Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຮັກເກີຄົນຣັດເຊຍໃຊ້ເຕັກນິກ living-off-the-land (LOTL) ເພື່ອເຮັດໃຫ້ໄຟຟ້າດັບ

ແຮັກເກີຄົນຣັດເຊຍໃຊ້ເຕັກນິກ living-off-the-land (LOTL) ເພື່ອເຮັດໃຫ້ໄຟຟ້າດັບ

ແຮັກ​ເກີ​ຣັດ​ເຊຍ​ໄດ້​ພັດທະນາ​ວິທີ​ການ​ທີ່​ຈະ​ທໍາ​ລາຍ​ລະບົບ​ຄວບ​ຄຸມ​ອຸດສາຫະກຳ​ໂດຍ​ໃຊ້​ເຕັກ​ນິກ​ living-off-the-land ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ສາມາດ​ເຂົ້າ​ເຖິງ​ຂັ້ນ​ຕອນ​ສຸດ​ທ້າຍ​ຂອງ​ການ​ໂຈມ​ຕີ​ໄດ້​ວ່ອງໄວ​ຍິ່ງ​ຂຶ້ນ​ ແລະ ​ໃຊ້​ຊັບ​ຍາກ​ອນ​ໜ້ອຍ​ລົງ​.

ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ເນັ້ນ​ຢ້ຳ​ວ່າ​ການ​ປ່ຽນ​ແປງ​ນີ້​ເປີດ​ປະ​ຕູ​ສູ່​ການ​ໂຈມ​ຕີ​ທີ່​ຍາກ​ຕໍ່​ການ​ກວດ​ຈັບ​ ແລະ ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ມັນ​ແວ​ (Malware) ທີ່​ຊັບ​ຊ້ອນ​ສຳລັບ​ລະບົບ​ຄວບ​ຄຸມ​ອຸດສາຫະກຳ​ (ICS).

Native binary ເພື່ອ​ສົ່ງ​ຄຳ​ສັ່ງ​

ເມື່ອ​ປີກາຍນີ້ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ​ Sandworm ໄດ້​ໂຈມ​ຕີ​ລະບົບ​​ພື້ນ​ຖານໂຄງລ່າງ​ສຳຄັນ​ຂອງ​ຢູ​ເຄຣນ​ ໂດຍ​ໃຊ້​ໄລ​ຍະ​ເວລາ​ໃນ​ການ​ໂຈມ​ຕີ​ບໍ່​ຮອດ​ 4 ເດືອນ ​ເຮັດໃຫ້​ໄຟ​ດັບ​ເພີ່ມ​ຂຶ້ນ​ເປັນ​ສອງ​ເທົ່າ​ຈາກ​ການ​ໃຊ້​ຂີປະນາ​ວຸດ​ໂຈມ​ຕີ​ສະຖານ​ທີ່​ສຳຄັນ​ທົ່ວ​ປະເທດ​.

Sandworm ເປັນ​ກຸ່ມ​ແຮັກ​ເກີ​​ທີ່​ມີບົດ​ບາດ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2009 ແລະ ​ເຊື່ອມ​ໂຍງ​ກັບ​ General Staff Main Intelligence Directorate (GRU) ຂອງ​ຣັດ​ເຊຍ​ ຊຶ່ງມີ​ເປົ້າ​ໝາຍທີ່​ລະບົບ​ຄວບ​ຄຸມ​ອຸດສາຫະກຳ​ (ICS) ແລະ ​ມີ​ສ່ວນ​ຮ່ວມ​ໃນ​ການ​ເຄື່ອນໄຫວສອດແນມ​ ແລະ​ ການ​ໂຈມ​ຕີ​ທາງ​ໄຊ​ເບີ​​ແບບ​ທຳລາຍ​ລ້າງ​ໃນ​​ທ້າຍ​ປີ​ 2022, ​ທີມ​ Incident Respond ຈາກ​ Mandiant ຊຶ່ງ​ເປັນ​ບໍລິສັດ​ລູກ​ຂອງ​ Google ໃນ​ປັດຈຸບັນ​ ເປັນ​ຜູ້​ຕອບໂຕ້​ຕໍ່​ເຫດການ​ການ​ໂຈມ​ຕີ​ທາງ​ໄຊ​ເບີ​​ທີ່​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ໃນ​ຢູ​ເຄຣນ​ ຊຶ່ງ​ພວກ​ເຂົາລະ​ບຸ​ວ່າ​ເປັນ​ກຸ່ມ​ Sandworm ແລະ ​ໄດ້​ວິ​ເຄາະ​ຍຸດທະວິທີ,​ ເຕັກ​ນິກ​ ແລະ ​ຂັ້ນ​ຕອນ​ຕ່າງ​ໆ​.

ເຖິງແມ​່ນວ່າ​ Attack Vector ຈະ​ຍັງ​ບໍ່​ຊັດເຈນ​ ແຕ່​ນັກ​ວິ​ໄຈ​ລະ​ບຸ​ວ່າ​ Sandworm ຖືກ​ພົບເຫັນ​ເທື່ອ​ທໍາອິດ​ໃນ​ເດືອນ​ ມິ​ຖຸ​ນາ ປີ​ 2022 ໂດຍ​ການ​ຕິດ​ຕັ້ງ​ເວັບ​ເຊວ (webshell) Neo-REGEORG ເທິງ​ເ​ຊີ​ເວີ​​ທີ່​ເປີດ​ໃຫ້​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນ​ເຕີເນັດ​.

ຫຼັງ​ຈາກ​ຜ່ານ​ໄປ​ໜຶ່ງ​ເດືອນ​ ແຮັກ​ເກີ​ໄດ້​ເອີ້ນໃຊ້​ງານ​ GOGETTER tunneler ທີ່​ໃຊ້​ພາສາ​ Golang ເພື່ອ​ເຊື່ອມ​ຕໍ່​ຜ່ານ​ພັອກ​ຊີ (Proxy) ​ທີ່​ເຂົ້າ​ລະ​ຫັດ​ສຳລັບ​ເ​ຊີ​ເວີ​ command and control (C2) ໂດຍ​ໃຊ້​ໄລ​ບ​ຣາ​ຣີ (library)​ Open Source ຂອງ​ Yamux.

ກາ​ນໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ເກີດ​ເຫດການ​ກໍ່​ກວນ​ 2 ເຫດການ​

ເຫດການ​ທີ 1: ໄຟ​ຟ້າ​ດັບ​ໃນວັນທີ​ 10 ຕຸລາ​ 2022 ເມື່ອ​ Sandworm ໃຊ້​ ISO CD-ROM image file ເພື່ອ​ເອີ້ນ​ໃຊ້​ MicroSCADA utility scilc.exe ດັ້ງ​ເດີມ​ ຊຶ່ງ​ມີ​ແນວ​ໂນ້ມ​ທີ່​ຈະ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຊຶ່ງ​ຈະ​ປິດ​ການ​ເຮັດ​ວຽກສ​ະຖາ​ນີ​ໄຟ​ຟ້າ​ຍ່ອຍ.​ ການ​ໂຫຼດ​ ISO image ເປັນ​ໄປ​ໄດ້​ເນື່ອງ​ຈາກ​ເຄື່ອງ​ virtual machine ທີ່​ໃຊ້​ MicroSCADA ເປີດ​ໃຊ້​ງານ​ຟັງ​​ຊັ່ນ​ Autorun ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ CD-ROM ທັງ​ແບບ​ physical ຫຼື​ virtual (ເຊັ່ນ:​ ຟາຍ​ ISO) ເຮັດວຽກ​ໄດ້​ໂດຍ​ອັດ​ໂນ​ມັດ.



scilc.exe ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ຊອບ​ແວ​ MicroSCADA ຊຶ່ງ​ Sandworm ໃຊ້​ເພື່ອ​ດໍາເນີນການ​ຄຳ​ສັ່ງ​ SCIL (ພາສາ​ການ​ຂຽນ​ໂປຣ​ແກຣມ​ແບບ​ high-level ສຳລັບ​ MicroSCADA) ຊຶ່ງ​ເ​ຊີ​ເວີ​​ຈະ​ relay ໄປຫາ​ remote terminal units (RTU - field equipment) ໃນ​ສ​ະຖາ​ນີ​ຍ່ອຍ​.

ພາຍ​ໃນ​ຟາຍ​ ISO ມີ​ຟາຍຢ່າງໜ້ອຍ​ສາມ​ຟາຍ​ຕໍ່ໄປ​ນີ້​ : 

  • “lun.vbs” ຊຶ່ງ​ຈະ​ດຳເນີນການໂຕ​ bat
  • “n.bat” ຊຶ່ງ​ອາດຈະ​ເອີ້ນ​ໃຊ້​ໂປຣ​ແກຣມ​ exe
  • “s1.txt”, ຊຶ່ງອາດຈະມີຄຳສັ່ງ MicroSCADA ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ

 

  • ເຫດການ​ທີ 2: ເກີດ​ຂຶ້ນ​ໃນ​ວັນທີ​ 12 ຕຸລາ​ 2022 ເມື່ອ​ Sandworm ຕິດ​ຕັ້ງ​ມັນ​ແວ​ CADDYWIPER Data Disruption ເວີ​​ຊັ່ນ​ໃໝ່​ ຊຶ່ງ​ໜ້າ​ຈະ​ເປັນ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການລົບ​ກວນ​ລະບົບ​ເພີ່ມຕື່ມ​ ແລະ​ ລຶບ​ຮ່ອງ​ຮອຍ​ຂອງ​ການ​ໂຈມ​ຕີ​.

 

ໃນ​ລາຍ​ງານ​ທີ່​ເຜີຍແຜ່​ໃນ​ວັນທີ 09 ພະຈິກ​ 2023, Mandiant ເນັ້ນ​ຢ້ຳ​ວ່າ​ເຕັກ​ນິກ​ທີ່​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ການ​ເຕີບໃຫຍ່​ທີ່​ເພີ່ມ​ຂຶ້ນ​ຂອງ​ເຄື່ອງ​ມື​ສຳລັບ​ໂຈມ​ຕີ​ລະບົບ​ OT ຂອງ​ຣັດ​ເຊຍ​ ຊຶ່ງ​ມາ​ຈາກ​ຄວາມ​ສາມາດ​ທີ່​ເພີ່ມ​ຂຶ້ນ​ສຳລັບໄພ​ຄຸກ​ຄາມ​ໃໝ່​ເທິງ​ລະບົບ​ OT, ການ​ພັດທະນາ​ຄວາມ​ສາມາດ​ ແລ ​ການ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ພື້ນ​ຖານໂຄງລ່າງ​ຂອງ​ລະບົບ​ OT ປະ​ເພດ​ຕ່າງ​ໆ​ ເມື່ອ​ລວມກັບ​ການ​ປ່ຽນ​ໄປ​ໃຊ້​ເຕັກ​ນິກ​ living-off-the-land ນັກ​ວິ​ໄຈ​ເຊື່ອ​ວ່າ​ Sandworm ມີ​ແນວ​ໂນ້ມ​ທີ່​ຈະ​ສາມາດ​ໂຈມ​ຕີ​ລະບົບ​ OT ຈາກ​ຜູ້​ໃຫ້​ບໍລິການ​ຫຼາຍ​ລາຍ​ໄດ້​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/russian-hackers-switch-to-lotl-technique-to-cause-power-outage/
  2. https://www.i-secure.co.th/2023/11/%e0%b9%81%e0%b8%ae%e0%b9%87%e0%b8%81%e0%b9%80%e0%b8%81%e0%b8%ad%e0%b8%a3%e0%b9%8c%e0%b8%8a%e0%b8%b2%e0%b8%a7%e0%b8%a3%e0%b8%b1%e0%b8%aa%e0%b9%80%e0%b8%8b%e0%b8%b5%e0%b8%a2%e0%b9%83%e0%b8%8a%e0%b9%89/

ລາຍການຮູບ

Meesaisak 21 November 2023 922 Print