กรณี SolarWinds เป็นการแฮ็กครั้งใหญ่ที่สะเทือนหน่วยงานจำนวนมาก แถมยังตรวจจับได้ยากมาก เพราะมัลแวร์แฝงตัวมากับซอฟต์แวร์ที่ถูกเผยแพร่อย่างเป็นทางการ (แฮ็กตั้งแต่ระบบซัพพลายเชน) ล่าสุดยังมี MalwareBytes ที่โดนโจมตีจากแฮ็กเกอร์กลุ่มเดียวกัน
FireEye ในฐานะบริษัทที่ตรวจพบมัลแวร์ที่แอบใน SolarWinds ออกเครื่องมือช่วยตรวจจับการโจมตีของแฮ็กเกอร์กลุ่มนี้ (ถูกตั้งชื่อว่ากลุ่ม UNC2452) ที่หันมานิยมการโจมตีผ่านคลาวด์ Azure โดยเริ่มจากการขโมยโทเคนล็อกอิน Active Directory Federation Services ก่อน เมื่อเข้ามาได้แล้วจะฝังแบ็คดอร์ไว้บนแอพพลิเคชันภายในที่รันบน Microsoft 365 อีกที
ชุดเครื่องมือของ FireEye ผสานเทคนิคหลากหลาย ช่วยดักพฤติกรรมแปลกๆ บน Azure และ Office 365 ว่ามีการเปลี่ยนแปลงค่าเกี่ยวกับ domain federation หรือไม่ ช่วยให้องค์กรขนาดใหญ่ที่สามารถตรวจจับการเจาะระบบได้เร็วขึ้น
ที่มา - FireEye