เมื่อต้นปีนี้ กลุ่มแฮกเกอร์ที่เกี่ยวข้องกับรัฐบาลจีนและเป็นที่รู้จักในนาม Hafnium ใช้ช่องโหว่ใน Exchange Server ของ Microsoft . การโจมตีดังกล่าวทำให้พวกเขาสามารถเข้าถึงเซิร์ฟเวอร์กว่า 60,000 เซิร์ฟเวอร์ รวมถึงเซิร์ฟเวอร์ของบริษัทใหญ่และธนาคาร
การโจมตีนี้แยกจากแฮ็ก SolarWinds ที่ส่งผลกระทบต่อลูกค้าหลายพันรายในปีที่แล้วผ่านช่องโหว่แบ็คดอร์ในซอฟต์แวร์ของบริษัท ในกรณีดังกล่าว กลุ่มรัสเซียสามารถใช้ซอฟต์แวร์ของ SolarWinds ได้ ซึ่งเมื่อติดตั้งผ่านการอัปเดตบนเครือข่ายไคลเอ็นต์ อนุญาตให้แฮกเกอร์ปรับใช้โค้ดที่เป็นอันตรายได้ ในกรณีดังกล่าว Microsoft ได้ทำงานร่วมกับบริษัทรักษาความปลอดภัยทางไซเบอร์อย่าง FireEye เพื่อตัดการโจมตีโดยการซ่อนโดเมนที่ใช้เพื่อรับคำแนะนำเพิ่มเติม
การโจมตีของ Exchange Server นั้นแตกต่างกัน โดยใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยที่เป็นที่รู้จักซึ่งส่งผลต่อเซิร์ฟเวอร์แลกเปลี่ยนภายในองค์กร หรือที่เรียกว่าการโจมตีซีโร่เดย์ แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ และโดยที่พวกเขาไม่รู้ว่าโค้ดที่เป็นอันตรายถูกวางบนเซิร์ฟเวอร์ การละเมิดดังกล่าวแพร่หลายมากจนฝ่ายบริหารของไบเดนเรียกร้องให้มี 'การตอบสนองของรัฐบาลทั้งหมด'
ปรากฏว่าไมโครซอฟต์เคยเป็น แจ้งปัญหาครั้งแรกในเดือนมกราคม แต่ไม่ได้ออกแพตช์จนถึงเดือนมีนาคม นั่นเป็นครั้งแรกที่ประเด็นนี้ได้รับการยอมรับอย่างเปิดเผย ในช่วงเวลานั้น แฮ็กเกอร์สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนในบริษัทหลายพันแห่ง หน่วยงานรัฐบาล และองค์กรอื่นๆ
ตั้งแต่นั้นมา หลายคนสามารถแก้ไขข้อบกพร่องและลบโค้ดที่เป็นอันตราย ซึ่งเรียกว่าเว็บเชลล์ อย่างไรก็ตาม ผู้ใช้บางคนยังต้องลดการโจมตี แม้ว่าพวกเขาจะติดตั้งแพตช์นี้แล้ว รัฐบาลกล่าวว่ามีองค์กรไม่กี่ร้อยแห่งที่ไม่ได้ลบเว็บเชลล์ออกจากเซิร์ฟเวอร์ที่ติดไวรัส
นั่นทำให้พวกเขาเสี่ยงไม่เฉพาะกับแฮ็กเกอร์ดั้งเดิมเท่านั้น แต่เมื่อแบ็คดอร์กลายเป็นสาธารณะไปยังกลุ่มอื่น ๆ ที่ใช้ประโยชน์จากช่องโหว่เดียวกัน
ใน คำให้การ กระทรวงยุติธรรมกล่าวว่า:
ตลอดเดือนมีนาคม Microsoft และพันธมิตรในอุตสาหกรรมอื่นๆ ได้ออกเครื่องมือตรวจจับ แพทช์ และข้อมูลอื่นๆ เพื่อช่วยหน่วยงานที่เป็นเหยื่อในการระบุและบรรเทาเหตุการณ์ทางไซเบอร์นี้ นอกจากนี้ FBI และ Cybersecurity and Infrastructure Security Agency ได้ออกคำแนะนำร่วมเกี่ยวกับการประนีประนอมของ Microsoft Exchange Server เมื่อวันที่ 10 มีนาคม แม้จะมีความพยายามเหล่านี้ แต่ภายในสิ้นเดือนมีนาคม เว็บเชลล์หลายร้อยรายการยังคงอยู่ในคอมพิวเตอร์บางเครื่องที่ใช้ Microsoft Exchange ซอฟต์แวร์เซิร์ฟเวอร์
ด้วยคำอวยพรของศาลรัฐบาลกลางในฮูสตัน เอฟบีไอจึงใช้เครื่องมือชุดเดียวกันกับที่แฮ็กเกอร์ใช้ และกำลังเข้าถึงเซิร์ฟเวอร์เพื่อลบโค้ดที่เป็นอันตราย ในกรณีส่วนใหญ่ สิ่งนี้เกิดขึ้นโดยปราศจากความรู้หรือความตระหนักของเจ้าของเซิร์ฟเวอร์
ฉันคิดว่ามันยุติธรรมที่จะบอกว่าสิ่งนี้ไม่เคยเกิดขึ้นมาก่อน โดยปกติแล้ว รัฐบาลกลางจะไม่ได้รับอนุญาตให้แฮ็คและลบเนื้อหาออกจากเครือข่ายคอมพิวเตอร์ ฉันไม่ได้บอกว่าสิ่งที่พวกเขาทำนั้นผิดกฎหมาย - เห็นได้ชัดว่าไม่ใช่ ดังนั้นคำสั่งจากผู้พิพากษา อย่างไรก็ตาม เผยให้เห็นว่ารัฐบาลกลางมีความสามารถพิเศษในเรื่องความปลอดภัยทางไซเบอร์
แค่เมื่อวาน เดอะวอชิงตันโพสต์ รายงาน FBI สามารถปลดล็อก iPhone ของมือปืนซานเบอร์นาดิโนได้อย่างไร หน่วยงานดังกล่าวใช้บริษัท Azimuth ของออสเตรเลียเพื่อพัฒนาวิธีการเข้าถึงอุปกรณ์ซึ่งเป็นศูนย์กลางของการต่อสู้ครั้งใหญ่ระหว่าง Apple กับการบังคับใช้กฎหมายของรัฐบาลกลาง
ในกรณีของ Exchange Server รัฐบาลรู้สึกว่าความเสี่ยงของการประนีประนอมเพิ่มเติมสำหรับบริษัทที่เกี่ยวข้องนั้นต้องมีการดำเนินการที่รุนแรง 'การดำเนินการที่ได้รับอนุญาตจากศาลในการคัดลอกและลบเว็บเชลล์ที่เป็นอันตรายออกจากคอมพิวเตอร์ที่มีช่องโหว่หลายร้อยเครื่อง แสดงให้เห็นถึงความมุ่งมั่นของเราที่จะใช้ทรัพยากรใดๆ ที่เป็นไปได้ในการต่อสู้กับอาชญากรไซเบอร์' รักษาการอัยการสหรัฐฯ เจนนิเฟอร์ บี. โลเวอรีแห่งเขตทางใต้ของเท็กซัสกล่าว
เดซี่ เดอ ลา โฮยา เอจ
โดยพื้นฐานแล้ว รัฐบาลกำลังแนะนำว่าหากบริษัทต่างๆ จะไม่ดำเนินการใดๆ เพื่อปกป้องเครือข่ายและกำจัดภัยคุกคามทางไซเบอร์ ก็ยินดีที่จะก้าวเข้ามาและยืดหยุ่นกล้ามเนื้อในโลกไซเบอร์ของตัวเอง นั่นหมายความว่า หากคุณต้องการป้องกันไม่ให้ FBI เข้าไปยุ่งเกี่ยวกับธุรกิจของคุณในอนาคต ให้ปิดประตูหลังไว้
