แฮกเกอร์ของรัฐบาลรัสเซียโจมตีโครงสร้างพื้นฐานระดับชาติที่สำคัญในสหราชอาณาจักรและสหรัฐอเมริกา

Published on April 17, 2018
แฮกเกอร์ของรัฐบาลรัสเซียโจมตีโครงสร้างพื้นฐานระดับชาติที่สำคัญในสหราชอาณาจักรและสหรัฐอเมริกา

ในการแจ้งเตือนที่ออกโดยศูนย์ความมั่นคงแห่งชาติของอังกฤษ (NCSC) , FBI และกระทรวงความมั่นคงภายในประเทศสหรัฐฯ (DHS) ให้ข้อมูลเกี่ยวกับการโจมตีเจาะช่องโหว่ของอุปกรณ์ Router, Switch, Firewall ที่รัสเซียได้ให้การสนับสนุน และมีรายงานถึงเทคนิค กลยุทธ์ ที่ใช้ในการโจมตีครั้งนี้

ทั้งนี้ในรายงานยังระบุว่าในปี 2015 รัฐบาลสหรัฐฯได้ตรวจพบการโจมตีที่สนับสนุนโดยรัสเซีย ที่เน้นเป้าหมายหลักๆดังนี้

  • โจมตีผ่าน Protocol รุ่นเก่า และการรักษาความปลอดภัยที่ไม่มีการดูแล

  • การโจมตี router เพื่อที่จะควบคุม Traffic ต่างๆ

  • การเจาะอุปกรญ์ network ต่างๆ โดยอุปกรณ์ network มักเป็นเป้าหมายที่ง่าย และไม่มีการรักษาความปลอดภัย

ทั้งนี้เมื่ออุปกรณ์เหล่านี้ถูกเจาะได้สำเร็จแล้ว ผู้ใช้งานก็มักจะไม่รู้ตัว และไม่มีการเปลี่ยนอุปกรณ์เหล่านี้ออกจากเครือข่ายด้วย โดยทาง US-CERT ได้เตือนให้เฝ้าระวัง Protocol และเครื่องมือต่างๆ ดังต่อไปนี้เป็นพิเศษ

    • Telnet

    • SNMP

    • TFTP

    • SMI

    • SIET

    • GRE Tunneling

แนวทางแก้ไขปัญหา ทาง US-CERT ได้ระบุเอาไว้ดังนี้

    • ไม่อนุญาตโปรโตคอลที่ไม่มีการเข้ารหัส เช่น Telnet เข้าสู่องค์กรจากอินเทอร์เน็ต การจัดการจากภายนอกองค์กรควรทำผ่าน VPN Private (VPN) ที่เข้ารหัสซึ่งทั้งสองส่วนมีการรับรองความถูกต้องร่วมกัน

    • ไม่อนุญาตให้อินเทอร์เน็ตเข้าถึงอินเทอร์เฟซการจัดการของอุปกรณ์เครือข่ายใดก็ได้ แนวทางปฏิบัติที่ดีที่สุดคือการบล็อกการเข้าถึงอินเทอร์เฟซสำหรับการจัดการอุปกรณ์และการ จำกัด การจัดการอุปกรณ์ให้กับโฮสต์ภายในที่เชื่อถือได้หรือที่อนุญาตพิเศษภายในหรือ LAN ถ้าการเข้าถึงอินเทอร์เฟซการจัดการไม่สามารถถูก จำกัด ให้อยู่ในเครือข่ายภายในที่เชื่อถือได้ ให้จำกัด การเข้าถึงการจัดการจากระยะไกลผ่าน VPN ที่เข้ารหัสลับซึ่งทั้งสองส่วนมีการรับรองความถูกต้องร่วมกัน แยกรายชื่อเครือข่ายหรือโฮสต์จากที่อนุญาตการเชื่อมต่อ VPN และปฏิเสธผู้อื่นทั้งหมด

    • ปิดใช้งานโปรโตคอลที่ไม่มีการเข้ารหัสที่สืบทอดมาเช่น Telnet และ SNMPv1 หรือ v2c ถ้าเป็นไปได้ให้ใช้โปรโตคอลเข้ารหัสที่ทันสมัยเช่น SSH และ SNMPv3 รักษาความปลอดภัยของโปรโตคอลที่เข้ารหัสโดยยึดหลักปฏิบัติด้านความปลอดภัยที่ดีที่สุดในปัจจุบัน DHS ขอแนะนำให้เจ้าของและผู้ดำเนินการเลิกใช้และแทนที่อุปกรณ์เดิมที่ไม่สามารถกำหนดค่าให้ใช้ SNMP V3 ได้

    • เปลี่ยนรหัสผ่านเริ่มต้นทันทีและบังคับใช้นโยบายรหัสผ่านที่รัดกุม อย่าใช้รหัสผ่านเดิมซ้ำในอุปกรณ์หลายเครื่อง อุปกรณ์แต่ละเครื่องควรมีรหัสผ่านเฉพาะ ในกรณีที่เป็นไปได้ให้หลีกเลี่ยงการตรวจสอบสิทธิ์ที่ใช้รหัสผ่านแบบเดิมและใช้การตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้คีย์สาธารณะ

ที่มา : https://www.us-cert.gov/ncas/alerts/TA18-106A

 

AVESTA CO., LTD.เรามีทีมงานขาย และ สนับสนุนทางเทคนิค ที่พร้อมดูแลท่าน และ ให้บริการครบวงจร ตั้งแต่ ออกแบบ จำหน่าย ติดตั้ง และ ให้คำปรึกษา ติดต่อเราวันนี้ ที่เบอร์ +66(0)45-959-612 หรือ [email protected]

อ่านรายละเอียดเพิ่มเติม ได้ที่ : https://www.us-cert.gov/ncas/alerts/TA18-106A

การเปลี่ยนไอพีใน Ceph Node ใน Proxmox VE Cluster

การเปลี่ยนแปลงไอพีของ Ceph Storage ใน Proxmox VE Cluster สำหรับการเปลี่ยนแปลง IP ของ...

Read more »

Configuring Multiple VLANs in Proxmox VE Host

การตั้งค่าหลาย VLAN ใน Proxmox VE สำหรับการกำหนด VLAN หลายตัว (Multiple VLAN)...

Read more »

Changing IP Addresses of Proxmox VE Nodes

การเปลี่ยนแปลงไอพีของ Proxmox VE Cluster Nodes สำหรับการเปลี่ยนแปลง IP นั้นบางครั้งก็จำเป็น เพราะว่า เช่นไอพีคลาสเดิม...

Read more »

Creating Proxmox VE Cluster

สำหรับ Proxmox VE นั้นแน่นอนว่าสนับสนุนการทำ Clustering ในตัวอยู่แล้วเพื่อทำให้ระบบมี การจัดการทรัพยากรของเซิร์ฟเวอร์หลายเครื่องได้อย่างมีประสิทธิภาพ และเพิ่มความสามารถในการสำรองข้อมูล, การย้ายเครื่องเสมือน (VM)...

Read more »

Updating ML30 Gen10 Firmware with ILOREST

แน่นอนว่าการอัพเดท firmware ของทั้ง BIOS และอุปกรณ์ที่เกี่ยวข้องทั้งหมดใน Server นั้นเป็นสิ่งจำเป็นอย่างยิ่ง เพราะว่า เพื่อความปลอดภัย และ...

Read more »

Switches เดสก์ท็อปสวิตช์ 10/100Mbps 10 ช่อง

แนะนำอุปกรณ์ใหม่ มาแรง ใช้งานง่าย! Switches อุปกรณ์ต่อพ่วง Network Computer เดสก์ท็อปสวิตช์ 10/100Mbps 10...

Read more »