แฮกเกอร์ใช้จุดอ่อนใน Microsoft ClickOnce และ AWS โจมตีภาคพลังงาน
นักวิจัยความปลอดภัยเตือนภัยการโจมตีรูปแบบใหม่ที่เรียกว่า OneClik ซึ่งกลุ่มแฮกเกอร์ได้นำเทคนิคการโจมตีที่ซับซ้อนมาใช้โดยอาศัยช่องโหว่ของ Microsoft ClickOnce และบริการคลาวด์ของ Amazon Web Services (AWS) ในการติดตั้งซอฟต์แวร์ พร้อมกับการฝัง backdoor ที่เขียนด้วยภาษา Golang เพื่อเจาะและแทรกซึมองค์กรในกลุ่มอุตสาหกรรมพลังงาน น้ำมัน และก๊าซ
ซึ่งกลุ่มเป้าหมายหลักของการโจมตีอย่างองค์กรในอุตสาหกรรมพลังงานนี้ ถือเป็นกลุ่มเสี่ยงสูงเพราะข้อมูลและระบบเป็นทรัพยากรที่สำคัญและถูกคุกคามอย่างต่อเนื่อง และคุ้มค่าหากสามารถเล่นงานได้สำเร็จ
OneClik เป็นชุดเครื่องมือการโจมตีที่แฮกเกอร์ออกแบบมาเพื่อใช้เจาะระบบผ่านช่องทาง ClickOnce ของ Microsoft ซึ่งเป็นเทคโนโลยีสำหรับติดตั้งและอัปเดตโปรแกรมผ่านเว็บโดยอัตโนมัติ เทคนิคนี้ช่วยให้ผู้โจมตีสามารถแพร่กระจายมัลแวร์ได้อย่างรวดเร็วและตรวจจับยาก
อย่างไรก็ตาม Microsoft ClickOnce เองไม่ได้มี “ช่องโหว่” หรือข้อบกพร่องแต่อย่างใด ในกรณีนี้ถูกแฮกเกอร์ “ใช้ในทางที่ผิด” เพื่อแพร่กระจายมัลแวร์ โดยอาศัยจุดอ่อนเชิงพฤติกรรมของผู้ใช้และธรรมชาติของ ClickOnce เอง
โดยแฮกเกอร์ใช้ช่องโหว่ที่บางองค์กรตั้งค่าเซิร์ฟเวอร์ AWS S3 Bucket อย่างผิดพลาดอย่างไม่ตั้งใจ เป็นจุดส่งมัลแวร์ โดยไฟล์ติดตั้งที่ถูกปลอมแปลงจะถูกแจกจ่ายผ่าน ClickOnce บนเว็บและสามารถติดตั้งมัลแวร์ลงในเครื่องเหยื่อได้ทันทีเมื่อเหยื่อกดดาวน์โหลดหรือรันโปรแกรม
การใช้ AWS ช่วยให้แฮ็กเกอร์สามารถซ่อนแหล่งที่มาได้ง่าย และเพิ่มความน่าเชื่อถือให้กับไฟล์ที่ส่งไปยังเหยื่อ นอกจากนี้ยังทำให้การตรวจจับมัลแวร์ทำได้ยากขึ้น
เพื่อการป้องกันความเสี่ยง ทีม DevOps และทีมไอทีภายในองค์กร ควรประสานกับพาร์ทเนอร์ของ AWS เพื่อตรวจสอบการตั้งค่าบริการ AWS S3 Bucket ให้ถูกต้องและเข้มงวด รวมถึงระวังไฟล์ติดตั้งที่ดาวน์โหลดผ่าน ClickOnce โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ
และท้ายสุดคือฝึกอบรมพนักงานเรื่องความปลอดภัยไซเบอร์ และหลีกเลี่ยงการติดตั้งโปรแกรมจากแหล่งไม่ชัดเจน