MGM Resorts การโจมตีทางไซเบอร์–จากคลาวด์สู่พื้นคาสิโน

การบุกรุกทางไซเบอร์เมื่อเร็ว ๆ นี้ที่มุ่งเป้าไปที่ MGM Resorts International ได้เน้นย้ําถึงประเด็นเร่งด่วนเกี่ยวกับการปกป้องข้อมูลที่ละเอียดอ่อนและช่องโหว่ที่เปิดเผยซึ่งองค์กรสมัยใหม่ต้องเผชิญภายในภูมิทัศน์ภัยคุกคามในปัจจุบัน

MGM Resorts ผู้ดําเนินการโรงแรมและคาสิโนที่มีชื่อเสียงหลายแห่งตามแนวลาสเวกัสสตริปอันเป็นสัญลักษณ์ รวมถึง Bellagio, Aria และ Cosmopolitan ได้เริ่มการปิดเครือข่ายอย่างกว้างขวางเพื่อตอบสนองต่อการโจมตีทางไซเบอร์ที่ทวีความรุนแรงขึ้น สิ่งนี้นําไปสู่การหยุดชะงักอย่างมีนัยสําคัญทั่วทั้งโรงแรมและคาสิโน โดยแขกประสบปัญหาตั้งแต่ตู้เอทีเอ็มและสล็อตแมชชีนที่ไม่สามารถใช้งานได้ ไปจนถึงคีย์การ์ดดิจิทัลและระบบการชําระเงินอิเล็กทรอนิกส์ในห้องที่ชํารุด

ผู้ร้าย? อาชญากรไซเบอร์ที่มีความสามารถพิเศษด้านวิศวกรรมสังคม พวกเขาได้รับการยอมรับในแวดวงความปลอดภัยทางไซเบอร์สําหรับลักษณะเฉพาะ—ความสามารถทางภาษาอังกฤษที่คล่องแคล่วทําให้พวกเขาแตกต่างจากกลุ่มอาชญากรไซเบอร์ส่วนใหญ่ที่ทักษะภาษาอังกฤษมักจะขาด

ที่น่าสนใจคือ ด้วยกลยุทธ์ เทคนิค และขั้นตอนที่เทียบเคียงได้ (TTPs) นักวิจัยที่ Mandiant ได้ตรวจพบความสัมพันธ์ระหว่าง Scattered Spider และกลุ่มแฮ็ก Lapsus$ ซึ่งมีองค์ประกอบและแนวทางของทีมที่คล้ายคลึงกัน (ดูรูปที่ 1)¹

การค้าขายของพวกเขา? การซ้อมรบทางวิศวกรรมสังคมที่ดําเนินการอย่างชาญฉลาดได้ปูทางไปสู่การเข้าถึงเบื้องต้น โดยใช้โปรไฟล์ LinkedIn ของผู้ใช้ MGM อาวุโสเพื่ออํานวยความสะดวกในการรีเซ็ตคําขอการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ผ่านโปรแกรมช่วยเหลือภายใน

ตามรายงานด้านความปลอดภัยจํานวนมากเกี่ยวกับเรื่องนี้ผู้กระทําผิดได้สร้างความคงอยู่ภายในเครือข่ายของ MGM โดยการตั้งค่าผู้ให้บริการข้อมูลประจําตัว (IdP) เพิ่มเติมในผู้เช่า Okta โดยใช้คุณลักษณะที่เรียกว่า "สหพันธรัฐขาเข้า" แม้ว่าโดยทั่วไปจะใช้สําหรับการเชื่อมต่อและการผสานรวมอย่างรวดเร็วระหว่างการควบรวมและซื้อกิจการขององค์กร แต่ในกรณีนี้ ผู้คุกคามใช้ประโยชน์จากมันเพื่อเพิ่มการถือครองเครือข่ายของเหยื่อ

จากจุดนั้น ผู้โจมตีได้ดูแล Okta ของ MGM และสภาพแวดล้อมระบบคลาวด์ของ Microsoft Azure ไม่เพียงแต่ควบคุมแอปพลิเคชันที่จัดการแพลตฟอร์มการจัดการข้อมูลประจําตัวและการเข้าถึง (IAM) เท่านั้น แต่ยังรวมถึงสินทรัพย์ระบบคลาวด์ของพวกเขาด้วย แม้หลังจากที่เจ้าหน้าที่รักษาความปลอดภัยทางไซเบอร์ของ MGM ปิดการซิงโครไนซ์เซิร์ฟเวอร์ Okta แฮกเกอร์ยังคงอยู่ในเครือข่ายตามที่ได้รับการยืนยันในแถลงการณ์ (ดูรูปที่ 2)² พวกเขายืนยันว่ายังคงรักษาสิทธิ์ของผู้ดูแลระบบขั้นสูงในสภาพแวดล้อม Okta ของ MGM และสิทธิ์ผู้ดูแลระบบส่วนกลางสําหรับผู้เช่า Microsoft Azure ของ MGM

ในที่สุดพวกเขาเข้ารหัสเซิร์ฟเวอร์ ESXi หลายร้อยเครื่องซึ่งมี VM หลายพันเครื่องที่รองรับระบบการบริการจํานวนมากทําให้เกิดความหายนะอย่างกว้างขวาง เนื่องจากโฮสต์ ESXi ถูกเข้ารหัสตามลําดับแอปพลิเคชันจึงหยุดทํางานอย่างต่อเนื่อง สิ่งนี้นําไปสู่เครื่องสล็อตที่ไม่สามารถใช้งานได้กุญแจห้องพักในโรงแรมที่ผิดปกติการจองอาหารค่ําหยุดชะงักระบบ ณ จุดขายที่ไม่ทํางานและแขกไม่สามารถเช็คอินหรือเช็คเอาท์ได้

ทําไมเหตุการณ์เหล่านี้จึงเกิดขึ้น?

การโจมตีของแรนซัมแวร์มักใช้วิธีการที่หลากหลาย เช่น ฟิชชิง การโจรกรรมข้อมูลประจําตัว การใช้ประโยชน์จากช่องโหว่ และอื่นๆ

วิศวกรรมสังคมหรือโดยเฉพาะอย่างยิ่งในกรณีนี้ vishing (ฟิชชิ่งเสียง) มีประสิทธิภาพมากขึ้นในช่วงไม่กี่ปีที่ผ่านมาด้วยเหตุผลหลายประการ:

• เทคนิคการปลอมแปลงขั้นสูง: ผู้โจมตีมีความเชี่ยวชาญในการปลอมแปลงหมายเลขโทรศัพท์เพื่อให้ดูเหมือนว่าการโทรของพวกเขามาจากแหล่งที่ถูกต้อง สิ่งนี้สามารถหลอกลวงบุคคลให้รับสายที่พวกเขาอาจเพิกเฉย
• วิศวกรรมสังคม: การโจมตีแบบวิชชิ่งมักเกี่ยวข้องกับกลยุทธ์ทางวิศวกรรมสังคมที่น่าเชื่อถือ ผู้โจมตีรวบรวมข้อมูลส่วนบุคคลจากแหล่งต่างๆ ในกรณีนี้คือโปรไฟล์ LinkedIn ของเจ้าหน้าที่อาวุโสของ MGM เพื่อให้การโทรของพวกเขาน่าเชื่อถือยิ่งขึ้น
• ความง่ายในการดําเนินการ: การโจมตีแบบวิชชิ่งสามารถทําได้ด้วยทักษะทางเทคนิคและทรัพยากรที่ค่อนข้างต่ํา การเข้าถึงนี้หมายความว่าผู้คุกคามในวงกว้างสามารถมีส่วนร่วมในการโจมตีดังกล่าวได้
• การทํางานระยะไกล: การเพิ่มขึ้นของการทํางานระยะไกลทําให้ต้องพึ่งพาโทรศัพท์และแฮงเอาท์วิดีโอในการสื่อสารมากขึ้น ผู้โจมตีได้คว้าโอกาสนี้เพื่อใช้ประโยชน์จากภูมิทัศน์การสื่อสารที่เปลี่ยนแปลงไป

การกําหนดเป้าหมายแพลตฟอร์ม IAM เป็นกลยุทธ์ที่รู้จักกันดีซึ่งใช้โดยผู้คุกคาม ทําให้พวกเขาสามารถเข้าถึงองค์กรได้อย่างต่อเนื่องและขยายสิทธิ์ของตนทั่วทั้งระบบ กลยุทธ์นี้ยังห่างไกลจากความแปลกใหม่ แต่เป็นกลยุทธ์ที่ให้คุณค่ามหาศาลสําหรับผู้โจมตีที่ต้องการฐานที่มั่นในการเข้าถึงที่แข็งแกร่ง

เมื่อผู้คุกคามถูกค้นพบและสังเกตเห็นเซิร์ฟเวอร์ซิงค์ Okta ของ MGM ก็ถูกยกเลิกและขั้นตอนแรนซัมแวร์ของการโจมตีกําลังดําเนินอยู่ขอบคุณกลุ่มแรนซัมแวร์ BlackCat/ALPHV Ransomware-as-a-Service (RaaS) เป็นอุตสาหกรรมที่เฟื่องฟูภายในห่วงโซ่อุปทานทางอาญา เช่นเดียวกับที่ธุรกิจที่ถูกกฎหมายขึ้นอยู่กับแอปพลิเคชัน SaaS กลุ่มอาชญากรเช่น BlackCat / ALPHV เสนอบริการระดับมืออาชีพที่เสริมความสามารถของผู้โจมตีดั้งเดิมรวมถึงการพัฒนามัลแวร์บริการคําสั่งและควบคุมไซต์การรั่วไหลของ Tor การสนับสนุนมัลแวร์และแม้แต่บริการเจรจาต่อรองเหยื่อ

เมื่อเห็น Caesars Entertainment ซึ่งเป็นเครือข่ายคาสิโนที่ใหญ่ที่สุดของสหรัฐฯ จ่ายค่าไถ่ประมาณ 15 ล้านดอลลาร์ หลังจากการละเมิดอย่างรุนแรง กลุ่มอาชญากรไซเบอร์จะพบแรงจูงใจที่เพียงพอในการสํารวจโอกาสที่อยู่ตรงหน้าพวกเขา

สิ่งที่สามารถทําได้?

องค์ประกอบที่ชัดเจนของการฝึกอบรมด้านความปลอดภัยและการเฝ้าระวังไม่ควรถูกลดทอนลงอย่างยิ่ง เนื่องจากการดําเนินการอย่างมีเล่ห์เหลี่ยมของผู้โจมตีของข้อมูลเหยื่อโซเชียลมีเดีย (LinkedIn) ช่วยให้พวกเขาหลอกลวงผู้ให้บริการ MGM IT Helpdesk เพื่อลงจอดเวกเตอร์การเข้าถึงเริ่มต้นที่สําคัญทั้งหมด

การลดการสัมผัสและพื้นผิวการโจมตีเป็นสิ่งสําคัญยิ่งเมื่อเผชิญกับภัยคุกคามเช่นนี้ โดยผสมผสานวิศวกรรมสังคมและวิชชิ่ง การเก็บเกี่ยวข้อมูลประจําตัว การจี้บัญชีคลาวด์ และแรนซัมแวร์ในท้ายที่สุด ต่อไปนี้คือเคล็ดลับบางประการที่สามารถช่วยเบี่ยงเบนภัยคุกคามที่ซับซ้อนเช่นนี้:

1. ลดรัศมีการระเบิด: แยกสินทรัพย์ภายในระบบไม่ว่าจะในสถานที่หรือในระบบคลาวด์ แม้ในกรณีที่ผู้คุกคามแอบอ้างและประสบความสําเร็จในการหลอกลวงเข้าสู่สภาพแวดล้อมขององค์กรหากคุณแยกและแบ่งกลุ่มทรัพยากรของคุณโดยใช้หลักการ Zero Trust คุณกําลัง จํากัด การเคลื่อนไหวของพวกเขาอย่างมากและลดพื้นผิวการโจมตีให้เหลือน้อยที่สุด
2. หยุดผู้ใช้ที่ถูกบุกรุกและภัยคุกคามภายใน: ใช้แอปพลิเคชันแบบอินไลน์และการตรวจสอบข้อมูล นอกเหนือจากการวิเคราะห์พฤติกรรมที่ครอบคลุมเพื่อระบุและหยุดผู้โจมตีที่อาจเกิดขึ้น
3. ลดพื้นผิวการโจมตีภายนอก: เชื่อมโยงผู้ใช้โดยตรงและเข้าถึงคําขอไปยังแอปพลิเคชันและบริการเพื่อจํากัดการเคลื่อนไหวด้านข้าง ในกรณีของการโจมตีของ MGM การย้ายด้านข้างระหว่าง Okta, Microsoft Azure และในที่สุดเซิร์ฟเวอร์ ESXi ในสถานที่ทําให้การแฮ็กเป็นไปได้
4. ป้องกันการสูญหายของข้อมูล: ปรับใช้แบบอินไลน์ data loss prevention ในทุกเวกเตอร์ภัยคุกคามที่อาจเกิดขึ้นและช่องทางการรั่วไหล ในกรณีที่โชคร้ายที่ผู้บุกรุกได้รับการเข้าถึงโดยไม่ได้รับอนุญาตหากการกระทําของพวกเขาในข้อมูลของคุณได้รับการป้องกันคุณสามารถลดผลกระทบของการละเมิดได้อย่างมาก
5. ดําเนินการตรวจสอบและประเมินผลบ่อยครั้ง: การตรวจสอบความปลอดภัยทางไซเบอร์เป็นประจําจะประเมินการปฏิบัติตามข้อกําหนดและเปิดเผยช่องว่างความรู้ ตลอดจนเน้นจุดอ่อนและช่องโหว่ที่ให้เวกเตอร์การเข้าถึงเริ่มต้นที่สําคัญทั้งหมดสําหรับอาชญากรไซเบอร์
6. ให้ความรู้แก่พนักงานอย่างต่อเนื่อง: Vishing กําลังทวีความรุนแรงขึ้นในฐานะอาวุธที่แข็งแกร่งในคลังแสงของผู้โจมตี บุคคลจํานวนมากไม่ทราบว่า vishing เป็นเวกเตอร์ภัยคุกคามหรือความไวต่อการโจมตี vishing ทําให้พวกเขาลดความระมัดระวังลงเมื่อตอบสนองต่อการโทร การขาดความตระหนักนี้สามารถทําให้พวกเขาเสี่ยงต่อการถูกยักย้ายถ่ายเท

อ้าง อิง:

• https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
• https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/
• https://techcrunch.com/2023/09/14/mgm-cyberattack-outage-scattered-spider/
• https://www.bleepingcomputer.com/news/security/caesars-entertainment-confirms-ransom-payment-customer-data-theft/