สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) สพร. ... / บริการและโครงการ / ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเ... / ข่าวสารด้านความมั่นคงปลอดภัยทางไซเบอร์ / CircleCi โดนแฮกเนื่องจากโดนมัลแวร์ขโมย 2FA-back...

CircleCi โดนแฮกเนื่องจากโดนมัลแวร์ขโมย 2FA-backed ของวิศวกรไป

29 January 2566

แฮกเกอร์ได้เจาะเข้าระบบของ CircleCi ในเดือนธันวาคมที่ผ่านมาหลังจากที่วิศวกรคนนึงได้ติดตั้งมัลแวร์ขโมยข้อมูล จึงทำให้แฮกเกอร์สามารถเข้าถึงระบบภายในของบริษัทได้ ซึ่งเมื่อต้นเดือนที่ผ่านมาทาง CircleCi ได้ออกมาเปิดเผยเกี่ยวกับเรื่องดังกล่าว พร้อมออกเตือนลูกค้าทุกรายให้ทำการเปลี่ยน token และ secret ในตอนแรกนั้นทาง CircleCi บอกว่าพวกเขาทราบว่ามีการเข้าถึงระบบโดยไม่ได้รับอนุญาตหลังจากที่ทางลูกค้าได้รายงานว่า GitHub OAuth token ได้ถูกเข้าถึง ด้วยเหตุการณ์นั้นเองจึงทำให้ CircleCi ต้องเปลี่ยน GitHub OAuth token ให้กับลูกค้าทันที ซึ่งต่อมาในวันที่ 4 มกราคม ทางการสืบสวนภายในได้สรุปออกมาว่า มีวิศวกรคนนึงได้โดนมัลแวร์ขโมยข้อมูลใน วันที่ 16 ธันวาคม โดยที่ซอฟต์แวร์ antivirus ของทางบริษัทไม่สามารถตรวจจับได้ มัลแวร์ตัวนี้ได้ขโมย session cookie ที่ได้ผ่านการยืนยันตัวแบบ 2FA ไปแล้ว ทำให้ผู้โจมตีสามารถ log-in เข้าสู่ระบบในฐานะผู้ใช้งานโดยไม่ต้องไปยืนยันตัวโดย 2FA อีกครั้ง ซึ่งเข้าถึงด้วย privilege ระดับวิศวกรจึงทำให้แฮกเกอร์สามารถขโมยข้อมูลได้ตั้งแต่วันที่ 22 ธันวาคม จากบริษัทที่เป็นลูกค้า ซึ่งเป็นข้อมูล database ที่มีทั้ง environment variable, โทเค็น และคีย์ของลูกค้า โดยข้อมูลทั้งหมดปกติแล้วทาง CircleCi จะทำการเข้ารหัสทั้งหมด แต่ทางแฮกเกอร์ได้ขโมย คีย์ถอดรหัสไปด้วยวิธีการ dump ออกมาจาก โปรเซสที่กำลังทำงานอยู่

จึงเป็นไปได้ว่าผู้โจมตีสามารถถอดรหัสข้อมูลที่ขโมยไปได้ทั้งหมด ทาง CircleCi ได้ตอบโต้การโดนโจมตีดังกล่าวด้วยการเปลี่ยน Token ทั้งหมดที่เกี่ยวข้องกับลูกค้า ไม่ว่าจะเป็น Project API token, Personal API Tokens และ GitHub OAuth tokens ทางบริษัทยังได้ร่วมกันกับทาง Atlassian และ AWS ในการแจ้งเตือนไปยังลูกค้าเกี่ยวกับความเป็นไปได้ที่ผู้โจมตีจะเข้าถึง Bitbucket token และ AWS token ด้วยกับเหตุการณ์ของ CircleCi แสดงให้เห็นว่า มีการเพิ่มขึ้นของการโจมตีที่เจาะจงเป้าหมายไปยัง Multi-factor authentication ไม่ว่าจะผ่านทางการใช้มัลแวร์ขโมยข้อมูล หรือใช้วิธีการ phishing attack ด้วยกับเหตุผลแบบนี้เองหลายบริษัทจึงพยายามปรับตัวเองให้ไปใช้ MFA มากขึ้นเพื่อป้องกันการเข้าถึงระบบ แต่อย่างไรก็ตามผู้โจมตีเองก็พยายามคิดค้นวิธีต่างๆ เพื่อบายพาส MFA ยกตัวอย่างเช่นในกรณีข้อง CircleCi ที่ใช้การขโมย session cookie ที่ผ่านการ Authentication แล้ว หรือใช้การทำ MFA Fatigue attack เป็นต้น วิธีการดังกล่าวได้รับความสำเร็จอย่างมากเนื่องจากมันสามารถโจมตีไปยังบริษัทใหญ่ๆ ได้สำเร็จไม่ว่าจะเป็น Microsoft, Cisco, Uber และล่าสุด CircleCi ซึ่งทาง Microsoft และ Duo ได้แนะนำไปยังแอดมินให้ทำการใช้ฟีเจอร์ใหม่อย่าง MFA number matching หรือรู้จักกันในชื่อ Verified Push ใน Duo เพื่อป้องกันการใช้ข้อมูลที่ถูกขโมยมา log-in