การโจมตีด้วยแรนซัมแวร์สร้างความสั่นสะเทือนให้กับอเมริกา

เกือบสามปีที่แล้ว ท่อส่งน้ำมันโคโลเนียลถูกโจมตีและปิดให้บริการเป็นเวลาหกวัน ส่งผลให้เกิดภาวะขาดแคลนก๊าซ วอชิงตัน ดี.ซี. และอีก 17 รัฐได้ประกาศภาวะฉุกเฉิน

ภาพรวมของการโจมตีท่อส่งน้ำมัน Colonial

ท่อส่งน้ำมัน Colonial Pipeline ถูกโจมตีด้วยแรนซัมแวร์ในเดือนพฤษภาคม 2564 ส่งผลกระทบต่อระบบดิจิทัลหลายระบบและต้องปิดระบบเป็นเวลาหลายวัน เหตุการณ์นี้ส่งผลกระทบต่อทั้งผู้บริโภคและสายการบินตามแนวชายฝั่งตะวันออก ถือเป็นความเสี่ยงด้านความมั่นคงของชาติ เนื่องจากท่อส่งน้ำมันขนส่งน้ำมันจากโรงกลั่นไปยังตลาดอุตสาหกรรม ส่งผลให้ประธานาธิบดีโจ ไบเดน ของสหรัฐฯ ต้องประกาศภาวะฉุกเฉิน

ท่อส่งน้ำมันโคโลเนียลเป็นหนึ่งในท่อส่งน้ำมันที่ใหญ่ที่สุดและสำคัญที่สุดในสหรัฐอเมริกา เปิดใช้งานในปี พ.ศ. 2505 เพื่อช่วยขนส่งน้ำมันจากอ่าวเม็กซิโกไปยังชายฝั่งตะวันออก ระบบนี้ประกอบด้วยท่อส่งน้ำมันยาวกว่า 5,500 ไมล์ เริ่มต้นจากรัฐเท็กซัสและไหลผ่านรัฐนิวเจอร์ซีย์ และรับผิดชอบเกือบครึ่งหนึ่งของเชื้อเพลิงบนชายฝั่งตะวันออก ท่อส่งน้ำมันกลั่นนี้ใช้สำหรับน้ำมันเบนซิน น้ำมันเชื้อเพลิงเครื่องบิน และน้ำมันสำหรับใช้ในครัวเรือน

ปั๊มน้ำมันหลายแห่งในรัฐต่างๆ ของสหรัฐฯ หมดน้ำมันเนื่องจากระบบท่อส่งน้ำมัน Colonial Pipeline ถูกปิดในเดือนพฤษภาคม 2564 ภาพ: NBC News

เมื่อวันที่ 6 พฤษภาคม 2021 กลุ่มแฮกเกอร์ DarkSide ได้เข้าถึงเครือข่ายของ Colonial Pipeline และขโมยข้อมูลไป 100GB ภายใน 2 ชั่วโมง จากนั้นพวกเขาได้แพร่เชื้อแรนซัมแวร์ไปยังเครือข่ายไอที ส่งผลกระทบต่อระบบคอมพิวเตอร์หลายระบบ รวมถึงระบบบัญชีและการเรียกเก็บเงิน

ท่อส่งน้ำมันโคโลเนียลต้องปิดท่อส่งน้ำมันเพื่อหยุดยั้งการแพร่กระจายของแรนซัมแวร์ บริษัทรักษาความปลอดภัยแมนเดียนท์จึงถูกเรียกตัวมาสอบสวนการโจมตีครั้งนี้ เอฟบีไอ สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน กระทรวงพลังงาน และกระทรวงความมั่นคงแห่งมาตุภูมิก็เข้าร่วมด้วย

เมื่อวันที่ 7 พฤษภาคม 2021 บริษัทท่อส่งน้ำมันรายใหญ่ที่สุดในสหรัฐอเมริกาต้องจ่ายค่าไถ่เป็นบิตคอยน์ 75 หน่วย คิดเป็นมูลค่าประมาณ 4.4 ล้านดอลลาร์สหรัฐ ให้กับแฮกเกอร์เพื่อให้ได้คีย์ถอดรหัส ท่อส่งน้ำมันกลับมาดำเนินการอีกครั้งตั้งแต่วันที่ 12 พฤษภาคม 2021

ในระหว่างการพิจารณาคดีต่อหน้า รัฐสภา สหรัฐฯ เมื่อวันที่ 8 มิถุนายน 2564 ชาร์ลส์ คาร์มากัล รองประธานอาวุโสและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Mandiant กล่าวว่าผู้โจมตีได้เจาะระบบเครือข่ายโดยใช้รหัสผ่านที่รั่วไหลจากบัญชี VPN หลายองค์กรใช้ VPN เพื่อเข้าถึงเครือข่ายองค์กรที่ปลอดภัยจากระยะไกล

จากคำให้การของ Carmakal พนักงานของ Colonial Pipeline คนหนึ่งได้แชร์รหัสผ่าน VPN ให้กับบัญชีอื่น แต่รหัสผ่านนั้นกลับถูกเปิดเผยในเหตุการณ์ข้อมูลรั่วไหลอีกครั้ง การแบ่งปันรหัสผ่านระหว่างหลายบัญชีเป็นความผิดพลาดที่หลายคนมักทำ

ในการพิจารณาคดี โจเซฟ บลันต์ ซีอีโอของ Colonial Pipeline ได้อธิบายเหตุผลที่เขาตัดสินใจจ่ายค่าไถ่ ณ เวลาที่เกิดการโจมตี เขาไม่ทราบว่าการติดเชื้อแพร่กระจายไปมากเพียงใด หรือต้องใช้เวลานานแค่ไหนในการฟื้นฟูระบบ ดังนั้น เขาจึงตัดสินใจโดยหวังว่าจะสามารถเร่งระยะเวลาการฟื้นฟูให้เร็วขึ้น

หลังจากติดตามการชำระเงิน กระทรวงยุติธรรม สหรัฐฯ ได้ค้นพบที่อยู่ดิจิทัลของกระเป๋าเงินที่ผู้โจมตีใช้ และได้รับคำสั่งศาลให้ยึดบิตคอยน์ ส่งผลให้สามารถยึดบิตคอยน์ได้ 64/75 หน่วย มูลค่าประมาณ 2.4 ล้านดอลลาร์

“มรดก” ของการโจมตีท่อส่งน้ำมันโคโลเนียล

แรนซัมแวร์เป็นครั้งแรกที่ประเทศชาติตระหนักถึงเรื่องนี้ บีบให้รัฐสภาต้องออกกฎหมายใหม่และกระตุ้นให้หน่วยงานรัฐบาลกลางนำข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์ใหม่ๆ มาใช้ การโจมตีด้วยแรนซัมแวร์ไม่ใช่เรื่องใหม่ แต่ได้สร้างความเสียหายอย่างร้ายแรงต่อรัฐบาล สถาน พยาบาล และโรงเรียนต่างๆ ก่อนที่โครงการ Colonial Pipeline จะเกิด แต่สิ่งที่แตกต่างคือผลกระทบในระดับภูมิภาค เบน มิลเลอร์ รองประธานฝ่ายบริการของ Dragos บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐาน กล่าว

“ผมได้เรียนรู้ในภายหลังว่าเมื่อเกิดผลกระทบต่อชีวิตผู้คนจริงๆ จะมีการให้ความสนใจในระดับหนึ่ง” ชาร์ลส์ คาร์มาคัล รองประธานอาวุโสของบริษัทรักษาความปลอดภัยแมนเดียนท์ ซึ่งช่วยสืบสวนเหตุการณ์ที่โคโลเนียลกล่าว “เมื่อพูดถึงเรื่องแก๊สและเนื้อสัตว์ ผู้คนก็ใส่ใจกันมาก”

เหตุการณ์ท่อส่งน้ำมันโคโลเนียลทำให้หลายสายการบินขาดแคลนน้ำมันเชื้อเพลิง และสนามบินบางแห่งต้องปิดให้บริการ ความกังวลเกี่ยวกับปัญหาการขาดแคลนน้ำมันเบนซินทำให้เกิดความตื่นตระหนกและมีผู้ต่อแถวยาวเหยียดที่สถานีบริการน้ำมันในหลายรัฐ ราคาน้ำมันเฉลี่ยที่ปั๊มก็พุ่งสูงขึ้นเช่นกันเนื่องจากท่อส่งน้ำมันหยุดทำงาน ในบางรัฐ ผู้คนเทน้ำมันเบนซินลงในถุงพลาสติก ซึ่งทำให้คณะกรรมการความปลอดภัยผลิตภัณฑ์เพื่อผู้บริโภคแห่งสหรัฐอเมริกา (CSO) ออกคำเตือนให้ใช้เฉพาะภาชนะที่กำหนดไว้สำหรับเติมน้ำมันเบนซินเท่านั้น

การโจมตีท่อส่งน้ำมันโคโลเนียลบีบให้ทุกคนต้องตระหนักถึงความเสี่ยงด้านความปลอดภัยอย่างจริงจัง และนำนโยบายที่เคยถูกมองข้ามมาใช้ ไมค์ แฮมิลตัน อดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศของเมืองซีแอตเทิล กล่าวว่า การทำให้รัฐบาลกลางให้ความสำคัญกับข้อกำหนดด้านความปลอดภัยของโครงสร้างพื้นฐานที่สำคัญเป็นภารกิจที่ยากลำบาก

เหตุการณ์ที่เกิดขึ้นตามมาในช่วงปลายปี 2564 รวมถึงเหตุการณ์ที่พุ่งเป้าไปที่บริษัทผลิตเนื้อสัตว์ JBS Foods ได้สร้างแรงกดดันให้กับผู้กำหนดนโยบาย หน่วยงานกำกับดูแล และผู้บริหารมากขึ้น เหตุการณ์เหล่านี้เป็นตัวกระตุ้นให้ผู้บริหารทบทวนแผนรับมือแรนซัมแวร์ของตนเอง มิลเลอร์กล่าวว่าระดับความสนใจในแผนรับมือมีรายละเอียดมากขึ้น

อย่างไรก็ตาม จำเป็นต้องมีกฎระเบียบและการเปลี่ยนแปลงในอุตสาหกรรม เวนดี วิตมอร์ รองประธานอาวุโสฝ่ายข่าวกรองภัยคุกคามของ Palo Alto Networks Unit 42 กล่าวว่าควรมีข้อตกลงพหุภาคีระหว่างประเทศต่างๆ เพื่อปราบปรามแรนซัมแวร์

(ตามข้อมูลของ Axios, Tech Target)

แหล่งที่มา