พบแฮกเกอร์รูปแบบใหม่ แฮกบัญชี Google Cloud เพื่อขุด Crypto

เดือนพฤศจิกายนที่ผ่านมา ทีมรักษาความปลอดภัยทางไซเบอร์ของ Google ได้เผยแพร่รายงานที่มีชื่อว่า Threat Horizon ซึ่งภายในได้เปิดเผยกรณีการพบแฮกเกอร์ทำการแฮกบัญชี Google Cloud Platform (GCP) ที่มีระบบรักษาความปลอดภัยที่อ่อนแอ เพื่อใช้บัญชีนั้นในการขุดเหรียญคริปโต นอกจากนี้ยังมีการใช้บัญชีเพื่อติดตั้งเครื่องมือสำหรับการคุกคามทางไซเบอร์อื่น ๆ อาทิ Ransomware, Phishing, หรือแม้แต่ใช้สร้างยอดวิว (View) ใน YouTube อีกด้วย

จากรายงาน ทีมรักษาความปลอดภัยทางไซเบอร์ของ Google ได้ทำการวิเคราะห์บัญชี Google Cloud Platform จำนวน 50 บัญชีจากบัญชีทั้งหมดที่ถูกแฮก พบว่ากว่า 86 เปอร์เซ็นต์ของบัญชีเหล่านั้นถูกแฮกไปเพื่อติดตั้งซอฟต์แวร์สำหรับขุดเหรียญคริปโตเคอร์เร็นซี โดยหลังจากแฮกได้ แฮกเกอร์จะทำการติดตั้งซอฟต์แวร์ดังกล่าวอย่างรวดเร็ว โดยใช้เวลาเพียงแค่ 22 วินาทีเท่านั้น

การขุดเหรียญสกุลเงินคริปโต เช่น บิตคอยน์ นั้น จำเป็นต้องอาศัยทรัพยากรในการคิดคำนวณเพื่อแก้สมการทางคณิตศาสตร์ที่ถูกสร้างขึ้นโดยระบบ ซึ่งนักขุดหรือ miner ที่ทำได้สำเร็จเป็นคนแรก ก็จะได้รับรางวัลตอบแทนเป็นเหรียญสกุลเงินคริปโตดังกล่าว โดยนอกจากจะต้องแข่งขันกันเองระหว่างนักขุดแล้ว ด้วยความที่ปริมาณเหรียญทั้งหมดในระบบมีจำนวนจำกัด ดังนั้น เมื่อมีการขุดเหรียญไปในระยะหนึ่ง ระบบจะทำการเพิ่มระดับความยากของสมการขึ้น เพื่อเพิ่มความท้าทาย ระยะเวลา และทรัพยากรที่จะถูกใช้ในการแก้สมการ รวมทั้งยังมีการลดปริมาณของผลตอบแทนลง ทำให้มีการแข่งขันสูงมากยิ่งขึ้นเมื่อมีนักขุดหน้าใหม่เข้ามามากยิ่งขึ้น ซึ่งแฮกเกอร์ก็ใช้ประโยชน์จากกำลังในการประมวลผลของคอมพิวเตอร์ของเหยื่อเพื่อนำไปขุดคริปโตแบบไม่ต้องเสียต้นทุน

โดยหลังจากแฮกได้สำเร็จแล้ว แฮกเกอร์ยังสามารถใช้ประโยชน์จากบัญชีของเหยื่อในการสแกนหาบัญชีอื่น ๆ ที่มีการรักษาความปลอดภัยที่หละหลวมเพื่อแฮกต่อไปได้อีก นอกจากการขุดเหรียบคริปโตแล้ว Google ยังตรวจพบแฮกเกอร์ที่มาจากกลุ่มแฮกเกอร์ซึ่งได้รับการสนับสนุนจากรัฐบาลรัสเซียในการแฮกบัญชี Gmail เพื่อขโมยข้อมูล และกลุ่มแฮกเกอร์จากเกาหลีเหนือที่ใช้โพสต์สมัครงานปลอมในการปล่อย Malware อีกด้วย

จากรายงานพบว่าบัญชีส่วนมากที่ถูกแฮกนั้น 48 เปอร์เซ็นต์เกิดจากการที่บัญชีนั้นเป็นบัญชี Instance Cloud ที่ตั้งรหัสผ่านของบัญชี หรือรหัสผ่านของการเชื่อมต่อ API ที่ไม่รัดกุม หรือไม่มีการตั้งรหัสผ่านเลย ส่งผลให้ตกเป็นเหยื่อของแฮกเกอร์ และอีก 26 เปอร์เซ็นต์เกิดจากบน Cloud ของบัญชีนั้น ๆ มีการติดตั้งซอฟต์แวร์จากผู้ให้บริการอื่น (Third-party) ที่มีช่องโหว่ด้านระบบรักษาความปลอดภัย และ 4 เปอร์เซ็นต์ที่เหลือเกิดจากการที่มีข้อมูลที่รั่วไหลบน GitHub

ด้วยเหตุนี้ Google จึงออกมาเตือนผู้ใช้บริการ Cloud ทุกคนให้ทำการอัปเกรดระบบรักษาความปลอดภัยให้แน่นหนามากยิ่งขึ้น ด้วยการใช้ระบบรักษาความปลอดภัยแบบ Two-Factor Authentication ซึ่งเป็นการรักษาความปลอดภัยแบบสองขั้นตอน โดยที่ทาง Google เองก็จะคอยทำการตรวจสอบภัยคุกคามต่าง ๆ และเตือนภัยผู้ใช้ให้ทันท่วงทีเมื่อถูกละเมิดความปลอดภัย

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

References:
Sundaravelu, A, 2021. Google says people are hacking cloud accounts to mine cryptocurrency. [online] The Hacker News. Available at <https://metro.co.uk/…/google-says-people-are-hacking…/> [Accessed 30 November 2021]
Lakshmana, R, 2021. Hackers Using Compromised Google Cloud Accounts to Mine Cryptocurrency. [online] The Hacker News. Available at <https://thehackernews.com/…/hackers-using-compromised…> [Accessed 30 November 2021]