ศาลอุทธรณ์อัมสเตอร์ดัมตัดสินจำคุกชายชาวดัตช์วัย 44 ปี เป็นเวลา 7 ปี สำหรับอาชญากรรมหลายข้อหา รวมถึงการแฮกคอมพิวเตอร์และการพยายามรีดไถ เขาถูกกล่าวหาว่าบุกรุกเซิร์ฟเวอร์ในท่าเรือ Rotterdam, Barendrecht และ Antwerp เพื่ออำนวยความสะดวกในการลักลอบนำเข้ายาเสพติดโดยไม่ถูกตรวจจับ การโจมตีเกิดขึ้นโดยพนักงานได้เสียบ USB sticks ที่มีมัลแวร์เข้าสู่ระบบ ทำให้แฮกเกอร์สามารถติดตั้งเครื่องมือเข้าถึงจากระยะไกลเพื่อขโมยข้อมูล การจับกุมและการตัดสินโทษเป็นผลมาจากการถอดรหัสการสื่อสารของเขาบนบริการแชทเข้ารหัส Sky ECC โดย Europol
Severity: สูง
System Impact:
- เซิร์ฟเวอร์ในท่าเรือ Rotterdam (เนเธอร์แลนด์)
- เซิร์ฟเวอร์ในท่าเรือ Barendrecht (เนเธอร์แลนด์)
- เซิร์ฟเวอร์ในท่าเรือ Antwerp (เบลเยียม)
- ระบบไอทีของบริษัทโลจิสติกส์ท่าเรือ
- ระบบภายในและฐานข้อมูลของบริษัทเป้าหมาย
- บริการแชทเข้ารหัสแบบ End-to-end Sky ECC (ใช้โดยแฮกเกอร์)
Technical Attack Steps:
- การเข้าถึงเริ่มต้น: พนักงานของบริษัทโลจิสติกส์ท่าเรือได้เสียบ USB sticks ที่มีมัลแวร์เข้าสู่ระบบไอทีของบริษัท
- การติดตั้งมัลแวร์: มัลแวร์ได้ติดตั้งเครื่องมือเข้าถึงจากระยะไกล (RAT) บนระบบภายในของบริษัทโลจิสติกส์
- การขโมยและดักจับข้อมูล: เครื่องมือเข้าถึงจากระยะไกลถูกใช้เพื่อเข้าถึงระบบท่าเรือ ดึงข้อมูลจากฐานข้อมูล และดักจับข้อมูลระหว่างการส่ง
- วัตถุประสงค์: การเข้าถึงและการจัดการข้อมูลมีวัตถุประสงค์เพื่ออำนวยความสะดวกในการลักลอบนำเข้ายาเสพติดโดยไม่ถูกตรวจจับ
- การพยายามขายต่อ: แฮกเกอร์ยังพยายามขายต่อมัลแวร์และคำแนะนำในการใช้งาน
Recommendations:
Short Term:
- กำหนดนโยบายที่เข้มงวดเกี่ยวกับการใช้งานอุปกรณ์ USB และสแกนสื่อภายนอกทั้งหมดก่อนเชื่อมต่อกับเครือข่ายภายใน
- ปรับปรุงโซลูชันการตรวจจับและตอบสนองที่ปลายทาง (EDR) เพื่อระบุและบล็อกมัลแวร์ที่ไม่รู้จัก
- จัดการอบรมสร้างความตระหนักรู้ให้กับพนักงานทันทีเกี่ยวกับกลวิธีทางวิศวกรรมสังคม (social engineering) และอันตรายของอุปกรณ์ USB ที่ไม่รู้จัก
Long Term:
- สร้างโปรแกรมป้องกันภัยคุกคามจากภายในองค์กร (insider threat program) ที่แข็งแกร่ง พร้อมการเฝ้าระวังอย่างต่อเนื่องและการตรวจสอบความปลอดภัยเป็นประจำ
- ใช้การแบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างของภัยคุกคามภายในเครือข่าย
- ติดตั้งโซลูชันข่าวกรองภัยคุกคามขั้นสูงเพื่อตรวจจับและตอบสนองต่อการโจมตีที่ซับซ้อน
- เสริมสร้างการควบคุมการเข้าถึงและใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ในทุกระบบที่สำคัญ
- อัปเดตและแพตช์ระบบและซอฟต์แวร์ทั้งหมดอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ที่ทราบ
Share this content: