- กลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google ยืนยันว่าเมื่อไม่นานมานี้มีการโจมตีนักวิจัยด้านความปลอดภัย และมีการใช้ช่องโหว่ซีโร่เดย์ในการโจมตีครั้งนี้
- ช่องโหว่ซีโร่เดย์ดังกล่าวได้ถูกรายงานให้ผู้จำหน่ายที่เกี่ยวข้องทราบแล้ว และกำลังอยู่ระหว่างการออกแพตช์
- ผู้โจมตีจากเกาหลีเหนือได้สนทนากับเป้าหมายอย่างต่อเนื่องผ่านโซเชียลมีเดีย เช่น Twitter เพื่อสร้างความสัมพันธ์
- ในกรณีหนึ่ง พวกเขาพูดคุยกับนักวิจัยด้านความปลอดภัยรายหนึ่งเป็นเวลาหลายเดือนเกี่ยวกับหัวข้อที่ทั้งสองฝ่ายสนใจร่วมกัน เพื่อสร้างความไว้วางใจ
- หลังจากนั้น พวกเขาย้ายไปใช้แอปส่งข้อความที่เข้ารหัส และส่งไฟล์อันตรายที่มีช่องโหว่ซีโร่เดย์อย่างน้อย 1 รายการสำหรับแพ็กเกจซอฟต์แวร์ยอดนิยม
- เมื่อการโจมตีสำเร็จ เชลล์โค้ดจะตรวจสอบเครื่องเสมือน และส่งข้อมูลหลากหลายประเภทไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยมีการทำงานในลักษณะคล้ายกับการโจมตีผ่านช่องโหว่ของเกาหลีเหนือที่เคยถูกค้นพบก่อนหน้านี้
- นอกจากการโจมตีแบบเจาะจงเป้าหมายผ่านช่องโหว่ซีโร่เดย์แล้ว ยังได้พัฒนาเครื่องมือโอเพนซอร์สสำหรับรีเวิร์สเอนจิเนียริงและเผยแพร่บน Github
- โปรแกรมนี้ถูกเผยแพร่ครั้งแรกเมื่อวันที่ 30 กันยายน 2022 และหลังจากนั้นก็มีการพัฒนาอย่างต่อเนื่องพร้อมอัปเดตหลายครั้ง
- แต่เครื่องมือนี้มีแบ็กดอร์ที่สามารถดาวน์โหลดและรันโค้ดตามอำเภอใจจากเซิร์ฟเวอร์ของผู้โจมตีได้
- TAG แนะนำว่าหากเคยใช้เครื่องมือนี้ ควรตรวจสอบระบบและติดตั้ง OS ใหม่หากจำเป็น
- เว็บไซต์และโดเมนอันตรายทั้งหมดที่ตรวจพบถูกเพิ่มเข้าไปใน Google Safe Browsing แล้ว และได้ส่ง คำเตือนการโจมตีที่ได้รับการสนับสนุนจากรัฐบาล ไปยังบัญชี Google ที่อาจได้รับผลกระทบ
- นอกจากนี้ยังได้เปิดเผยโดเมน ไฟล์ และบัญชีอันตรายทั้งหมด เช่น dbgsymbol, blgbeach, @Paul091_
5 ความคิดเห็น
แม้การโจมตีแบบมุ่งเป้าจะน่ากลัว แต่ดูเหมือนว่าส่วนที่มีการใส่มัลแวร์ลงในโปรเจ็กต์โอเพนซอร์สจะต้องระวังมากยิ่งกว่า
มีรายงานว่าซอร์สโค้ดของเครื่องมือนั้นปกติดี แต่ไฟล์ที่รวมอยู่ใน Github Release กลับมีมัลแวร์อยู่
ได้ยินมาว่ามีดาวบน GitHub มากกว่า 200 ด้วย...
จู่ ๆ ก็มีข่าวด้านความปลอดภัยออกมาติด ๆ กันเลยนะครับ ดูเหมือนว่าทุกคนน่าจะต้องใส่ใจกับเรื่องความปลอดภัยกันมากขึ้น
ผมคิดว่าอย่างน้อยซอร์สโค้ดก็น่าจะยังตรวจสอบได้ แต่ไม่เคยนึกเลยว่ามันอาจจะแตกต่างจาก Release ได้ ความปลอดภัยนี่ไม่มีที่สิ้นสุดจริง ๆ..
เรื่องแบบนี้ก็ดูเหมือนจะเป็นการโจมตีห่วงโซ่อุปทานอีกรูปแบบหนึ่งเหมือนกัน
บังเอิญว่าในกรณีของ Go 1.21.0 ที่ออกเมื่อ 1 เดือนก่อน พวกเขาเพิ่งโพสต์บทความในบล็อกเกี่ยวกับการที่ผลลัพธ์จากการบิลด์ toolchain ของตนสามารถทำซ้ำได้อย่างสมบูรณ์เป็นครั้งแรกด้วยนะครับ โดยสองย่อหน้าแรกของบทความนั้นมีดังนี้
Perfectly Reproducible, Verified Go Toolchains
> หนึ่งในข้อดีสำคัญของซอฟต์แวร์โอเพนซอร์สคือ ทุกคนสามารถอ่านซอร์สโค้ดและตรวจสอบการทำงานของมันได้ แต่ซอฟต์แวร์ส่วนใหญ่ แม้แต่ซอฟต์แวร์โอเพนซอร์ส ก็มักถูกดาวน์โหลดมาในรูปแบบไบนารีที่คอมไพล์แล้ว ทำให้ตรวจสอบได้ยากกว่ามาก หากผู้โจมตีต้องการทำ supply chain attack ต่อโครงการโอเพนซอร์ส วิธีที่สังเกตเห็นได้ยากที่สุดคือการสลับไบนารีที่แจกจ่ายโดยไม่แตะต้องซอร์สโค้ด
>
> วิธีที่ดีที่สุดในการรับมือกับการโจมตีลักษณะนี้คือทำให้การบิลด์ซอฟต์แวร์โอเพนซอร์สสามารถทำซ้ำได้ กล่าวคือ เมื่อเริ่มจากซอร์สเดียวกัน การบิลด์จะต้องสร้างผลลัพธ์เดียวกันทุกครั้งที่รัน วิธีนี้ทำให้ใครก็ตามสามารถบิลด์จากซอร์สจริงและตรวจสอบได้ว่าไบนารีที่บิลด์ซ้ำขึ้นมานั้นเหมือนกับไบนารีที่เผยแพร่แบบตรงกันทุกบิตหรือไม่ เพื่อยืนยันว่าไม่มีการเปลี่ยนแปลงที่ซ่อนอยู่ในไบนารีที่เผยแพร่ แนวทางนี้ช่วยพิสูจน์ได้ว่าไบนารีไม่มี backdoor หรือการเปลี่ยนแปลงอื่นใดที่ไม่มีอยู่ในซอร์สโค้ด โดยไม่จำเป็นต้องถอดแยกไบนารีหรือเปิดดูภายใน เนื่องจากใครก็ตรวจสอบไบนารีได้ กลุ่มอิสระจึงสามารถตรวจจับและรายงาน supply chain attack ได้ง่าย (แปลโดย DeepL)
ตอนแรกก็สงสัยว่าทำไมต้องกังวลเรื่องแบบนี้ ที่แท้มันดูเหมือนว่าการโจมตีประเภทนี้ได้เกิดขึ้นอย่างลับ ๆ มาตั้งแต่ราว 1 ปีก่อนแล้ว โลกช่างน่ากลัวจริง ๆ…
ผมเองก็มักจะเชื่อถือสิ่งที่ถูกอัปขึ้น GitHub พร้อมโค้ดมากกว่าอยู่นิดหน่อยเหมือนกัน... คงต้องระวังแล้วล่ะ
สุดท้ายก็มีแต่ต้องรีวิวโค้ดตลอด แล้วก็ build เองโดยตรงเท่านั้นสินะ...
สรุป AI ของเธรด HN