แฮ็กเกอร์กำลังหาทางหลบเลี่ยงเครื่องมือรักษาความปลอดภัยทางไซเบอร์ล่าสุด
ซอฟต์แวร์ EDR ได้รับความนิยมเพิ่มขึ้นเพื่อใช้ในการป้องกันการโจมตีแบบทำลายระบบ เช่น แรนซัมแวร์ นักวิจัยกล่าวว่าช่องโหว่ที่เกี่ยวข้องกับเทคโนโลยีมีเล็กน้อย แต่กำลังขยายมากขึ้น
เนื่องจากการแฮ็กมีความรุนแรง และแพร่กระจายมากขึ้น เครื่องมือที่มีประสิทธิภาพจากบริษัทต่างๆ เป็นประโยชน์สำหรับอุตสาหกรรมความปลอดภัยทางไซเบอร์
เรียกว่าซอฟต์แวร์ตรวจจับและตอบสนองอุปกรณ์ปลายทาง ออกแบบมาเพื่อตรวจจับสัญญาณเริ่มต้นของกิจกรรมที่เป็นอันตรายบนแล็ปท็อป เซิร์ฟเวอร์ และอุปกรณ์อื่นๆ ซึ่งเรียกว่า “อุปกรณ์ปลายทาง” บนเครือข่ายคอมพิวเตอร์ และบล็อกสัญญาณเหล่านั้นก่อนที่ผู้บุกรุกจะขโมยข้อมูลหรือล็อกเครื่องได้
แต่ผู้เชี่ยวชาญกล่าวว่า แฮ็กเกอร์ได้พัฒนาวิธีแก้ปัญหาสำหรับเทคโนโลยีบางรูปแบบ ทำให้พวกเขาสามารถแอบดูผลิตภัณฑ์ที่กลายเป็นวิธีมาตรฐานในการปกป้องระบบที่สำคัญได้
ตัวอย่างเช่น ในช่วงสองปีที่ผ่านมา Mandiant ซึ่งเป็นส่วนหนึ่งของแผนก Google Cloud ของ Alphabet Inc. ได้ตรวจสอบการละเมิด 84 รายการที่ EDR หรือซอฟต์แวร์รักษาความปลอดภัยปลายทางอื่น ๆ ถูกแก้ไขหรือปิดใช้งาน Tyler McLellan นักวิเคราะห์ภัยคุกคามกล่าว
การค้นพบนี้แสดงถึงวิวัฒนาการล่าสุดของเกมแมวจับหนูที่เล่นกันมานานหลายทศวรรษ เนื่องจากแฮ็กเกอร์ปรับเทคนิคของตนเพื่อเอาชนะการป้องกันความปลอดภัยทางไซเบอร์ใหม่ล่าสุด ตามคำกล่าวของ Mark Curphey ผู้ดำรงตำแหน่งอาวุโสที่ McAfee และ Microsoft และตอนนี้เป็นผู้รักษาความปลอดภัยทางไซเบอร์ ผู้ประกอบการในสหราชอาณาจักร
“การแฮ็กเครื่องมือป้องกันการรักษาความปลอดภัยไม่ใช่เรื่องใหม่” เขากล่าว พร้อมเสริมว่า “หากสำเร็จ รางวัลคือการเข้าถึงระบบทั้งหมดที่ใช้ โดยหมายถึงระบบที่ควรได้รับการป้องกัน”
ผู้ตรวจสอบจากบริษัทรักษาความปลอดภัยทางไซเบอร์หลายแห่งกล่าวว่า จำนวนการโจมตีที่ EDR ถูกปิดใช้งานหรือถูก Bypass นั้นมีจำนวนไม่มากแต่ก็มีจำนวนเพิ่มขึ้น และแฮ็กเกอร์ก็เริ่มมีไหวพริบมากขึ้นในการหาวิธีหลบเลี่ยงการป้องกันที่แข็งแกร่งที่มี
ในเดือนธันวาคม Microsoft เปิดเผยในบล็อกโพสต์ว่าแฮ็กเกอร์หลอกให้บริษัทใช้ตรารับรองความถูกต้องกับมัลแวร์ เพื่อปิดการใช้งาน EDR ของบริษัทและเครื่องมือรักษาความปลอดภัยอื่นๆ บนเครือข่ายของเหยื่อ Microsoft ระงับบัญชีนักพัฒนาบุคคลที่สามที่เกี่ยวข้องกับอุบายดังกล่าว และกล่าวว่าบริษัทกำลัง “ดำเนินการแก้ไขปัญหาระยะยาวเพื่อจัดการกับแนวทางปฏิบัติที่หลอกลวงเหล่านี้ และป้องกันผลกระทบต่อลูกค้าในอนาคต”
ในเดือนกุมภาพันธ์ Arctic Wolf Networks ให้รายละเอียดเกี่ยวกับกรณีที่ตรวจสอบเมื่อปลายปีที่แล้ว ซึ่งแฮ็กเกอร์จากกลุ่ม Lorenz ransomware ในตอนแรกถูกขัดขวางโดย EDR ของเหยื่อ แฮ็กเกอร์จัดกลุ่มใหม่และใช้เครื่องมือพิสูจน์หลักฐานดิจิทัลฟรี ซึ่งอนุญาตให้พวกเขาเข้าถึงหน่วยความจำของคอมพิวเตอร์ได้โดยตรง และติดตั้งแรนซัมแวร์ได้สำเร็จ โดยผ่าน EDR บริษัท Arctic Wolf กล่าวว่า ไม่ระบุผู้เสียหายหรือ EDR ที่ได้รับผลกระทบ
และในเดือนเมษายน Sophos Group ได้เปิดเผยมัลแวร์ชิ้นใหม่ที่บริษัทในสหราชอาณาจักรค้นพบว่าใช้เพื่อปิดการใช้งานเครื่องมือ EDR จาก Microsoft, Sophos เองและบริษัทอื่นๆ อีกหลายบริษัทก่อนที่จะติดตั้ง Lockbit และ Medusa Locker ransomware “การบายพาส EDR และการปิดใช้งานซอฟต์แวร์รักษาความปลอดภัยนั้นเป็นกลยุทธ์ที่เพิ่มขึ้นอย่างชัดเจน”
Christopher Budd ผู้จัดการอาวุโสฝ่ายวิจัยภัยคุกคาม “เนื่องจากธรรมชาติของการโจมตีประเภทนี้ จึงตรวจจับได้ยากเป็นพิเศษ เนื่องจากมุ่งเป้าไปที่เครื่องมือที่ตรวจจับและป้องกันการโจมตีทางไซเบอร์”
ตลาดสำหรับ EDR และเทคโนโลยีความปลอดภัยปลายทางใหม่อื่นๆ เติบโตขึ้น 27% แตะที่ 8.6 พันล้านดอลลาร์ทั่วโลกในปีที่แล้ว
ตัวแทนของ Microsoft ปฏิเสธที่จะแสดงความคิดเห็นสำหรับเรื่องนี้ ทศวรรษที่ผ่านมา ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสเป็นซัพพลายเออร์รายใหญ่ของผลิตภัณฑ์รักษาความปลอดภัยสำหรับพีซี และอุปกรณ์ปลายทางอื่นๆ ความนิยมของพวกเขาลดลงเนื่องจากการโจมตีขั้นสูงที่เปิดเผยจุดอ่อนของเทคโนโลยีที่อาศัยนักวิเคราะห์สร้าง “Signatures” ดิจิตอลของมัลแวร์สายพันธุ์ใหม่ด้วยตนเองเพื่อบล็อกพวกเขาตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าว
การเพิ่มขึ้นของแรนซัมแวร์และการโจมตีแบบทำลายระบบอื่นๆ ได้กระตุ้นความต้องการ EDR และเทคโนโลยีที่คล้ายคลึงกัน ซึ่งมีเป้าหมายเพื่อตรวจจับและบล็อกการติดไวรัสก่อนหน้านี้ เครื่องมือจะค้นหาสัญญาณเพิ่มเติมของกิจกรรมที่เป็นอันตราย และทำให้งานที่ต้องใช้เวลานานหลายอย่างในการตรวจสอบและแก้ไขการละเมิดเป็นไปอย่างอัตโนมัติ
เหตุการณ์หนึ่งที่ไม่มีการรายงานก่อนหน้านี้ซึ่งสำนักข่าวบลูมเบิร์กเปิดเผยเกิดขึ้นในเดือนตุลาคม เมื่อกลุ่ม CSIS Security Group ในกรุงโคเปนเฮเกน ประเทศเดนมาร์ก ตรวจสอบการละเมิดของบริษัทผู้ผลิตในยุโรป
แฮ็กเกอร์ใช้ประโยชน์จากจุดอ่อนที่ไม่รู้จักมาก่อนใน EDR ของ Microsoft และพวกเขาบรรจุมัลแวร์ในลักษณะที่ตรวจพบโดยเครื่องมือรักษาความปลอดภัย ซึ่งแจ้งเตือนทีมไอทีของเหยื่อว่าการโจมตีถูกบล็อกแล้ว ตามคำกล่าวของ Jan Kaastrup หัวหน้าเจ้าหน้าที่ฝ่ายนวัตกรรม สำหรับ CSIS ที่ดูแลการสืบสวน แต่แฮ็กเกอร์ไม่หยุดและสามารถโรมมิ่งเครือข่ายได้เป็นเวลาสามสัปดาห์
ไม่พบการละเมิดจนกว่าเหยื่อจะสังเกตเห็นข้อมูลที่ออกจากเครือข่ายของบริษัทและติดต่อบริษัทรักษาความปลอดภัยของเดนมาร์ก Kaastrup ปฏิเสธที่จะระบุตัวเหยื่อ แต่อนุญาตให้ Bloomberg ตรวจสอบสำเนารายงานเหตุการณ์ที่ไม่ระบุตัวตน บริษัทได้รายงานปัญหาไปยัง Microsoft ซึ่งปฏิเสธที่จะแสดงความคิดเห็นต่อ Bloomberg เกี่ยวกับเรื่องนี้
เขากล่าวว่าบทเรียนจากเหตุการณ์ล่าสุดนั้นเรียบง่าย: เทคโนโลยีสามารถทำอะไรได้มากมายกับแฮ็กเกอร์ที่ตั้งใจแน่วแน่เท่านั้น
“ซอฟต์แวร์รักษาความปลอดภัยไม่สามารถทำงานคนเดียวได้ — คุณต้องใช้สายตาบนหน้าจอร่วมกับเทคโนโลยี” เขากล่าว EDR “ดีกว่าซอฟต์แวร์ป้องกันไวรัสมาก แน่นอนคุณต้องการมัน แต่มันไม่ใช่วิธีที่ดีที่สุดที่บางคนคิดว่าจะเป็น”
