ไมโครซอฟต์ปิดบริการลายเซ็นดิจิทัลที่ออกใบรับรอง...
ไมโครซอฟต์ปิดบริการลายเซ็นดิจิทัลที่ออกใบรับรองเถื่อนให้กับมัลแวร์ หลังพบพัวพันกลุ่มแรนซัมแวร์
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางไมโครซอฟท์ได้ทำการปราบปรามกลุ่มแฮกเกอร์ที่มีชื่อว่า Fox Tempest เนื่องจากกลุ่มแฮกเกอร์ดังกล่าวได้นำเอาระบบโครงสร้างพื้นฐาน (Infrastructure) สำหรับการเซ็นรับรองซอฟต์แวร์ Artifact Signing System ซึ่งเป็นระบบของ�ทางไมโครซอฟท์ ไปให้บริการในการเซ็นรับรองมัลแวร์และแรนซัมแวร์ (Ransomware หรือ มัลแวร์สำหรับการเรียกค่าไถ่) ในรูปแบบ Malware-Signing-as-a-Service (MSaaS) ผ่านทางเว็บไซต์ signspace[.]cloud ซึ่งในปฏิบัติการปราบปรามครั้งนี้ ทางไมโครซอฟท์ได้ทำการปิด เครื่องจำลอง (Virutal Machine) ที่ใช้ในปฏิบัติการของแฮกเกอร์กลุ่มนี้เป็นจำนวนมาก รวมทั้งบล็อกการเข้าถึงโฮสต์เว็บไซต์ (Hosting) ของแฮกเกอร์กลุ่มดังกล่าวเป็นที่เรียบร้อยแล้ว
ซึ่งบริการรับเซ็นมัลแวร์ของ Fox Tempest จะเป็นการใช้งานระบบ Artifact Signing System (เดิมชื่อ Azure Trusted Signing) ซึ่งแต่เดิมนั้นถูกสร้างมาเพื่อให้นักพัฒนา (Developer) สามารถพัฒนาและแจกจ่ายซอฟต์แวร์ได้ง่ายมากยิ่งขึ้น โดยกลไกนี้สามารถสร้างใบรับรองชั่วคราวที่มีอายุสั้น ใช้งานได้เพียง 72 ชั่วโมง มาใช้งานในการเซ็นมัลแวร์ เพื่อให้ตัวมัลแวร์มีความน่าเชื่อถือสามารถติดตั้งได้บนเครื่องของเหยื่อ ซึ่งการบริการนั้นก็ไม่มีอะไรยุ่งยาก เพียงแค่ให้แฮกเกอร์ที่ใช้บริการอัปโหลดไฟล์มัลแวร์ขึ้นไปยังเว็บไซต์ เพียงเท่านี้แฮกเกอร์ที่ใช้บริการก็สามารถใช้งานไฟล์มัลแวร์ เอาไปสวมรอยเป็นซอฟต์แวร์ชื่อดัง เช่น AnyDesk, Microsoft Teams, PuTTY, และ Cisco Webex ด้วยค่าบริการประมาณ 5,000 ดอลลาร์สหรัฐ (163,800 บาท) ถึง 9,000 ดอลลาร์สหรัฐ (294,772.50 บาท)
ทางทีมปราบปรามอาชญากรรมไซเบอร์ของทางไมโครซอฟท์ Digital Crimes Unit ได้เผยว่า กิจกรรมเถื่อนของแฮกเกอร์กลุ่มดังกล่าวนั้น มีความพัวพันกับการแพร่กระจายของมัลแวร์มากมายหลายตัว เช่น มัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ (Infostealer) อย่าง Oyster, Lumma Stealer, และ Vidar Stealer, แรนซัมแวร์อีกมากมายหลายตัว เช่น INC, Qilin, BlackByte, และ Akira ซึ่งมีความเกี่ยวข้องกับการโจมตีอุตสาหกรรมมากมายอย่าง ไม่ว่าจะเป็น การศึกษา, การเงิน, องค์กรรัฐ และด้านสุขภาพ ในหลากประเทศ เช่น ฝรั่งเศส, อินเดีย, จีน และ สหรัฐอเมริกา ล่าสุดยังพบว่ามีความเกี่ยวข้องกับแรนซัมแวร์ Rhysida ของกลุ่ม Vanilla Tempest อีกด้วย
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #ไมโครซอฟต์ #freedomhack
การที่ไมโครซอฟต์ต้องเข้ามากำจัดบริการเซ็นลายเซ็นดิจิทัลที่ใช้ใบรับรองเถื่อนนั้น ถือเป็นสัญญาณเตือนสำคัญเกี่ยวกับความมั่นคงปลอดภัยของระบบซอฟต์แวร์ในยุคดิจิทัล เพราะบริการ Artifact Signing System ถูกออกแบบมาเพื่อเพิ่มความน่าเชื่อถือให้กับซอฟต์แวร์และช่วยให้การแจกจ่ายซอฟต์แวร์เป็นไปอย่างปลอดภัย แต่กลับมีแฮกเกอร์กลุ่ม Fox Tempest นำระบบนี้มาใช้ในทางมิชอบ เพื่อเซ็นมัลแวร์และแรนซัมแวร์ให้ดูเสมือนเป็นซอฟต์แวร์ที่ได้รับการรับรอง ส่งผลให้มัลแวร์เหล่านี้ถูกติดตั้งได้ง่ายขึ้นในเครื่องคอมพิวเตอร์ของเหยื่อ และเพิ่มโอกาสสำเร็จในการโจมตี ประสบการณ์ส่วนตัวจากการทำงานด้านความปลอดภัยไซเบอร์ ทำให้เห็นชัดว่าการโจมตีด้วยแรนซัมแวร์ที่มีใบรับรองดิจิทัลถูกต้องตามระบบ มีผลกระทบอย่างมากต่อองค์กรที่ไม่ทันระวัง ซึ่งบางครั้งระบบป้องกันไวรัสมาตรฐานก็ตรวจจับไม่ได้ทันที เพราะมัลแวร์ดูเหมือนซอฟต์แวร์ปกติ ดังนั้น การแก้ไขปัญหานี้ของไมโครซอฟต์ไม่เพียงแค่ปิดโอกาสให้แฮกเกอร์ใช้งานระบบเท่านั้น แต่ยังช่วยให้ผู้ใช้งานและนักพัฒนาซอฟต์แวร์ได้รับความปลอดภัยมากขึ้นด้วย ในอนาคตอาจต้องเน้นความเข้มงวดในการตรวจสอบและอนุมัติใบรับรองมากกว่านี้ และผู้ใช้ก็ควรมีความระมัดระวังในการติดตั้งโปรแกรมโดยเฉพาะที่ไม่ได้มาจากแหล่งที่เชื่อถือได้ สุดท้าย การทำความเข้าใจว่าระบบ Code Signing Service ทำงานอย่างไร และมีความสำคัญแค่ไหน จะช่วยให้ผู้ใช้สามารถป้องกันตัวเองจากภัยไซเบอร์ รวมถึงการอัปเดตความรู้เกี่ยวกับภัยคุกคามใหม่ ๆ อยู่เสมอ ถือเป็นความจำเป็นอย่างยิ่งในโลกเทคโนโลยีปัจจุบันนี้ จากข้อความบนเว็บไซต์ที่เกี่ยวกับ "Code Signing Service" ที่แฮกเกอร์ใช้เพื่ออัปโหลดไฟล์มัลแวร์และให้ระบบสร้างลายเซ็นชั่วคราวใน 24 ชั่วโมง ก็เป็นส่วนหนึ่งที่สะท้อนความง่ายในการใช้บริการนี้ในการโจมตี ผู้ใช้ควรตระหนักถึงความเสี่ยงนี้และติดตามข่าวสารอย่างใกล้ชิดเพื่อปกป้องข้อมูลและระบบของตนเอง
