Dindoor Backdoor
ការស្រាវជ្រាវស៊ើបការណ៍សម្ងាត់អំពីការគំរាមកំហែងបានរកឃើញភស្តុតាងនៃប្រតិបត្តិការតាមអ៊ីនធឺណិតដែលមានសម្ព័ន្ធភាពជាមួយរដ្ឋអ៊ីរ៉ង់ ដែលបានបង្កប់ខ្លួនដោយជោគជ័យនៅក្នុងបណ្តាញរបស់អង្គការជាច្រើននៅទូទាំងអាមេរិកខាងជើង។ អង្គភាពដែលរងផលប៉ះពាល់រួមមានធនាគារ អាកាសយានដ្ឋាន អង្គការមិនស្វែងរកប្រាក់ចំណេញ និងសាខាអ៊ីស្រាអែលនៃក្រុមហ៊ុនផ្នែកទន់ដែលបម្រើវិស័យការពារជាតិ និងអវកាស។
យុទ្ធនាការនេះត្រូវបានគេសន្មតថាជារបស់ក្រុម MuddyWater ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Seedworm ដែលជាក្រុមគំរាមកំហែងមួយដែលមានទំនាក់ទំនងជាមួយក្រសួងស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខអ៊ីរ៉ង់ (MOIS)។ ក្រុមអ្នកស៊ើបអង្កេតវាយតម្លៃថា ប្រតិបត្តិការនេះបានចាប់ផ្តើមនៅដើមខែកុម្ភៈ ឆ្នាំ២០២៦។ សកម្មភាពបណ្តាញដែលភ្ជាប់ទៅនឹងយុទ្ធនាការនេះបានលេចចេញភ្លាមៗបន្ទាប់ពីការវាយប្រហារយោធាដែលធ្វើឡើងដោយសហរដ្ឋអាមេរិក និងអ៊ីស្រាអែលប្រឆាំងនឹងអ៊ីរ៉ង់ ដែលបង្ហាញពីកត្តាជំរុញភូមិសាស្ត្រនយោបាយដ៏មានសក្តានុពលមួយនៅពីក្រោយសកម្មភាពតាមអ៊ីនធឺណិត។
ការយកចិត្តទុកដាក់ជាពិសេសហាក់ដូចជាត្រូវបានដឹកនាំទៅកាន់ផ្នែកអ៊ីស្រាអែលនៃអ្នកផ្តល់កម្មវិធីគោលដៅ។ ក្រុមហ៊ុនផ្គត់ផ្គង់ដំណោះស្រាយដល់ឧស្សាហកម្មជាច្រើន រួមទាំងការពារជាតិ និងអវកាស ដែលធ្វើឱ្យវាក្លាយជាគោលដៅដ៏មានតម្លៃជាយុទ្ធសាស្ត្រសម្រាប់ការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ និងការរំខានដែលអាចកើតមាន។
តារាងមាតិកា
Dindoor៖ ច្រកចូលខាងក្រោយដែលទើបកំណត់អត្តសញ្ញាណថ្មី ដែលប្រើប្រាស់ Deno
អ្នកវិភាគសន្តិសុខដែលពិនិត្យមើលការឈ្លានពានបានកំណត់អត្តសញ្ញាណការដាក់ពង្រាយទ្វារក្រោយដែលមិនធ្លាប់មានឯកសារហៅថា Dindoor។ មេរោគនេះប្រើ Deno JavaScript runtime ជាផ្នែកមួយនៃបរិយាកាសប្រតិបត្តិរបស់វា ដែលជាបច្ចេកទេសដ៏កម្រមួយដែលអាចជួយមេរោគគេចវេះការរកឃើញនៅក្នុងប្រព័ន្ធត្រួតពិនិត្យសុវត្ថិភាពបែបប្រពៃណី។
ការវាយប្រហារដែលពាក់ព័ន្ធនឹងអ្នកលក់កម្មវិធី ស្ថាប័នធនាគារអាមេរិក និងអង្គការមិនស្វែងរកប្រាក់ចំណេញកាណាដាហាក់ដូចជាបានបម្រើជាចំណុចចូលសម្រាប់ដំឡើងទ្វារក្រោយនេះ។
ភស្តុតាងនៃការប៉ុនប៉ងលួចទិន្នន័យក៏ត្រូវបានកំណត់អត្តសញ្ញាណផងដែរ។ អ្នកស៊ើបអង្កេតបានសង្កេតឃើញការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ Rclone ដើម្បីផ្ទេរព័ត៌មានពីបរិស្ថានរបស់ក្រុមហ៊ុនកម្មវិធីដែលរងការគំរាមកំហែងទៅកាន់ធុងផ្ទុកទិន្នន័យលើពពកដែលបង្ហោះនៅលើ Wasabi។ នៅពេលធ្វើការវិភាគ វានៅតែមិនច្បាស់ថាតើការប៉ុនប៉ងលួចទិន្នន័យនេះទទួលបានជោគជ័យនៅទីបំផុតឬអត់។
មេរោគ Fakeset Backdoor លេចឡើងនៅក្នុងបណ្តាញដែលរងការគំរាមកំហែងបន្ថែម
សមាសធាតុមេរោគដាច់ដោយឡែកមួយ ដែលគេស្គាល់ថាជា Fakeset ដែលសរសេរជាភាសា Python ត្រូវបានរកឃើញនៅក្នុងបណ្តាញនៃអាកាសយានដ្ឋានសហរដ្ឋអាមេរិក និងអង្គការមិនស្វែងរកប្រាក់ចំណេញមួយផ្សេងទៀត។ ច្រកខាងក្រោយនេះត្រូវបានទាញយកចេញពីហេដ្ឋារចនាសម្ព័ន្ធដែលទាក់ទងនឹង Backblaze ដែលជាអ្នកផ្តល់សេវាផ្ទុកទិន្នន័យលើ Cloud និងបម្រុងទុកដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិក។
មេរោគ payload ត្រូវបានចុះហត្ថលេខាឌីជីថលដោយប្រើវិញ្ញាបនបត្រដែលពីមុនត្រូវបានភ្ជាប់ទៅនឹងមេរោគពីរផ្សេងទៀតគឺ Stagecomp និង Darkcomp ដែលទាំងពីរនេះធ្លាប់មានទំនាក់ទំនងជាមួយប្រតិបត្តិការ MuddyWater។
ក្រុមអ្នកស្រាវជ្រាវគំរាមកំហែងបានកំណត់អត្តសញ្ញាណគំរូមេរោគដែលមានហត្ថលេខាដូចខាងក្រោមដែលភ្ជាប់ទៅនឹងប្រព័ន្ធអេកូឡូស៊ី MuddyWater៖
- Trojan:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
ទោះបីជា Stagecomp និង Darkcomp ខ្លួនឯងមិនត្រូវបានរកឃើញនៅលើបណ្តាញដែលរងការគំរាមកំហែងដែលបានពិនិត្យនៅក្នុងការស៊ើបអង្កេតនេះក៏ដោយ ការប្រើប្រាស់វិញ្ញាបនបត្រឌីជីថលដូចគ្នាឡើងវិញបង្ហាញយ៉ាងច្បាស់ពីការចូលរួមដោយអ្នកគំរាមកំហែងដូចគ្នា ដែលពង្រឹងការសន្មតថាជា Seedworm។
ការពង្រីកសមត្ថភាពតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់ និងយុទ្ធសាស្ត្រវិស្វកម្មសង្គម
ក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ ភ្នាក់ងារគំរាមកំហែងតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់បានបង្កើនសមត្ថភាពប្រតិបត្តិការរបស់ពួកគេយ៉ាងខ្លាំង។ ការអភិវឌ្ឍ និងឧបករណ៍មេរោគរបស់ពួកគេកាន់តែមានភាពស្មុគស្មាញ ដែលអនុញ្ញាតឱ្យមានការតស៊ូដោយលួចលាក់ និងចលនាចំហៀងកាន់តែមានប្រសិទ្ធភាពនៅក្នុងបណ្តាញជនរងគ្រោះ។
គួរឱ្យកត់សម្គាល់ដូចគ្នានេះដែរ គឺការពង្រីកយុទ្ធសាស្ត្រវាយប្រហារដែលផ្តោតលើមនុស្សរបស់ពួកគេ។ ប្រតិបត្តិករអ៊ីរ៉ង់បានបង្ហាញវិធីសាស្រ្តវិស្វកម្មសង្គមកាន់តែទំនើប រួមទាំងយុទ្ធនាការបន្លំលួចទិន្នន័យគោលដៅខ្ពស់ និងប្រតិបត្តិការ 'honeytrap' រយៈពេលវែង ដែលត្រូវបានរចនាឡើងដើម្បីកសាងទំនុកចិត្តជាមួយបុគ្គលដែលមានចំណាប់អារម្មណ៍។ យុទ្ធសាស្ត្រទាំងនេះត្រូវបានគេប្រើជាញឹកញាប់ដើម្បីទទួលបានសិទ្ធិចូលប្រើគណនី ឬទាញយកព័ត៌មានរសើប។
ការឃ្លាំមើលតាមរយៈកាមេរ៉ាងាយរងគ្រោះ
ការស៊ើបអង្កេតស្របគ្នាបានបង្ហាញថា ក្រុមគំរាមកំហែងផ្សេងទៀតដែលមានទំនាក់ទំនងជាមួយអ៊ីរ៉ង់កំពុងស៊ើបអង្កេតយ៉ាងសកម្មលើឧបករណ៍ឃ្លាំមើលដែលភ្ជាប់អ៊ីនធឺណិត។ ភ្នាក់ងារមួយក្នុងចំណោមភ្នាក់ងារទាំងនោះគឺ Agrius ដែលត្រូវបានគេស្គាល់ដោយឈ្មោះក្លែងក្លាយថា Agonizing Serpens, Marshtreader និង Pink Sandstorm ត្រូវបានគេសង្កេតឃើញកំពុងស្កេនរកហេដ្ឋារចនាសម្ព័ន្ធឃ្លាំមើលវីដេអូដែលងាយរងគ្រោះ។
ក្រុមអ្នកស្រាវជ្រាវបានចងក្រងឯកសារអំពីការប៉ុនប៉ងកេងប្រវ័ញ្ចដែលកំណត់គោលដៅលើកាមេរ៉ា Hikvision និងប្រព័ន្ធវីដេអូអន្តរទំនាក់ទំនងតាមរយៈភាពងាយរងគ្រោះដែលគេស្គាល់។ សកម្មភាពទាំងនេះកាន់តែខ្លាំងឡើងក្នុងអំឡុងពេលជម្លោះនៅមជ្ឈិមបូព៌ាដែលកំពុងបន្តកើតមាន ជាពិសេសនៅក្នុងប្រទេសអ៊ីស្រាអែល និងរដ្ឋឈូងសមុទ្រមួយចំនួន។
យុទ្ធនាការនេះផ្តោតលើការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលប៉ះពាល់ដល់ឧបករណ៍ឃ្លាំមើលពី Dahua និង Hikvision រួមមាន៖
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
អ្នកវិភាគសន្តិសុខជឿជាក់ថា ការសម្របសម្រួលបែបនេះអាចគាំទ្រដល់ការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់យោធា រួមទាំងការឃ្លាំមើលប្រតិបត្តិការ និងការវាយតម្លៃការខូចខាតក្នុងសមរភូមិ (BDA) ដែលទាក់ទងនឹងប្រតិបត្តិការមីស៊ីល។ ក្នុងករណីខ្លះ ការលួចចូលកាមេរ៉ាអាចកើតឡើងមុនពេលបាញ់មីស៊ីល ដើម្បីជួយក្នុងការកំណត់គោលដៅ ឬតាមដានលទ្ធផល។
សកម្មភាពតាមអ៊ីនធឺណិតជាបុព្វបទនៃប្រតិបត្តិការ Kinetic
ការកំណត់គោលដៅសម្របសម្រួលនៃហេដ្ឋារចនាសម្ព័ន្ធឃ្លាំមើលស្របនឹងការវាយតម្លៃយូរអង្វែងថាគោលលទ្ធិតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់រួមបញ្ចូលការឈ្លបយកការណ៍ឌីជីថលទៅក្នុងផែនការយោធាកាន់តែទូលំទូលាយ។ កាមេរ៉ាដែលរងការគំរាមកំហែងអាចផ្តល់នូវភាពវៃឆ្លាតដែលមើលឃើញជាក់ស្តែង និងការយល់ដឹងអំពីស្ថានភាព។
ជាលទ្ធផល ការតាមដានសកម្មភាពស្កេន និងការប៉ុនប៉ងកេងប្រវ័ញ្ចប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធកាមេរ៉ាដែលភ្ជាប់ទៅនឹងទ្រព្យសម្បត្តិអ៊ីនធឺណិតដែលគេស្គាល់របស់អ៊ីរ៉ង់ អាចបម្រើជាសញ្ញាព្រមានដំបូងសម្រាប់ប្រតិបត្តិការចលនវិទ្យាដែលអាចកើតមានជាបន្តបន្ទាប់។
ហានិភ័យនៃការសងសឹកតាមអ៊ីនធឺណិតកើនឡើង
ជម្លោះដែលកំពុងកើនឡើងដែលពាក់ព័ន្ធនឹងសហរដ្ឋអាមេរិក អ៊ីស្រាអែល និងអ៊ីរ៉ង់បានបង្កើនហានិភ័យនៃការសងសឹកតាមអ៊ីនធឺណិត។ ដើម្បីឆ្លើយតបទៅនឹងស្ថានភាពគំរាមកំហែងដែលកំពុងកើនឡើង មជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតកាណាដា (CCCS) បានចេញការព្រមានណែនាំថា អ៊ីរ៉ង់ទំនងជាប្រើប្រាស់សមត្ថភាពតាមអ៊ីនធឺណិតរបស់ខ្លួនប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ និងធ្វើប្រតិបត្តិការឥទ្ធិពល ឬព័ត៌មានដើម្បីជំរុញផលប្រយោជន៍ជាយុទ្ធសាស្ត្រ។
ការវិវឌ្ឍទាំងនេះបង្ហាញពីតួនាទីដែលកំពុងពង្រីកខ្លួននៃលំហអ៊ីនធឺណិតជាសមរភូមិស្របគ្នាក្នុងអំឡុងពេលជម្លោះភូមិសាស្ត្រនយោបាយ ជាកន្លែងដែលចារកម្ម ការរំខាន និងការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់កាន់តែកើនឡើងអមជាមួយសកម្មភាពយោធាបែបប្រពៃណី។
