ແຮັກ​ເກີ​ຣັດ​ເຊຍ​ໄດ້​ພັດທະນາ​ວິທີ​ການ​ທີ່​ຈະ​ທໍາ​ລາຍ​ລະບົບ​ຄວບ​ຄຸມ​ອຸດສາຫະກຳ​ໂດຍ​ໃຊ້​ເຕັກ​ນິກ​ living-off-the-land ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ສາມາດ​ເຂົ້າ​ເຖິງ​ຂັ້ນ​ຕອນ​ສຸດ​ທ້າຍ​ຂອງ​ການ​ໂຈມ​ຕີ​ໄດ້​ວ່ອງໄວ​ຍິ່ງ​ຂຶ້ນ​ ແລະ ​ໃຊ້​ຊັບ​ຍາກ​ອນ​ໜ້ອຍ​ລົງ​.

ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ເນັ້ນ​ຢ້ຳ​ວ່າ​ການ​ປ່ຽນ​ແປງ​ນີ້​ເປີດ​ປະ​ຕູ​ສູ່​ການ​ໂຈມ​ຕີ​ທີ່​ຍາກ​ຕໍ່​ການ​ກວດ​ຈັບ​ ແລະ ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ມັນ​ແວ​ (Malware) ທີ່​ຊັບ​ຊ້ອນ​ສຳລັບ​ລະບົບ​ຄວບ​ຄຸມ​ອຸດສາຫະກຳ​ (ICS).

Native binary ເພື່ອ​ສົ່ງ​ຄຳ​ສັ່ງ​

ເມື່ອ​ປີກາຍນີ້ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ​ Sandworm ໄດ້​ໂຈມ​ຕີ​ລະບົບ​​ພື້ນ​ຖານໂຄງລ່າງ​ສຳຄັນ​ຂອງ​ຢູ​ເຄຣນ​ ໂດຍ​ໃຊ້​ໄລ​ຍະ​ເວລາ​ໃນ​ການ​ໂຈມ​ຕີ​ບໍ່​ຮອດ​ 4 ເດືອນ ​ເຮັດໃຫ້​ໄຟ​ດັບ​ເພີ່ມ​ຂຶ້ນ​ເປັນ​ສອງ​ເທົ່າ​ຈາກ​ການ​ໃຊ້​ຂີປະນາ​ວຸດ​ໂຈມ​ຕີ​ສະຖານ​ທີ່​ສຳຄັນ​ທົ່ວ​ປະເທດ​.

Sandworm ເປັນ​ກຸ່ມ​ແຮັກ​ເກີ​​ທີ່​ມີບົດ​ບາດ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2009 ແລະ ​ເຊື່ອມ​ໂຍງ​ກັບ​ General Staff Main Intelligence Directorate (GRU) ຂອງ​ຣັດ​ເຊຍ​ ຊຶ່ງມີ​ເປົ້າ​ໝາຍທີ່​ລະບົບ​ຄວບ​ຄຸມ​ອຸດສາຫະກຳ​ (ICS) ແລະ ​ມີ​ສ່ວນ​ຮ່ວມ​ໃນ​ການ​ເຄື່ອນໄຫວສອດແນມ​ ແລະ​ ການ​ໂຈມ​ຕີ​ທາງ​ໄຊ​ເບີ​​ແບບ​ທຳລາຍ​ລ້າງ​ໃນ​​ທ້າຍ​ປີ​ 2022, ​ທີມ​ Incident Respond ຈາກ​ Mandiant ຊຶ່ງ​ເປັນ​ບໍລິສັດ​ລູກ​ຂອງ​ Google ໃນ​ປັດຈຸບັນ​ ເປັນ​ຜູ້​ຕອບໂຕ້​ຕໍ່​ເຫດການ​ການ​ໂຈມ​ຕີ​ທາງ​ໄຊ​ເບີ​​ທີ່​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ໃນ​ຢູ​ເຄຣນ​ ຊຶ່ງ​ພວກ​ເຂົາລະ​ບຸ​ວ່າ​ເປັນ​ກຸ່ມ​ Sandworm ແລະ ​ໄດ້​ວິ​ເຄາະ​ຍຸດທະວິທີ,​ ເຕັກ​ນິກ​ ແລະ ​ຂັ້ນ​ຕອນ​ຕ່າງ​ໆ​.

ເຖິງແມ​່ນວ່າ​ Attack Vector ຈະ​ຍັງ​ບໍ່​ຊັດເຈນ​ ແຕ່​ນັກ​ວິ​ໄຈ​ລະ​ບຸ​ວ່າ​ Sandworm ຖືກ​ພົບເຫັນ​ເທື່ອ​ທໍາອິດ​ໃນ​ເດືອນ​ ມິ​ຖຸ​ນາ ປີ​ 2022 ໂດຍ​ການ​ຕິດ​ຕັ້ງ​ເວັບ​ເຊວ (webshell) Neo-REGEORG ເທິງ​ເ​ຊີ​ເວີ​​ທີ່​ເປີດ​ໃຫ້​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນ​ເຕີເນັດ​.

ຫຼັງ​ຈາກ​ຜ່ານ​ໄປ​ໜຶ່ງ​ເດືອນ​ ແຮັກ​ເກີ​ໄດ້​ເອີ້ນໃຊ້​ງານ​ GOGETTER tunneler ທີ່​ໃຊ້​ພາສາ​ Golang ເພື່ອ​ເຊື່ອມ​ຕໍ່​ຜ່ານ​ພັອກ​ຊີ (Proxy) ​ທີ່​ເຂົ້າ​ລະ​ຫັດ​ສຳລັບ​ເ​ຊີ​ເວີ​ command and control (C2) ໂດຍ​ໃຊ້​ໄລ​ບ​ຣາ​ຣີ (library)​ Open Source ຂອງ​ Yamux.

ກາ​ນໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ເກີດ​ເຫດການ​ກໍ່​ກວນ​ 2 ເຫດການ​

ເຫດການ​ທີ 1: ໄຟ​ຟ້າ​ດັບ​ໃນວັນທີ​ 10 ຕຸລາ​ 2022 ເມື່ອ​ Sandworm ໃຊ້​ ISO CD-ROM image file ເພື່ອ​ເອີ້ນ​ໃຊ້​ MicroSCADA utility scilc.exe ດັ້ງ​ເດີມ​ ຊຶ່ງ​ມີ​ແນວ​ໂນ້ມ​ທີ່​ຈະ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຊຶ່ງ​ຈະ​ປິດ​ການ​ເຮັດ​ວຽກສ​ະຖາ​ນີ​ໄຟ​ຟ້າ​ຍ່ອຍ.​ ການ​ໂຫຼດ​ ISO image ເປັນ​ໄປ​ໄດ້​ເນື່ອງ​ຈາກ​ເຄື່ອງ​ virtual machine ທີ່​ໃຊ້​ MicroSCADA ເປີດ​ໃຊ້​ງານ​ຟັງ​​ຊັ່ນ​ Autorun ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ CD-ROM ທັງ​ແບບ​ physical ຫຼື​ virtual (ເຊັ່ນ:​ ຟາຍ​ ISO) ເຮັດວຽກ​ໄດ້​ໂດຍ​ອັດ​ໂນ​ມັດ.

scilc.exe ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ຊອບ​ແວ​ MicroSCADA ຊຶ່ງ​ Sandworm ໃຊ້​ເພື່ອ​ດໍາເນີນການ​ຄຳ​ສັ່ງ​ SCIL (ພາສາ​ການ​ຂຽນ​ໂປຣ​ແກຣມ​ແບບ​ high-level ສຳລັບ​ MicroSCADA) ຊຶ່ງ​ເ​ຊີ​ເວີ​​ຈະ​ relay ໄປຫາ​ remote terminal units (RTU - field equipment) ໃນ​ສ​ະຖາ​ນີ​ຍ່ອຍ​.

ພາຍ​ໃນ​ຟາຍ​ ISO ມີ​ຟາຍຢ່າງໜ້ອຍ​ສາມ​ຟາຍ​ຕໍ່ໄປ​ນີ້​ : 

• “lun.vbs” ຊຶ່ງ​ຈະ​ດຳເນີນການໂຕ​ bat
• “n.bat” ຊຶ່ງ​ອາດຈະ​ເອີ້ນ​ໃຊ້​ໂປຣ​ແກຣມ​ exe
• “s1.txt”, ຊຶ່ງອາດຈະມີຄຳສັ່ງ MicroSCADA ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ

 

• ເຫດການ​ທີ 2: ເກີດ​ຂຶ້ນ​ໃນ​ວັນທີ​ 12 ຕຸລາ​ 2022 ເມື່ອ​ Sandworm ຕິດ​ຕັ້ງ​ມັນ​ແວ​ CADDYWIPER Data Disruption ເວີ​​ຊັ່ນ​ໃໝ່​ ຊຶ່ງ​ໜ້າ​ຈະ​ເປັນ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການລົບ​ກວນ​ລະບົບ​ເພີ່ມຕື່ມ​ ແລະ​ ລຶບ​ຮ່ອງ​ຮອຍ​ຂອງ​ການ​ໂຈມ​ຕີ​.

 

ໃນ​ລາຍ​ງານ​ທີ່​ເຜີຍແຜ່​ໃນ​ວັນທີ 09 ພະຈິກ​ 2023, Mandiant ເນັ້ນ​ຢ້ຳ​ວ່າ​ເຕັກ​ນິກ​ທີ່​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ການ​ເຕີບໃຫຍ່​ທີ່​ເພີ່ມ​ຂຶ້ນ​ຂອງ​ເຄື່ອງ​ມື​ສຳລັບ​ໂຈມ​ຕີ​ລະບົບ​ OT ຂອງ​ຣັດ​ເຊຍ​ ຊຶ່ງ​ມາ​ຈາກ​ຄວາມ​ສາມາດ​ທີ່​ເພີ່ມ​ຂຶ້ນ​ສຳລັບໄພ​ຄຸກ​ຄາມ​ໃໝ່​ເທິງ​ລະບົບ​ OT, ການ​ພັດທະນາ​ຄວາມ​ສາມາດ​ ແລ ​ການ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ພື້ນ​ຖານໂຄງລ່າງ​ຂອງ​ລະບົບ​ OT ປະ​ເພດ​ຕ່າງ​ໆ​ ເມື່ອ​ລວມກັບ​ການ​ປ່ຽນ​ໄປ​ໃຊ້​ເຕັກ​ນິກ​ living-off-the-land ນັກ​ວິ​ໄຈ​ເຊື່ອ​ວ່າ​ Sandworm ມີ​ແນວ​ໂນ້ມ​ທີ່​ຈະ​ສາມາດ​ໂຈມ​ຕີ​ລະບົບ​ OT ຈາກ​ຜູ້​ໃຫ້​ບໍລິການ​ຫຼາຍ​ລາຍ​ໄດ້​.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/russian-hackers-switch-to-lotl-technique-to-cause-power-outage/
2. https://www.i-secure.co.th/2023/11/%e0%b9%81%e0%b8%ae%e0%b9%87%e0%b8%81%e0%b9%80%e0%b8%81%e0%b8%ad%e0%b8%a3%e0%b9%8c%e0%b8%8a%e0%b8%b2%e0%b8%a7%e0%b8%a3%e0%b8%b1%e0%b8%aa%e0%b9%80%e0%b8%8b%e0%b8%b5%e0%b8%a2%e0%b9%83%e0%b8%8a%e0%b9%89/