ข่าวเจาะลึก: “Storm-0501” กลุ่มอาชญากรไซเบอร์ที่พลิกเกมโจมตี... ย้ายจาก "ในออฟฟิศ" ขึ้นสู่ "ระบบคลาวด์" ของ Microsoft

กรุงเทพฯ – เมื่อพูดถึงภัยคุกคามทางไซเบอร์ หลายคนอาจนึกถึงการโจมตีคอมพิวเตอร์แบบเดี่ยวๆ แต่ในปัจจุบันกลุ่มอาชญากรได้ยกระดับความสามารถขึ้นไปอีกขั้น โดยมุ่งเป้าไปที่จุดอ่อนที่สำคัญที่สุดขององค์กรยุคใหม่ นั่นคือ “ระบบคลาวด์แบบไฮบริด” และ “ข้อมูลประจำตัว”

กลุ่มภัยคุกคามที่น่าจับตามองและมีการเคลื่อนไหวอย่างต่อเนื่องคือ “Storm-0501” ซึ่งจากรายงานของ Microsoft และผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลกพบว่า กลุ่มนี้มีแรงจูงใจหลักทางการเงิน และมีกลยุทธ์ที่อันตรายอย่างยิ่ง นั่นคือการโจมตีแบบหลายขั้นตอนเพื่อหาทางเข้าสู่ระบบ Microsoft Entra ID และ Microsoft Azure

จาก "แฮ็กธรรมดา" สู่ "ยึดครองระบบคลาวด์"

ในอดีต Storm-0501 เคยถูกพบว่าใช้แรนซัมแวร์ง่ายๆ เพื่อโจมตีโรงเรียน แต่ปัจจุบันยุทธวิธีของพวกเขาซับซ้อนขึ้นมาก

วิธีการโจมตีหลักๆ ของ Storm-0501 คือ:

•     การเข้าถึงเบื้องต้น: พวกเขาจะเริ่มจากการโจมตีระบบภายในขององค์กร (on-premises) เช่น การใช้รหัสผ่านที่ถูกขโมยหรือการโจมตีแบบ Password Spraying เพื่อเข้าถึงบัญชีผู้ใช้ธรรมดา

•     การยกระดับสิทธิ์: เมื่อเข้าไปได้แล้ว เป้าหมายต่อไปคือการยกระดับสิทธิ์ให้เป็น Global Administrator ซึ่งเป็นสิทธิ์สูงสุดในระบบคลาวด์

•     จาก On-Premises สู่ Cloud: จุดเด่นของกลุ่มนี้คือความสามารถในการ "เคลื่อนที่" จากระบบภายในองค์กรไปสู่ระบบคลาวด์ได้อย่างแนบเนียน โดยใช้ช่องโหว่ในโปรแกรมเชื่อมต่อ เช่น Microsoft Entra Connect เพื่อปลอมแปลงสิทธิ์และเข้าควบคุมบัญชีบนคลาวด์

•     ขโมยและทำลายข้อมูล: เมื่อควบคุมระบบคลาวด์ได้ พวกเขาจะทำการขโมยข้อมูลสำคัญจำนวนมหาศาล และที่อันตรายกว่านั้นคือการ ลบข้อมูลสำรองบน Azure ทิ้ง เพื่อไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้ จากนั้นจึงเรียกค่าไถ่

ทำไมต้อง Microsoft?

คำตอบไม่ได้อยู่ที่ขนาดของบริษัทเพียงอย่างเดียว แต่เป็นเพราะระบบของ Microsoft คือ "หัวใจ" ของธุรกิจทั่วโลก

•     ความเป็นศูนย์กลางของข้อมูลประจำตัว: Microsoft Entra ID เป็นระบบจัดการสิทธิ์การเข้าถึงที่องค์กรจำนวนมากใช้ หากผู้โจมตีเข้าควบคุมระบบนี้ได้ ก็เท่ากับได้กุญแจสำคัญที่เปิดประตูสู่ระบบทั้งหมด ไม่ว่าจะเป็น Microsoft 365, Teams หรือทรัพยากรอื่นๆ บนคลาวด์

•     เป็นจุดรวมของข้อมูล: เมื่อองค์กรย้ายข้อมูลเข้าสู่ Microsoft Azure ทำให้ข้อมูลที่เคยกระจัดกระจายมารวมกันในที่เดียว การโจมตี Azure จึงสามารถสร้างความเสียหายที่รุนแรงในวงกว้าง

•     การเชื่อมต่อแบบ Hybrid: การที่องค์กรส่วนใหญ่ยังคงใช้งานระบบทั้งแบบภายในและคลาวด์ควบคู่กัน ทำให้เกิดช่องโหว่ที่ผู้โจมตีใช้เป็นเส้นทางในการโจมตีได้

ไมโครซอฟท์ไม่ได้เปิดเผยตัวเลขการโจมตีที่แน่นอน แต่ยืนยันว่า Storm-0501 เป็นภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องและมีการปรับปรุงกลยุทธ์อยู่ตลอดเวลา ซึ่งสะท้อนให้เห็นถึงอันตรายที่องค์กรในทุกภาคส่วนต้องเผชิญในปัจจุบัน

การโจมตีของกลุ่ม Storm เป็นเหมือนสัญญาณเตือนว่ายุคของการป้องกันเพียงแค่ "ไฟร์วอลล์" และ "โปรแกรมแอนติไวรัส" ได้จบลงแล้ว องค์กรต้องหันมาให้ความสำคัญกับการรักษาความปลอดภัยในระดับ "ข้อมูลประจำตัว" และ "ระบบคลาวด์" อย่างจริงจัง เพื่อไม่ให้กลายเป็นเหยื่อรายต่อไป