Oracle PeopleSoft ถูกโจมตีหนัก แฮกเกอร์อ้างขโมยข้อมูลกว่า 100 องค์กรทั่วโลก

มีรายงานพบการโจมตีครั้งใหญ่ที่มุ่งเป้าไปยัง Oracle PeopleSoft ซอฟต์แวร์ระดับองค์กรที่ถูกใช้งานอย่างแพร่หลายในหน่วยงานภาครัฐ มหาวิทยาลัย และองค์กรขนาดใหญ่ทั่วโลก หลังกลุ่มอาชญากรไซเบอร์ ShinyHunters ออกมาอ้างว่าประสบความสำเร็จในการขโมยข้อมูลจากเซิร์ฟเวอร์ PeopleSoft มากกว่า 300 ระบบ ครอบคลุมองค์กรกว่า 100 แห่ง

Oracle PeopleSoft เป็นแพลตฟอร์มบริหารจัดการองค์กรที่รองรับงานสำคัญหลายด้าน ไม่ว่าจะเป็นทรัพยากรบุคคล เงินเดือน การเงิน การจัดซื้อ ซัพพลายเชน และระบบบริหารจัดการนักศึกษา ทำให้หากระบบถูกเจาะสำเร็จ อาจส่งผลกระทบต่อข้อมูลสำคัญจำนวนมหาศาล

รายงานระบุว่าทั้งระบบ PeopleSoft ที่ติดตั้งภายในองค์กร (On-Premises) และระบบที่ทำงานบนคลาวด์ต่างตกเป็นเป้าหมายของการโจมตี โดยหลายองค์กรได้รับจดหมายเรียกค่าไถ่ที่ลงชื่อโดยกลุ่ม ShinyHunters ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่มีชื่อเสียงจากการโจมตีและขโมยข้อมูลขนาดใหญ่ในช่วงหลายปีที่ผ่านมา

แฮกเกอร์อ้างใช้ช่องโหว่ผสม Zero-Day เจาะระบบ

ShinyHunters เปิดเผยกับสื่อด้านความปลอดภัยไซเบอร์ว่า การโจมตีครั้งนี้อาศัยการเชื่อมโยงช่องโหว่หลายรายการเข้าด้วยกัน ทั้งช่องโหว่เก่าและช่องโหว่แบบ Zero-Day ที่ยังไม่มีการเปิดเผยต่อสาธารณะ เพื่อใช้เป็นเส้นทางในการเข้าถึงระบบเป้าหมาย

อย่างไรก็ตาม กลุ่มผู้โจมตียอมรับว่าการโจมตีไม่ได้ประสบความสำเร็จในทุกระบบ โดยความสำเร็จขึ้นอยู่กับการตั้งค่าความปลอดภัยของแต่ละองค์กร

ข้อมูลจากผู้โจมตียังระบุว่า เหยื่อส่วนใหญ่เป็นสถาบันการศึกษา ซึ่งหลายแห่งเคยตกเป็นเป้าหมายของการเรียกค่าไถ่มาก่อน ขณะที่มหาวิทยาลัย Nottingham ได้ออกมายืนยันว่าประสบเหตุการณ์ด้านความปลอดภัยไซเบอร์จริง และกำลังอยู่ระหว่างการตรวจสอบผลกระทบที่เกิดขึ้น

แม้ Oracle จะยังไม่ได้ออกมาเปิดเผยรายละเอียดหรือยืนยันว่ามีการใช้ช่องโหว่ Zero-Day ใน PeopleSoft หรือไม่ แต่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ได้พบร่องรอยเครื่องมือที่เกี่ยวข้องกับการโจมตีดังกล่าวบนอินเทอร์เน็ต ซึ่งบ่งชี้ว่าปฏิบัติการนี้มีการเตรียมการอย่างเป็นระบบ

พบเครื่องมือเรียกค่าไถ่และสคริปต์เจาะระบบอัตโนมัติ

นักวิจัยด้านความปลอดภัยไซเบอร์รายหนึ่งเปิดเผยว่า พบไดเรกทอรีที่เปิดเผยสู่สาธารณะ ซึ่งภายในมีเครื่องมือที่เกี่ยวข้องกับการโจมตี PeopleSoft รวมถึงซอฟต์แวร์ควบคุมเครื่องจากระยะไกล สคริปต์สำหรับโจมตีข้อมูลรับรองผู้ใช้งาน และเครื่องมือสำหรับฝังข้อความเรียกค่าไถ่ลงในระบบ

จากการวิเคราะห์พบว่าสคริปต์ดังกล่าวจะค้นหาเซิร์ฟเวอร์ที่เกี่ยวข้องกับ PeopleSoft ภายในเครือข่าย จากนั้นพยายามเข้าสู่ระบบผ่าน SSH โดยใช้บัญชีผู้ดูแลระบบยอดนิยม เช่น psoft, oracle และ linuxadm หากไม่สามารถล็อกอินด้วยรหัสผ่านได้ ระบบจะพยายามใช้กุญแจ SSH ที่พบในเครื่องแทน

เมื่อเข้าถึงเซิร์ฟเวอร์ได้สำเร็จ สคริปต์จะสร้างไฟล์ข้อความแจ้งเตือนการถูกแฮ็ก พร้อมทิ้งโน้ตเรียกค่าไถ่ไว้ในโฟลเดอร์ที่เกี่ยวข้องกับระบบเว็บและแอปพลิเคชันของ PeopleSoft

ผู้เชี่ยวชาญแนะนำให้องค์กรที่ใช้งาน Oracle PeopleSoft ตรวจสอบบันทึกการเชื่อมต่อและกิจกรรมผิดปกติอย่างเร่งด่วน หากพบร่องรอยการเชื่อมต่อที่น่าสงสัย ควรเริ่มกระบวนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทันที รวมถึงพิจารณาถอดเซิร์ฟเวอร์ที่ได้รับผลกระทบออกจากอินเทอร์เน็ตชั่วคราว จนกว่าจะสามารถประเมินและแก้ไขความเสี่ยงได้อย่างครบถ้วน

เหตุการณ์ครั้งนี้สะท้อนให้เห็นว่า ระบบซอฟต์แวร์องค์กรที่เก็บข้อมูลสำคัญยังคงเป็นเป้าหมายหลักของกลุ่มอาชญากรไซเบอร์ และองค์กรที่ใช้งานแพลตฟอร์มขนาดใหญ่อย่าง PeopleSoft ควรเร่งทบทวนมาตรการป้องกันและตรวจสอบความปลอดภัยของระบบอย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากการโจมตีที่อาจสร้างความเสียหายรุนแรงต่อธุรกิจและข้อมูลสำคัญในอนาคต

ที่มา bleepingcomputer