ไมโครซอฟท์เปิดเผยว่า กลุ่มแฮกเกอร์จากจีน ที่เรียกว่า CovertNetwork-1658 ได้ใช้ช่องโหว่ของเราท์เตอร์ TP-Link เป็นช่องทางในการโจมตีองค์กรต่างๆ โดยการยิงรหัสผ่านเข้าสู่บัญชีผู้ใช้ ซึ่งถือเป็นภัยคุกคามที่น่ากังวลสำหรับหลายองค์กร
วิธีการโจมตีของแฮกเกอร์
เมื่อแฮกเกอร์เจาะเราท์เตอร์ TP-Link ได้แล้ว พวกเขาจะติดตั้งโปรแกรมลงในเฟิร์มแวร์ และเปิดช่องทางรับคำสั่งผ่านพอร์ต 7777 จากนั้นจะใช้เราท์เตอร์เหล่านี้ในการยิงรหัสผ่านแบบ password spray ไปยังบัญชีผู้ใช้ขององค์กรต่างๆ โดยแต่ละเราท์เตอร์จะยิงรหัสผ่านแต่ละบัญชีเพียง 1-2 ครั้งต่อวันเท่านั้น เพื่อหลีกเลี่ยงการตรวจจับ
ความเชื่อมโยงระหว่างกลุ่มแฮกเกอร์
ไมโครซอฟท์พบว่า เมื่อกลุ่ม CovertNetwork-1658 ยิงรหัสผ่านสำเร็จแล้ว จะถูกกลุ่ม Storm-0940 นำไปใช้งานต่อ โดยกลุ่ม Storm-0940 จะเข้าสแกนหารหัสผ่านอื่นๆ เพิ่มเติม และติดตั้งซอฟต์แวร์ในเครื่องของเหยื่อ ซึ่งแสดงให้เห็นว่าสองกลุ่มนี้น่าจะมีความเกี่ยวข้องกัน
แนวทางป้องกันจากการโจมตี
ไมโครซอฟท์แนะนำให้ลูกค้าดำเนินการดังนี้:
- ให้ความรู้พนักงานไม่ให้ใช้รหัสผ่านซ้ำกัน
- เปิดการล็อกอินสองขั้นตอน
- เปิดใช้การล็อกอินแบบไม่มีรหัสผ่านไปเลย
- คอนฟิกมาตรฐานการความปลอดภัยบน Azure AD เพิ่มเติม
นอกจากนี้ ยังแนะนำให้ผู้ใช้เราท์เตอร์ TP-Link อัปเดตเฟิร์มแวร์อย่างสม่ำเสมอ เพื่อปิดช่องโหว่ที่อาจจะถูกแฮกเกอร์นำมาใช้ในการโจมตี
