โครงสร้างพื้นฐานที่ถูกบุกรุกก็ไม่ได้หมายความว่าเนื้อหาถูกบุกรุกโดยอัตโนมัติ
  • แบ่งส่วนการเข้าถึงหากเป็นไปได้ SSO คือจุดล้มเหลวเดียวหากไม่มาพร้อมกับการตรวจสอบที่เข้มแข็งและการตรวจจับความผิดปกติ

ShinyHunters มีประวัติที่บันทึกไว้อย่างดีในการละเมิดข้อมูลขนาดใหญ่ เหตุการณ์นี้ยืนยันว่าภัยคุกคามที่ซับซ้อนมองเป้าหมายสถาบันที่มีมูลค่าสูงว่าเป็นการลงทุนที่คุ้มค่าทั้งในด้านเวลาและความพยายาม การทำความเข้าใจว่าการละเมิดเหล่านี้เกิดขึ้นได้อย่างไรคือก้าวแรกในการนำบทเรียนเหล่านั้นไปประยุกต์ใช้กับแนวปฏิบัติด้านความปลอดภัยของคุณเอง