ပြီးခဲ့တဲ့မေလတုန်းက တိုက်ခိုက်ခံခဲ့ရတဲ့ အမေရိကန်ဆီဖြန်ဖြူးတဲ့ ကုမ္ပဏီတစ်ခုဖြစ်တဲ့ Colonial Pipeline Co. ကို ဟက်ကာအဖွဲ့ DarkSide မှဘယ်လိုတိုက်ခိုက်သွားသလဲဆိုတာကို အခုအခါသိရှိရပြီဖြစ်ပါတယ်။ ဆိုက်ဘာတိုက်ခိုက်မှုကျူးလွန်ခဲ့တဲ့ သူတွေကကုမ္ပဏီရဲ့ မသုံးတော့ပြီဖြစ်တဲ့ VPN account ရဲ့ password ကိုရယူကာ Company Internal Network ကိုဝင်ရောက်ပြီး Ransomware Attack တစ်ခုပြုလုပ်ခဲ့တာဖြစ်ပြီး အကျိုးဆက်ကတော့ တစ်လကြာမြင့်ခဲ့ပြီးဖြစ်တဲ့ ယခုအချိန်ထိတောင် ဂယက်ထနေဆဲဖြစ်ပါတယ်။ ဒီလိုမျိုး မသုံးဖြစ်တာကြာမြင့်နေပြီဖြစ်တဲ့ VPN Account Password ကိုရယူကာ Ransomware Attack ပြုလုပ်ခဲ့တဲ့အတွက် Colonial Pipeline Co., အတွက် လုပ်ငန်းနှောင့်နှေးမှုတွေဖြစ်ပေါ်ခဲ့ကာ အခုအချိန်အထိ အမေရိကန်အစိုးရနှင့် cybersecurity expert တို့စစ်ဆေးနေဆဲဖြစ်ပါတယ်။
“တိုက်ခိုက်သူတွေမှ ဒီလိုမသုံးတော့တာကြာမြင့်ပြီဖြစ်သော်လည်း သုံးလို့ရနေသေးသည့် VPN Account ကိုအသုံးပြုကာ Colonial Pipeline’s Network အတွင်းသို့ Remote Access ဝင်ရောက်ခွင့်ရရှိခဲ့တာပါ” လို့ FireEye’s Cybersecurity ရဲ့ Senior Vice President ဖြစ်သူ Charles Carmakal မှ Bloomberg သတင်းဌာနသို့ အင်တာဗျူးတစ်ခုမှာ ဖြေကြားခဲ့ပါတယ်။
ဒီသတင်းက password security တွေရဲ့အားနည်းချက်ကိုမီးမောင်းထိုးပြလိုက်တဲ့ သတင်းတစ်ပုဒ်ပြန်ဖြစ်လာခဲ့ပြန်ပါပြီ။ ပြီးခဲ့တဲ့ရက်သတ္တပတ်တွေတုန်းက Popular Hacker Forum တစ်ခုမှာ ယနေ့အချိန်အထိ အကြီးမားဆုံးပေါက်ကြားမှုအဖြစ်မှတ်တမ်းဝင်ခဲ့တဲ့ Password ပေါင်း 8.4 Billion ပါဝင်တဲ့ “RockYou2021” ဆိုတဲ့ Data Size 100GB ရှိတဲ့ Password Collection တစ်ခုပေါက်ကြားမှုဖြစ်ခဲ့တာနဲ့ အခုဖြစ်ရပ်နဲ့က ဆက်စပ်လျက်ရှိပါတယ်။
ဟုတ်ပါတယ်၊ Colonial ကိုတိုက်ခိုက်မှုမှာအသုံးပြုခဲ့တဲ့ Password က Dark Web မှာ အဆိုပါပေါက်ကြားခဲ့တဲ့ Password ပေါင်း 8.4 Billion တွေထဲကတစ်ခုဖြစ်တယ်လို့ Bloomberg မှာဖော်ပြထားပါတယ်။ ဒါပေမယ့် ကုမ္ပဏီတာဝန်ရှိသူတွေနဲ့ စုံစမ်းစစ်ဆေးရေးမှူးတို့အတွက်တော့ ဒီလိုဘာဖြစ်လို့ပေါက်ကြားမှုဖြစ်ပွားခဲ့လဲဆိုတာကို ယနေ့အချိန်အထိ အဖြေရှာမရသေးပါဘူး။
“သူတို့အသုံးပြုသွားတဲ့ Account ပိုင်ရှင်ဆီမှာ Phishing ပြုလုပ်ခံခဲ့ရတဲ့ သက်သေအထောက်အထား တစ်စုံတစ်ရာမှ မတွေ့ရှိခဲ့ရပါဘူး” လို့ Carmakal က Bloomberg ကိုပြောကြားခဲ့ပါတယ်။ “ကျွန်တော်တို့ April 29 ရက်နေ့မတိုင်ခင်အထိ Hacking Activities တစ်စုံတစ်ရာမတွေ့ရှိခဲ့ပါဘူး”
သူအနေနဲ့ကတော့ Colonial ဝန်ထမ်းက တခြားအကောင့်အသစ်တစ်ခုကို ပြောင်းလဲအသုံးပြုချိန်မှာ အသုံးမလိုတော့တဲ့ Account ဟောင်းရဲ့ Password က တခြားတစ်စုံတစ်ယောက်ဆီကို ရောက်ရှိသွားခဲ့ပြီး သူ့အရင်ဖြစ်ပွားခဲ့တဲ့ Password Hacked ဖြစ်စဉ်မှာ တစ်ခုအပါအဝင်ဖြစ်သွားခဲ့တယ်လို ဆိုပါတယ်။
ဒီဖြစ်ရပ်တစ်ခုလုံးက ယနေ့အချိန်မှာ ဝန်ထမ်းတွေအတွက် ကုမ္ပဏီ Network အတွင်းကိုဝင်ရောက်ရာမှာ popular အဖြစ်ဆုံး security method တစ်ခုဖြစ်နေဆဲဖြစ်တဲ့ password အသုံးပြုဝင်ရောက်ရတဲ့နည်းလမ်းရဲ့ မလုံခြုံမှုကို မီးမောင်းထိုးပြသလိုက်တာပါ။ ဒါပေမယ့် ယနေ့ခေတ်လိုအချိန်ကာလမျိုးမှာ Sensitive Data တွေကိုကာကွယ်ရာမှာအသုံးပြုတဲ့ Multi-factor Authentication (MFA) နဲ့ တခြား Identity-management method တွေအမြောက်အမြားရှိနေချိန်မှာ password security method ကိုပဲဘာဖြစ်လို့ လုပ်ငန်းတွေသုံးစွဲလျက်ရှိနေသေးတာလဲဆိုတာတော့ မပြောတတ်ပါဘူး။
ပြီးတော့ တခြားသူရဲ့ password တစ်ခုခုကိုရယူကာ ဒီလိုလုပ်ရပ်မျိုးကျုးလွန်ပြီး ပြန်ပေးငွေတောင်းလိုစိတ်ရှိသူတစ်ယောက်အဖို့ ပြုလုပ်ရလွယ်ကူနေတယ်ဆိုတာကိုလဲ ဒီဖြစ်ရပ်ကပြသနေပါတယ်။ Caches တွေကိုမရှင်းတတ်တဲ့ အကျိုးကျေးဇူးတစ်ရပ်လို့တောင် ပြောလို့ရနိုင်ပါတယ်။ ဒီဖြစ်ရပ်မှာတော့ ငွေကြေးဆုံးရှုံးမှုအပြင် နိုင်ငံတစ်ခုရဲ့ဂုဏ်သိက္ခာပါ ထိခိုက်ခဲ့ရတာပါ။
Credential list တွေနဲ့ Attack Kits ကိုဝယ်ယူတယ်ဆိုတာမျိုးက ယနေ့ခေတ်အချိန်လို Dark Web မှာ လူတိုင်းလုပ်လို့ရနေတဲ့အချိန်မှာပျမ်းပျှ 0.2 – 0.5 ရာခိုင်နှုန်းသော တိုက်ခိုက်မှုတိုင်းကအောင်မြင်နေတယ်ဆိုတာက နားလည်ရခတ်ခဲပါတယ်။ “Success Rate တွေကပိုမြင့်တက်လာချိန်မှာ တိုက်ခိုက်မှုပြုလုပ်ဖို့ ကုန်ကျစရိတ်နဲ့ အင်အားစိုက်ထုတ်ရမှုက ပိုမိုနည်းပါးလာတယ်ဆိုတော့ နောက်ပိုင်းမှာဒီလိုတိုက်ခိုက်မှုတွေပိုမိုများပြားလာဖို့ပဲရှိပါတယ်”လို့ Kaseya IT Management Software firm ရဲ့ Chief Strategy Officer ဖြစ်သူ Mike Puglia ကပြောကြားလိုက်ပါတယ်။
အမေရိကန်အရှေ့ပိုင်း ဒေသမှာ ဆီဖြန့်ဖြူးရေးလုပ်ငန်းလုပ်ကိုင်နေတဲ့ Colonial Pipeline ဆီမှ ဒီလို Ransomware Attack နဲ့တိုက်ခိုက်ခံရကြောင်း အစောဆုံးသတင်းပို့မှုကို မေလ ၇ ရက်နေ့မှာရရှိခဲ့ပါတယ်။ ဒီတိုက်ခိုက်မှုက အမေရိကန် အရှေ့ပိုင်းကမ်းမြောင်ဒေသတစ်ခုလုံးကိုသွယ်တန်းထားတဲ့ pipeline တစ်ခုကိုပိတ်ချပစ်ခဲ့ပြီး အကျိုးဆက်အနေနဲ့ အရှေ့ပိုင်းဒေသတစ်ခုလုံးမှာ ဆီပြတ်တောက်မှု၊ ဆီဈေးနှုန်းမြင့်တက်မှုတွေနဲ့ လေကြောင်းလိုင်းတွေအနေနဲ့ ဆီသိုလှောင်မှုကို ပိုမိုမြင့်တက်လာစေခဲ့ပါတယ်။
ဒီတိုက်ခိုက်မှုရဲ့ အကျိုးဆက်ပြင်းထန်မှုအနေနဲ့ သမ္မတဖြစ်သူ ဂျိုးဘိုင်ဒင် မှ နိုင်ငံအရေးပေါ်အခြေအနေကြေညာခဲ့ရသလို Colonial Pipeline အနေနဲ့လဲ USD $4.4 million တန်ဖိုးညီမျှတဲ့ Bitcoin ကို system restore ပြုလုပ်နိုင်မယ့် decryption tools ကိုရရှိဖို့ DarkSide ransomware အဖွဲ့ကို တောင်းဆိုတဲ့ငွေကြေးပမာဏအတိုင်း လိုက်လျောခဲ့ရပါတယ်။
ငွေကြေးရရှိလိုမှုကတိုက်ခိုက်မှုတိုင်းကို တွန်းအားပေးတဲ့အချက်တစ်ခုပါ။ DarkSide မှ ပြန်ပေးငွေရရှိပြီး နောက်တစ်ရက်မှာ ဒီလိုဆီဖြန့်ဝေမှုပြတ်တောက်ခဲ့ရမှုက ရှောင်လွှဲလို့မရနိုင်တဲ့ဘေးထွက်ဆိုးကျိုးတစ်ခုဖြစ်ပြီးတော့ အဖွဲ့ရဲ့မူလရည်ရွယ်ချက်မဟုတ်ကြောင်းကို ကြေညာခဲ့ပါတယ်။
FBI နဲ့ Department of Justice တို့မှ DarkSide ရဲ့ Colonial Pipeline မှရရှိသွားသော Bitcoin တွေနဲ့ သိမ်းဆည်းထားတဲ့ Crypto Wallet တွေကိုခြေရာခံစုံစမ်းလျက်ရှိပြီး ယခုအခါ USD $2.3 Million တန်ကြေးရှိတဲ့ Bitcoin တွေက ransomware-as-a-service (RaaS) လို့ခေါ်တဲ့အဖွဲ့ရဲ့ Wallet တွေဆီမှာရောက်ရှိနေကြောင်းကို ခြေရာခံမိသွားပါပြီ။ ကျူးလွန်ခဲ့တဲ့လူတွေကို တကယ်လက်တွေ့ဖမ်းဆီးနိုင်ဖို့ကတော့ Bitcoin ရဲ့ Anonymity ကြောင့်ခတ်ခဲလျက်ရှိနေပါတယ်။
ဒီဟာကတော့ Colonial Pipeline ရဲ့ Ransomware Attack ရဲ့ အကျိုးဆက်တွေကိုရှင်းပြထားပေးတာပါ
Pingback: Dark Side မှပေးတဲ့သင်ခန်းစာ၊ Ransomware Attack တွေကိုဘယ်လိုတားဆီးမလဲ - Regards Engineering Co., Ltd.
Pingback: Dark Side မှပေးတဲ့သင်ခန်းစာ၊ Ransomware Attack တွေကိုဘယ်လိုတားဆီးမလဲ - Regards Engineering Co., Ltd.