Whitefly กลุ่มแฮกเกอร์เจาะระบบขโมยข้อมูลผู้ป่วยจาก SingHealth เผยพุ่งเป้าหมายไปที่ธุรกิจในสิงคโปร์

วันนี้มาดูข่าวในส่วนของ HealthCare กันบ้าง เหตุจากมีแฮกเกอร์พยายามเจาะข้อมูลสุขภาพของผู้ป่วยจำนวน 1.5 ล้านคน โดยแฮกเกอร์กลุ่มนี้ ได้เปิดเผยตัวว่า มุ่งโจมตีหลายธุรกิจในสิงคโปร์ รวมไปถึงบริษัทข้ามชาติที่มีการดำเนินงานในประเทศ และมุ่งเป้าองค์กรขนาดใหญ่ เล็งเป้าประเทศและภูมิภาคอื่นๆ ด้วย

ข้อมูลผู้ป่วย สำคัญมาก ซึ่งกลายเป็นเป้าของแฮกเกอร์ โดย Symantec ได้รายงานถึงแฮกเกอร์ที่เจาะทำลายข้อมูลผู้ป่วยของศูนย์สุขภาพ SingHealth เผยตัวเป็นกลุ่มที่โจมตีธุรกิจหลายแห่งในสิงคโปร์ รวมไปถึงบริษัทข้ามชาติที่ดำเนินธุรกิจในสิงคโปร์ โดยพุ่งเป้าไปที่หน่วยงานด้านสาธารณสุข สื่อสารมวลชน โทรคมนาคม ตลอดจนหน่วยงานที่มีบทบาท ซึ่งส่งผลต่อการบริหารงานขององค์กรขนาดใหญ่ และขยายกลุ่มเป้าหมายไปยังประเทศอื่นๆ

หน่วยงานด้าน CyberSecurity เผยว่า ได้เริ่มตรวจสอบการโจมตีของ SingHealth ตั้งแต่เดือนกรกฎาคม 2561 และได้สืบสวนหาสาเหตุและวิธีการจากกลุ่มที่ไม่รู้จักนี้ และตรวจสอบการโจมตีอื่นๆ ย้อนไปถึงปี 2560 พบว่า กลุ่มนี้พยายามโจมตีองค์กรในสิงคโปร์ ในหลายๆ ภาคส่วน และเน้นการโจรกรรมข้อมูลในปริมาณมาก โดยเน้นเฉพาะข้อมูลที่สำคัญมากๆ

นักวิจัยของไซแมนเทคค้นพบว่า กลุ่มนี้ ชื่อว่า Whitefly มีเป้าหมายมุ่งโจมตีองค์กรส่วนใหญ่ที่ตั้งอยู่ในสิงคโปร์ในหลากหลายภาคส่วน โดยเป็นการขโมยข้อมูลสำคัญจำนวนมาก

มีคำถามและข้อสงสัย ว่าทำไมกลุ่มนี้ถึงมุ่งเป้าไปที่ธุรกิจในสิงคโปร์ Dick O'Brien นักวิจัยจากหน่วยงานปฏิบัติการด้านความปลอดภัยของ Symantec ได้บอกกับ ZDNet ว่า กลุ่มอื่นๆ มุ่งเน้นโจมตีในประเทศอื่น และภูมิภาคอื่นเท่าที่ทำได้ Whitefly มีส่วนรู้เห็นในการรวบรวมข้อมูล เชื่อมโยงการโจมตีในภูมิภาคอื่นๆ ที่มีเครื่องมือการโจมตีที่คล้ายกัน

O'Brien ไม่ได้เปิดเผยถึงจำนวนองค์กรที่ได้รับผลกระทบจากกลุ่มที่โจมตี นอกจากนี้ การวิจัยยังคงดำเนินต่อไป

โดยเครื่องมือโจมตีที่ถูกใช้โดย Whitefly ถูกนำมาใช้ต่อต้านการโจมตีองค์กรด้านการป้องกันประเทศ การสื่อสาร โทรคมนาคม และด้านพลังงานในเอเชียตะวันออกเฉียงใต้และรัสเซีย อย่างไรก็ตาม Whitefly ได้ยืนยันการโจมตีในสิงคโปร์

ทางฝั่งรัฐบาลสิงคโปร์ ได้เปิดเผยเมื่อเดือนมกราคมว่า สามารถระบุกลุ่มแฮกเกอร์ที่โจมตี SingHealth ได้ และจะดำเนินการตามความเหมาะสมต่อไป แต่จะไม่เปิดเผยตัวตนของพวกเขา เพราะเหตุผลด้านความมั่นคงของประเทศ และไม่ใช่เรื่องที่จะต้องเผยแพร่สาธารณะ



ZDNet ได้สอบถามไปยังหน่วยงาน Cyber Security Agency (CSA) หน่วยงานภาครัฐที่ดูแลเรื่องความปลอดภัยทางไซเบอร์ของสิงคโปร์ รวมไปถึง Whitefly กลุ่มแฮกเกอร์ที่ถูกอ้างอิงถึงเมื่อเดือนมกราคม และหากรัฐบาลได้ทำงานร่วมกับองค์กรใดๆ ที่สามารถเผยตัวตนของแฮกเกอร์ที่โจมตี SingHealth ได้

โฆษกของ CSA ไม่ได้ให้ความเห็นเกี่ยวกับข้อสงสัยนี้ แต่ได้ชี้แจงด้วยข้อความ "บริษัทด้านความปลอดภัยไซเบอร์ มักจัดทำรายงานจากกลุ่มผู้มีส่วนได้ส่วนเสียและมีการวิจัยจากหลายฝ่าย รายงานนี้จึงเป็นการตรวจสอบที่มีอิสระจากองค์กรใดๆ เราไม่มีความเห็นเกี่ยวกับเรื่องนี้"

และเมื่อถาม Symantec ได้ยืนยันว่าจะแชร์ผลวิจัยให้กับ CSA

กลุ่มแฮกเกอร์มุ่งซ่อนตัวในการโจมตี

ตามรายงานของ Symantec ซึ่งเปิดเผยเมื่อวันพุธที่ผ่านมา เผยว่า Whitefly มุ่งเป้าโจมตีโดยใช้มัลแวร์ที่กำหนดเอง และใช้เครื่องมือแฮกที่เป็น Open Source เช่นสคริปต์ของ PowerShell

รูปแบบการโจมตีของกลุ่มนี้คือ พยายามโจมตีเป้าหมายด้วยการจัดการไฟล์ ".exe" หรือ ".dll ซึ่งถูกปลอมแปลงเป็นเอกสารหรือรูปภาพ โดยส่งแนบไฟล์เป็น phishing email หากมีการเปิดอ่านข้อความ จะมีการรัน Trojan ชื่อ Vcrodat บนคอมพิวเตอร์



O'Brien ตั้งข้อสังเกตว่า โทรจัน "Vcrodat ใช้เทคนิคที่เรียกว่า search order hijacking หรือการป่วนคำสั่งการค้นหา สรุปสั้นๆ ก็คือ เทคนิคนี้ หลอก Windows ซึ่งมีการทำงานโดยค้นหาไฟล์ .dll ซึ่งเมื่อค้นเจอ โดยไม่ต้องระบุ path หรือตำแหน่งที่ตั้ง ทำให้ Windows พยายามค้นหาไฟล์ DLLs เจอ แต่ไปเจอไฟล์ .dll ปลอมที่เป็นอันตรายในชื่อเดียวกันกับ .dll ที่ถูกต้อง

ถ้าใครเข้าใจหลักการของ Windows ในการรันไฟล์ .dll จะเข้าใจการทำงานว่า มีการค้นหาไฟล์ .dll ถ้าค้นเจอก็จะทำงานได้เลยโดยไม่มีหน้าต่างแจ้งเตือนอะไร (เราถึงเราค้นหาไฟล์ .dll ในเน็ตมา copy ลงโฟลเดอร์กันได้

ในขณะที่ Windows ไม่สามารถแยกแยะไฟล์ .dll ที่ถูกต้องได้ ปกติ Windows จะหาไฟล์ .dll เอง แต่ถ้าหาไม่เจอจะแจ้งเตือน แต่หากมีไฟล์ที่ชื่อค้นหาตรง ก็จะไม่แจ้งเตือน ซึ่งไม่สามารถป้องกันการโจมตีได้ หากมีการใช้ไฟล์ที่ไม่ได้รับการแก้ไข โดยไปใช้ไฟล์ที่เป็นอันตรายแทน

Symantec เผยว่า Whitefly จะตรวจสอบไม่พบ บางครั้งใช้เวลาหลายเดือน เพราะต้องการโจมตีกลุ่มเป้าหมาย โดยซุ่มเพื่อรอให้ได้ข้อมูลที่ขโมยเป็นจำนวนมาก เทคนิคของมันแยบยลมาก เพราะใช้เครื่องมือหลายชนิด เช่น แฮกด้วยเครื่องมือที่เป็น Open Source ซึ่งอำนวยความสะดวกในการสื่อสารระหว่างแฮกเกอร์และคอมพิวเตอร์ที่ถูกโจมตี

O'Brien กล่าวเพิ่มเติมว่า "ตัวอย่าง หากกลุ่มที่โจมตี ใช้เครื่องมือที่ยังไม่ถูกตรวจพบ จนกว่าจะมีการค้นพบและล็อกเป้าหมาย เราสังเกตว่า Whitefly เน้นเรื่องการขโมยข้อมูลสำคัญในระยะยาว เช่น usernames และ passwords จากองค์กรเป้าหมาย เพื่อให้สามารถแฝงตัวอยู่บนเครือข่ายได้นาน กว่าจะปรากฎตัว

อ้างอิงจาก Symantec การโจมตี SingHealth นั้นไม่ใช่การโจมตีเป็นครั้งๆ แต่เน้นการฝังตัวเพื่อโจมตีองค์กรในระยะยาวและต่อเนื่อง

Whitefly เป็นกลุ่มที่มีความเชี่ยวชาญสูง พวกเขาเน้นการเจาะองค์กรเป้าหมายและฝังตัวอยู่ในเครือข่ายนานพอเพื่อดักข้อมูลในปริมาณที่มาก

SingHealth และหน่วยงานด้านการดูแลสุขภาพของรัฐ ซึ่งอยู่ในความดูแลของหน่วยงานด้านไอทีของรัฐ IHIS ได้ถูกลงโทษ ปรับเป็นเงิน 250,000 ดอลล่าร์สิงคโปร์และ 750,000 ดอลล่าร์สิงคโปร์ตามลำดับ จากเหตุการณ์โจมตีทางไซเบอร์ในเดือนกรกฎาคม 2561 ซึ่งละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นค่าปรับที่เป็นจำนวนที่สูงที่สุดในปัจจุบัน

การเจาะข้อมูลผู้ป่วยถือว่าร้ายแรงมาก เพราะส่งผลต่อระเบียนผู้ป่วยของโรงพยาบาล ศูนย์สุขภาพ วิธีการของแฮกเกอร์ แยบยลและใช้ช่องโหว่ของ Windows ในการเรียกไฟล์ .dll ซึ่งเป็นไฟล์รันโปรแกรม และระบบ Windows ทำให้สามารถขโมยข้อมูลของผู้ป่วยได้ แถมฝังตัวเป็นเวลานานเก็บข้อมูลไปเยอะมาก

ที่มา ZDnet straitstimes channelnewsasia thaicert symantec

Share this Article: