AWS ถูกบุกโจมตีครั้งใหญ่ กระทบผู้ใช้บริการ Cloud กว่า 230 ล้านราย

การใช้บริการคลาวด์นั้นเป็นที่นิยมมากสำหรับภาคธุรกิจในปัจจุบัน เพราะนอกจากการเลือกแพ็กเกจใช้งานได้ตามการใช้งานจริงแล้ว ยังมีประเด็นเรื่องความปลอดภัยที่ได้รับการดูแลจากมืออาชีพอีกด้วย แต่ว่าบริการคลาวด์เองก็มักตกเป็นเป้าของการโจมตีโดยแฮกเกอร์เช่นเดียวกัน

จากรายงานข่าวโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการโจมตีระบบคลาวด์ที่ให้บริการโดย AWS หรือ Amazon Web Service โดยทีมวิจัย Unit 42 จากบริษัทยักษ์ใหญ่ด้านความปลอดภัยไซเบอร์ Palo Alto ซึ่งเป็นทีมที่ตรวจพบการโจมตีดังกล่าวได้รายงานว่า เป็นการโจมตีครั้งที่ใหญ่มากในระดับที่คาดการณ์ว่าจะมีผู้ใช้บริการที่ได้รับผลกระทบถึง 230 ล้านราย เลยทีเดียว

ภาพจาก : https://cybersecuritynews.com/massive-aws-cyber-attack-230-million-environments/

โดยสำหรับรายละเอียดด้านการโจมตีในทางเทคนิคนั้น ทางทีมวิจัยได้อธิบายไว้ว่า กลุ่มแฮกเกอร์ได้ใช้เครื่องมือบางอย่างในการทำการสแกนโดเมนกว่า 1 หมื่นโดเมน เพื่อเข้าสู่ไฟล์ .ENV ที่สามารถเข้าถึงได้โดยบุคคลภายนอกระบบ ซึ่งอาจเกิดจากความไม่ระมัดระวังในการตั้งการรักษาความปลอดภัยของผู้ใช้งาน (Environment Variables เป็นไฟล์ตัวแปรที่เก็บข้อมูลความลับต่าง ๆ เช่น คีย์ API, รหัสผ่านฐานข้อมูล, และ การตั้งค่าต่าง ๆ เป็นต้น)

หลังจากนั้นแฮกเกอร์ก็จะเริ่มทำการเจาะระบบของบริการคลาวด์ที่แฮกเกอร์เข้าถึงได้แล้วด้วยการใช้ AWS API Calls ต่าง ๆ เช่น GetCallerIdentity, ListUsers, และ ListBuckets ซึ่งหลังจากที่แฮกเกอร์ทำสำเร็จแล้ว กลุ่มแฮกเกอร์ก็จะเริ่มทำการอัปเกรดสิทธิ์ในการใช้งานระบบของพวกตนเองด้วยการสร้างกลุ่ม AWS IAM (Identiy and Access Management) roles ที่มีสิทธิ์ในการเข้าถึงระดับในระดับผู้ดูแล (Administrator หรือ Admin) ขึ้นมา ตามมาด้วยการที่แฮกเกอร์เริ่มทำการใช้งานฟังก์ชั่นของ Amazon Lambda เพื่อสแกนหาไฟล์ .ENV ที่อยู่บนระบบของทาง AWS ในภูมิภาคต่าง ๆ โดยมุ่งเน้นในการขโมยข้อมูลสำหรับเข้าถึงการใช้งานบริการ Mailgun เพื่อนำมาใช้ในแคมเปญการโจมตีแบบ Phishing ต่อไป

ภาพจาก : https://cybersecuritynews.com/massive-aws-cyber-attack-230-million-environments/

ซึ่งจากที่อธิบายมานั้น ทางทีมวิจัย Unit 42 ได้กล่าวว่า เป็นการโจมตีระบบที่ใช้เทคนิคชั้นสูงมากมาย โดยที่กลุ่มแฮกเกอร์นั้นมีความเข้าใจในการทำงานและนโยบายการใช้งานของระบบ AWS IAM เป็นอย่างดี อันนำมาสู่การเข้าถึงสิทธิ์การใช้งานระดับผู้ดูแลบนหลากหลายบัญชีที่ถูกแฮกได้

สำหรับเหตุการณ์การโจมตีระบบในครั้งนี้ ทาง AWS ได้รับทราบเรื่องแล้ว และได้มีการออกมากล่าวถึงประเด็นนี้ว่า “การโจมตีดังกล่าวนั้นไม่ได้ส่งผลกระทบต่อบริการต่าง ๆ และตัวโครงสร้างของทาง AWS แต่อย่างไร แฮกเกอร์เพียงแค่ใช้ประโยชน์จาก Web Applications ที่ถูกตั้งค่าอย่างผิด ๆ จนไฟล์ .ENV รั่วไหลเท่านั้น ซึ่งในความเป็นจริงผู้ใช้งานต้องจัดการให้ไฟล์ดังกล่าวไม่สามารถถูกเข้าถึงโดยบุคคลภายนอกได้ และไฟล์ดังกล่าวก็ไม่ควรที่จะบรรจุข้อมูลสำหรับการเข้าใช้บริการของ AWS โดยสำหรับการเข้าถึงบริการของ AWS นั้นทางบริษัทเองก็มีการให้บริการระบบล็อกอินชั่วคราวที่ปลอดภัย และใช้งานง่ายสำหรับลูกค้าอยู่แล้ว”

ทั้งนี้ทาง AWS และทีมวิจัยเองก็ไม่ได้มีการให้ข้อมูลว่าผู้ใช้งานที่ได้รับผลกระทบนั้นควรจัดการแก้ไขด้วยวิธีการใดแต่อย่างไร นอกเหนือจากขั้นตอนการปฏิบัติเพื่อรักษาความปลอดภัยตามที่ระบุไว้ข้างต้น