យុទ្ធនាការវាយប្រហារ APT28 FrostArmada

ប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតដ៏ទំនើបមួយ ដែលត្រូវបានសន្មតថាជារបស់ក្រុមគំរាមកំហែង APT28 ដែលមានទំនាក់ទំនងជាមួយប្រទេសរុស្ស៊ី ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Forest Blizzard បានទាញយកអត្ថប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញដែលងាយរងគ្រោះ ដើម្បីធ្វើការឃ្លាំមើលទ្រង់ទ្រាយធំ។ យុទ្ធនាការនេះ ដែលមានឈ្មោះកូដថា FrostArmada បានធ្វើសកម្មភាពយ៉ាងសកម្មចាប់តាំងពីយ៉ាងហោចណាស់ខែឧសភា ឆ្នាំ២០២៥ ដោយផ្តោតលើការធ្វើឱ្យខូចរ៉ោតទ័រ MikroTik និង TP-Link ដែលមិនមានសុវត្ថិភាព ដោយប្រែក្លាយពួកវាទៅជាទ្រព្យសកម្មដែលមានគំនិតអាក្រក់ ក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។

ប្រតិបត្តិការនេះផ្តោតសំខាន់លើឧបករណ៍ប្រើប្រាស់ក្នុងផ្ទះ និងការិយាល័យខ្នាតតូច (SOHO) ដោយកេងចំណេញពីការកំណត់រចនាសម្ព័ន្ធខ្សោយដើម្បីរៀបចំការកំណត់ DNS។ ដោយធ្វើដូច្នេះ អ្នកវាយប្រហារអាចស្ទាក់ចាប់ និងប្តូរទិសចរាចរណ៍បណ្តាញ ដែលអាចឱ្យមានការប្រមូលទិន្នន័យអកម្ម និងភាគច្រើនមិនអាចរកឃើញ។

ការលួច DNS៖ ប្រែក្លាយរ៉ោតទ័រទៅជាឧបករណ៍ឃ្លាំមើលស្ងាត់ៗ

នៅ​ក្នុង​យុទ្ធនាការ​នេះ​គឺ​ការ​លួច​យក​ DNS ដែល​ជា​បច្ចេកទេស​មួយ​ដែល​អនុញ្ញាត​ឱ្យ​អ្នក​វាយប្រហារ​ប្តូរ​ផ្លូវ​ចរាចរណ៍​ស្របច្បាប់​តាមរយៈ​ហេដ្ឋារចនាសម្ព័ន្ធ​ដែល​មាន​គំនិត​អាក្រក់។ នៅ​ពេល​ដែល​រ៉ោតទ័រ​មួយ​ត្រូវ​បាន​លួច​ចូល ការ​កំណត់ DNS របស់​វា​ត្រូវ​បាន​ផ្លាស់ប្ដូរ​ដើម្បី​ចង្អុល​ទៅ​ម៉ាស៊ីន​បម្រើ​ដែល​គ្រប់គ្រង​ដោយ​អ្នក​វាយប្រហារ។ ការ​រៀបចំ​នេះ​អនុញ្ញាត​ឱ្យ​មាន​ការ​ស្ទាក់ចាប់​ទិន្នន័យ​រសើប​ដោយ​មិន​តម្រូវ​ឱ្យ​មាន​អន្តរកម្ម​ពី​អ្នក​ប្រើប្រាស់​ឡើយ។

នៅពេលដែលអ្នកប្រើប្រាស់ព្យាយាមចូលប្រើដែនគោលដៅ សំណើរបស់ពួកគេត្រូវបានបញ្ជូនបន្តដោយស្ងាត់ៗទៅកាន់ណូត Attacker-in-the-Middle (AitM)។ ណូតទាំងនេះបានចាប់យកទិន្នន័យផ្ទៀងផ្ទាត់ រួមទាំងព័ត៌មានសម្ងាត់ចូល ហើយបញ្ជូនវាត្រឡប់ទៅអ្នកវាយប្រហារវិញ។ ដំណើរការនេះមានការសម្ងាត់ខ្ពស់ ដែលធ្វើឱ្យការរកឃើញមានការលំបាកខ្លាំង។

ការវិភាគខ្សែសង្វាក់វាយប្រហារ៖ ពីការកេងប្រវ័ញ្ចរហូតដល់ការលួចអត្តសញ្ញាណ

វដ្តជីវិតនៃការវាយប្រហារបានអនុវត្តតាមលំដាប់លំដោយដែលមានរចនាសម្ព័ន្ធដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនប្រសិទ្ធភាពនៃការប្រមូលទិន្នន័យ ខណៈពេលដែលកាត់បន្ថយការរកឃើញ៖

• ការសម្របសម្រួលដំបូងនៃរ៉ោតទ័រ SOHO តាមរយៈភាពងាយរងគ្រោះ ឬការកំណត់រចនាសម្ព័ន្ធខ្សោយ
• ការចូលប្រើប្រាស់រដ្ឋបាលដោយគ្មានការអនុញ្ញាត និងការកែប្រែការកំណត់ DNS
• ការបញ្ជូនបន្តសំណួរ DNS ទៅកាន់កម្មវិធីដោះស្រាយដែលមានគំនិតអាក្រក់ និងគ្រប់គ្រងដោយអ្នកធ្វើសកម្មភាព
• ការស្ទាក់ចាប់ចរាចរណ៍អ្នកប្រើប្រាស់តាមរយៈហេដ្ឋារចនាសម្ព័ន្ធ AitM
• ការ​ប្រមូល​ផល និង​ការ​លួច​យក​ព័ត៌មាន​សម្ងាត់ រួម​ទាំង​ពាក្យ​សម្ងាត់ និង​ថូខឹន OAuth

វិធីសាស្ត្រនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារតាមដានការប៉ុនប៉ងចូលទៅក្នុងវេទិកាអ៊ីមែល និងសេវាកម្មគេហទំព័រ រួមទាំងឧទាហរណ៍ដែលពាក់ព័ន្ធនឹង Microsoft Outlook នៅលើគេហទំព័រ និងប្រព័ន្ធផ្សេងទៀតដែលមិនមែនជារបស់ Microsoft។

ការឈានដល់សកលលោក និងការកំណត់គោលដៅជាយុទ្ធសាស្ត្រ

យុទ្ធនាការនេះបានពង្រីកយ៉ាងខ្លាំងតាមពេលវេលា។ ខណៈពេលដែលវាបានចាប់ផ្តើមក្នុងសមត្ថភាពមានកំណត់នៅក្នុងខែឧសភា ឆ្នាំ២០២៥ កិច្ចខិតខំប្រឹងប្រែងកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយបានកើនឡើងនៅដើមខែសីហា។ នៅកម្រិតកំពូលរបស់វានៅក្នុងខែធ្នូ ឆ្នាំ២០២៥ អាសយដ្ឋាន IP តែមួយគត់ជាង ១៨.០០០ នៅទូទាំងប្រទេសយ៉ាងហោចណាស់ ១២០ ត្រូវបានគេសង្កេតឃើញថាកំពុងទំនាក់ទំនងជាមួយហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

គោលដៅចម្បងរួមមាន៖

• ស្ថាប័នរដ្ឋាភិបាលដូចជាក្រសួងការបរទេស និងស្ថាប័នអនុវត្តច្បាប់
• អ្នកផ្តល់សេវាកម្មអ៊ីមែល និង cloud ភាគីទីបី
• អង្គការនានានៅទូទាំងអាហ្វ្រិកខាងជើង អាមេរិកកណ្តាល អាស៊ីអាគ្នេយ៍ និងអឺរ៉ុប

អង្គការជាង ២០០ និងឧបករណ៍ប្រើប្រាស់ប្រមាណ ៥០០០ ត្រូវបានរងផលប៉ះពាល់ ដែលបង្ហាញពីទំហំ និងវិសាលភាពនៃប្រតិបត្តិការ។

ភាពងាយរងគ្រោះដែលត្រូវបានកេងប្រវ័ញ្ច និងយុទ្ធសាស្ត្រហេដ្ឋារចនាសម្ព័ន្ធ

អ្នកវាយប្រហារបានទាញយកប្រយោជន៍ពីចំណុចខ្សោយដែលគេស្គាល់ដើម្បីទទួលបានការចូលប្រើឧបករណ៍បណ្តាញ។ ជាពិសេស រ៉ោតទ័រ TP-Link WR841N ត្រូវបានកេងប្រវ័ញ្ចដោយប្រើ CVE-2023-50224 ដែលជាចំណុចខ្សោយនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលអនុញ្ញាតឱ្យមានការទាញយកព័ត៌មានបញ្ជាក់អត្តសញ្ញាណតាមរយៈសំណើ HTTP GET ដែលបង្កើតឡើងជាពិសេស។

លើសពីនេះ ចង្កោមហេដ្ឋារចនាសម្ព័ន្ធបន្ទាប់បន្សំមួយត្រូវបានកំណត់អត្តសញ្ញាណ ដែលទទួលខុសត្រូវចំពោះការបញ្ជូនចរាចរណ៍ DNS ពីរ៉ោតទ័រដែលរងការគំរាមកំហែងទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងពីចម្ងាយដោយអ្នកវាយប្រហារ។ ចង្កោមនេះក៏បានធ្វើប្រតិបត្តិការដែលមានគោលដៅ និងអន្តរកម្មប្រឆាំងនឹងរ៉ោតទ័រ MikroTik ដែលបានជ្រើសរើស ជាពិសេសនៅក្នុងប្រទេសអ៊ុយក្រែន។

ការលួចស្តាប់កម្រិតខ្ពស់តាមរយៈការសម្របសម្រួលឧបករណ៍គែម

យុទ្ធនាការនេះសម្គាល់ការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងយុទ្ធសាស្ត្រប្រតិបត្តិការរបស់ APT28។ ជាលើកដំបូង ក្រុមនេះបានបង្ហាញពីសមត្ថភាពក្នុងការធ្វើការលួច DNS ក្នុងទ្រង់ទ្រាយធំ ដើម្បីសម្រួលដល់ការវាយប្រហារ AitM ប្រឆាំងនឹងការតភ្ជាប់ Transport Layer Security (TLS)។

តាមរយៈការធ្វើឱ្យខូចឧបករណ៍គែម ដែលជារឿយៗមិនសូវត្រូវបានត្រួតពិនិត្យជាងប្រព័ន្ធសហគ្រាស អ្នកវាយប្រហារទទួលបានភាពមើលឃើញខាងលើទៅក្នុងចរាចរណ៍បណ្តាញ។ ការកំណត់ទីតាំងយុទ្ធសាស្ត្រនេះអនុញ្ញាតឱ្យពួកគេកំណត់អត្តសញ្ញាណគោលដៅដែលមានតម្លៃខ្ពស់ និងផ្តោតជាជម្រើសលើបុគ្គល ឬអង្គការដែលមានចំណាប់អារម្មណ៍ផ្នែកចារកម្ម។

ប្រតិបត្តិការនេះត្រូវបានវាយតម្លៃថាមានលក្ខណៈឆ្លៀតឱកាស ដោយដំបូងឡើយបង្កើតជាសំណាញ់ធំទូលាយ និងបង្រួមគោលដៅបន្តិចម្តងៗ ដោយផ្អែកលើតម្លៃនៃទិន្នន័យដែលស្ទាក់ចាប់បាន។

ការរំខានប្រតិបត្តិការ និងហានិភ័យដែលកំពុងបន្តកើតមាន

ហេដ្ឋារចនាសម្ព័ន្ធព្យាបាទដែលគាំទ្រ FrostArmada ត្រូវបានរុះរើតាមរយៈកិច្ចខិតខំប្រឹងប្រែងសម្របសម្រួលដែលពាក់ព័ន្ធនឹងក្រសួងយុត្តិធម៌សហរដ្ឋអាមេរិក ការិយាល័យស៊ើបអង្កេតសហព័ន្ធ និងដៃគូអន្តរជាតិ។ បើទោះបីជាមានការរំខាននេះក៏ដោយ បច្ចេកទេសដែលប្រើប្រាស់បានបង្ហាញពីហានិភ័យជាប់លាប់ដែលទាក់ទងនឹងឧបករណ៍បណ្តាញដែលមិនមានសុវត្ថិភាព។

ខណៈពេលដែលយុទ្ធនាការនេះផ្តោតជាចម្បងលើការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ ការប្រើប្រាស់ទីតាំង AitM បង្ហាញពីការគំរាមកំហែងកាន់តែទូលំទូលាយ។ ការចូលប្រើបែបនេះអាចបង្កឱ្យមានសកម្មភាពព្យាបាទបន្ថែម រួមទាំងការដាក់ពង្រាយមេរោគ ឬការវាយប្រហារបដិសេធសេវាកម្ម ដែលបង្កើនផលប៉ះពាល់ដែលអាចកើតមានលើអង្គការគោលដៅ។

សេចក្តីសន្និដ្ឋាន៖ ការដាស់តឿនសម្រាប់សុវត្ថិភាពបណ្តាញ

យុទ្ធនាការ FrostArmada គូសបញ្ជាក់ពីសារៈសំខាន់ដ៏សំខាន់នៃការធានាសុវត្ថិភាពឧបករណ៍គែមនៅក្នុងបរិស្ថានបណ្តាញ។ ការកេងប្រវ័ញ្ចរ៉ោតទ័រ និងហេដ្ឋារចនាសម្ព័ន្ធ DNS ផ្តល់ឱ្យអ្នកវាយប្រហារនូវមធ្យោបាយឃ្លាំមើលដ៏មានឥទ្ធិពល និងលួចលាក់ ដែលជារឿយៗរំលងការគ្រប់គ្រងសុវត្ថិភាពបែបប្រពៃណី។

ទាំងអង្គការ និងបុគ្គលត្រូវតែផ្តល់អាទិភាពដល់ការកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ ការបិទភ្ជាប់ទាន់ពេលវេលា និងការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃឧបករណ៍បណ្តាញ ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយអ្នកគំរាមកំហែងកម្រិតខ្ពស់បែបនេះ។