เกลือเป็นหนอน! CrowdStrike ไล่ออกพนักงาน “ทรยศ” หลังจับได้ส่งข้อมูลให้แฮกเกอร์
แม้จะเป็นบริษัทรักษาความปลอดภัยไซเบอร์ชื่อดังระดับโลก แต่ CrowdStrike กลับต้องเผชิญกับปัญหาที่หลายองค์กรกลัวที่สุด นั่นคือ “Insider Threat” หรือภัยคุกคามจากคนใน เมื่อบริษัทยืนยันอย่างเป็นทางการว่าได้ไล่พนักงานคนหนึ่งออกแล้วหลังจับได้ว่าส่งข้อมูลภายในให้กับกลุ่มแฮกเกอร์ระดับโลก “Scattered Lapsus$ Hunters” โดยรายงานระบุว่าพนักงานดังกล่าวได้รับข้อเสนอเงิน 25,000 ดอลลาร์สหรัฐฯ (ราว 850,000 บาท)
ภาพหลักฐานปรากฏบน Telegram
เหตุการณ์เริ่มสะเทือนในวันพฤหัสบดีและศุกร์ที่ผ่านมา เมื่อภาพหน้าจอระบบภายในของ CrowdStrike ถูกเผยแพร่บนช่อง Telegram สาธารณะที่ดำเนินการโดย Scattered Lapsus$ Hunters กลุ่มแฮกเกอร์ “ซูเปอร์กรุ๊ป” ที่รวมตัวกันระหว่างสามกลุ่มอันธพาลไซเบอร์ชื่อดังคือ Scattered Spider, LAPSUS$ และ ShinyHunters
โดยภาพหลักฐานที่หลุดออกมาแสดงให้เห็น Dashboard ภายในของบริษัท, หน้าจอ Okta Single Sign-On (SSO) ที่พนักงานใช้เข้าถึงแอปพลิเคชันองค์กร รวมถึงลิงก์ไปยังทรัพยากรภายในบริษัท
กลุ่มแฮกเกอร์อ้างว่าพวกเขาเจาะเข้าระบบ CrowdStrike ผ่านการโจมตี Third-Party ที่ Gainsight (แพลตฟอร์ม Customer Success ที่ใช้โดยลูกค้า Salesforce) แต่ความจริงกลับแตกต่างไปจากที่คิด
ความจริงที่น่าตกใจ: ถูกซื้อตัวจากภายใน
CrowdStrike เปิดเผยว่า “การรั่วไหล” ที่เกิดขึ้นไม่ได้มาจากการเจาะระบบที่ซับซ้อน แต่เป็นการที่พนักงานคนหนึ่ง “ถ่ายภาพหน้าจอคอมพิวเตอร์ตัวเองแล้วส่งให้บุคคลภายนอก”
ตามรายงานจาก ShinyHunters (หนึ่งในกลุ่มภายใต้ Scattered Lapsus$ Hunters) พวกเขาเสนอเงิน 25,000 ดอลลาร์สหรัฐฯ ให้กับพนักงานคนนี้เพื่อแลกกับการเข้าถึงเครือข่ายของ CrowdStrike กลุ่มแฮกเกอร์อ้างว่าได้รับ Authentication Cookies ของ SSO จากพนักงานคนดังกล่าว ซึ่งสามารถใช้ข้ามระบบรักษาความปลอดภัยได้
อย่างไรก็ตาม CrowdStrike ยืนยันว่า Security Operations Center (SOC) ของบริษัทตรวจพบกิจกรรมที่น่าสงสัยทันเวลา และสามารถตัดการเข้าถึงของพนักงานคนนี้ก่อนที่แฮกเกอร์จะสามารถเข้าถึงระบบได้อย่างเต็มรูปแบบ
โฆษกของ CrowdStrike ให้คำแถลงอย่างชัดเจนว่า “เราจับได้และไล่หนอนบ่อนไส้คนนี้เมื่อเดือนที่แล้ว หลังจากการสอบสวนภายในพบว่าเขาแชร์ภาพหน้าจอคอมพิวเตอร์ของตัวเองให้กับบุคคลภายนอก ระบบของเราไม่เคยถูกบุกรุกจริง และลูกค้าของเรายังคงได้รับความคุ้มครองตลอดเวลา เราได้ส่งเรื่องนี้ให้กับหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องแล้ว”
นอกจากนี้ กลุ่มแฮกเกอร์ยังพยายามขอซื้อ รายงานข่าวกรองของ CrowdStrike เกี่ยวกับ ShinyHunters และ Scattered Spider (เพื่อดูว่า CrowdStrike รู้อะไรเกี่ยวกับพวกเขาบ้าง) แต่ไม่ได้รับ ก่อนที่พนักงานจะถูกไล่ออก