กลุ่ม APT ของรัสเซีย โจมตีแหล่งพลังงานและน้ำของยูเครน 20 แห่ง

149/67 (IT) ประจำวันพฤหัสบดีที่ 25 เมษายน 2567

กลุ่ม APT44 ของรัสเซียเปิดฉากการโจมตีครั้งใหญ่ต่อโครงสร้างพื้นฐานที่สำคัญของประเทศยูเครน ในเดือนมีนาคม โดยกำหนดเป้าหมายไปยังสถานที่ต่าง ๆ จำนวน 20 แห่ง เพื่อพยายามขยายผลกระทบของการโจมตีด้วยขีปนาวุธต่อประเทศที่เสียหายจากสงคราม ตามรายงานของ CERT ของยูเครน

CERT-UA ระบุในรายงานว่า การโจมตีดังกล่าวส่งผลกระทบต่อสิ่งอำนวยความสะดวกด้านพลังงาน และน้ำใน 10 ภูมิภาคของประเทศ โดยอ้างว่ามีการละเมิดห่วงโซ่อุปทานอย่างน้อยสามรายการในการเสนอราคาเพื่อส่งมอบการอัปเดตซอฟต์แวร์ที่ถูกบุกรุกหรือใช้ข้อมูลประจำตัวของบุคคลที่สามเพื่อเข้าถึงเครือข่ายเป้าหมาย และมีแบ็คดอร์ใหม่ 2 รายการ คือ Biasboat และ Loadgrip ถูกค้นพบโดยเป็นส่วนหนึ่งของการสืบสวนของ CERT-UA ซึ่งเป็นแบ็คดอร์เวอร์ชัน Linux ชื่อว่า “Quueeseed” ซึ่งการใช้ Queueseed และมัลแวร์อีกหนึ่งรายการ Gossipflow ทำให้ CERT-UA สามารถระบุการโจมตีของ APT44 (หรือที่เรียกว่ากลุ่ม Sandworm) ซึ่งเป็นกลุ่มภัยคุกคามจากรัสเซียที่มีการจารกรรมทางไซเบอร์และการโจมตีแบบทำลายระบบ และมัลแวร์ Gossipflow สามารถใช้เพื่อขโมยข้อมูลและส่งมอบการสื่อสารแบบสั่งการและควบคุมที่ปลอดภัย    

ในช่วงระหว่างวันที่ 7 – 15 มีนาคม 2567 ผู้เชี่ยวชาญของ CERT-UA ได้ใช้มาตรการเพื่อแจ้งให้องค์กรที่ระบุทั้งหมดทราบ และทำการตรวจสอบและต่อต้านภัยคุกคามทางไซเบอร์ใน ICS ที่เกี่ยวข้อง ซึ่งเป็นส่วนหนึ่งของสถานการณ์ของการถูกโจมตีขั้นต้นได้ ซึ่งเป็นซอฟต์แวร์ที่เป็นอันตราย ถูกลบออกและวิเคราะห์ มีการสร้างลำดับเหตุการณ์ของเหตุการณ์ ให้ความช่วยเหลือในการกำหนดค่าเซิร์ฟเวอร์และอุปกรณ์เครือข่ายที่ใช้งานอยู่ และติดตั้งเทคโนโลยีความปลอดภัย แต่อย่างไรก็ตาม ความสามารถของ CERT ในการบรรเทาผลกระทบของการโจมตีนั้นถูกจำกัดด้วยแนวปฏิบัติในการป้องกันทางไซเบอร์ที่ไม่ดีในส่วนขององค์กรที่เป็นเป้าหมาย โดยเฉพาะอย่างยิ่ง บริษัทร้องเรียนว่าขาดการแบ่งส่วนเครือข่ายที่เพียงพอและความประมาทเลินเล่อของซัพพลายเออร์ ซึ่งทำให้ APT44 สามารถใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ในซอฟต์แวร์บุคคลที่สาม

แหล่งข่าว https://www.infosecurity-magazine.com/news/russian-sandworm-20-ukrainian/