ក្រុមហ៊ុន Microsoft ព្រមានថា ពួក Hacker Seashell Blizzard របស់រុស្សី រំលោភលើគោលដៅហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ
ក្រុម hacking ដ៏គ្រោះថ្នាក់ដែលមានទំនាក់ទំនងជាមួយរុស្ស៊ីដែលគេស្គាល់ថា Seashell Blizzard បានបង្កើនការវាយប្រហាររបស់ខ្លួនលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗទូទាំងពិភពលោក ដោយបង្កើនការព្រួយបារម្ភអំពីប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតរយៈពេលវែង និងបំផ្លិចបំផ្លាញ។ យោងតាមការព្រមានថ្មីៗនេះពីក្រុមហ៊ុន Microsoft ក្រុមនេះមិនត្រឹមតែជ្រៀតចូលប្រព័ន្ធដែលមានតម្លៃខ្ពស់ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្កប់ខ្លួនយ៉ាងស៊ីជម្រៅផងដែរ ដើម្បីរក្សាការគ្រប់គ្រងរយៈពេលវែងលើបណ្តាញដែលត្រូវបានសម្របសម្រួល។
តារាងមាតិកា
Seashell Blizzard គឺជាតារាសម្តែងការគំរាមកំហែងរបស់រុស្ស៊ីដ៏ល្បីល្បាញ
Seashell Blizzard ដែលត្រូវបានតាមដានផងដែរដូចជា APT44, BlackEnergy Lite, Sandworm, Telebots, និង Voodoo Bear គឺជាការគំរាមកំហែងតាមអ៊ីនធឺណិតយ៉ាងសំខាន់ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2009។ ក្រុមនេះត្រូវបានគេជឿយ៉ាងទូលំទូលាយថាធ្វើប្រតិបត្តិការក្រោមទីភ្នាក់ងារស៊ើបការណ៍យោធារបស់រុស្ស៊ី GRU (ជាពិសេសអង្គភាព 74455)។ Seashell Blizzard មានភាពល្បីល្បាញចំពោះការវាយប្រហារបំផ្លិចបំផ្លាញរបស់ខ្លួន រួមទាំងមេរោគ NotPetya ransomware ដ៏អាក្រក់ដែលបានធ្វើឱ្យអាជីវកម្មទូទាំងពិភពលោកពិការក្នុងឆ្នាំ 2017 និង មេរោគ KillDisk ដែលបានកំណត់គោលដៅលើប្រព័ន្ធរិះគន់អ៊ុយក្រែនក្នុងឆ្នាំ 2015 ។
ប៉ុន្មានឆ្នាំមកនេះ Seashell Blizzard បានកំណត់គោលដៅលើវិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗដូចជា៖
- ថាមពល
- ការផ្គត់ផ្គង់ទឹក។
- ស្ថាប័នរដ្ឋាភិបាល
- បណ្តាញយោធា
- ទូរគមនាគមន៍
- ការដឹកជញ្ជូន
- ការផលិត
ការវាយប្រហារទាំងនេះមិនមែនចៃដន្យទេ ពួកវាតម្រឹមយ៉ាងជិតស្និទ្ធជាមួយនឹងគោលដៅយោធារបស់រុស្ស៊ី ជាពិសេសនៅអ៊ុយក្រែន ដែលសង្គ្រាមតាមអ៊ីនធឺណិតគឺជាធាតុផ្សំសំខាន់នៃយុទ្ធសាស្ត្រជម្លោះដ៏ទូលំទូលាយរបស់រុស្ស៊ី។
ក្រុមរងថ្មីផ្តោតលើការចូលប្រើប្រាស់ជាប់លាប់
របាយការណ៍ចុងក្រោយរបស់ Microsoft បង្ហាញពីការលេចឡើងនៃក្រុមរងនៅក្នុង Seashell Blizzard ដែលបានដំណើរការនៅក្រោមរ៉ាដាយ៉ាងហោចណាស់ 4 ឆ្នាំ។ ក្រុមរងនេះត្រូវបានឧទ្ទិសដល់បេសកកម្មដ៏សំខាន់មួយ៖ ការទទួលបានសិទ្ធិចូលដំណើរការដំបូងទៅកាន់ប្រព័ន្ធងាយរងគ្រោះ និងបង្កើតការតស៊ូរយៈពេលវែង។ នេះអនុញ្ញាតឱ្យពួក Hacker រក្សាការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលអស់រយៈពេលជាច្រើនខែ ឬរាប់ឆ្នាំ ដោយត្រៀមខ្លួនរួចជាស្រេចដើម្បីបើកការវាយប្រហារដែលរំខាននៅពេលណាមួយ។
ត្រូវបានគេដាក់ឈ្មោះថា យុទ្ធនាការ BadPilot កិច្ចខិតខំប្រឹងប្រែងនេះបានបន្តតាំងពីឆ្នាំ 2021 ដោយផ្តោតលើការជ្រៀតចូលគោលដៅដែលមានតម្លៃខ្ពស់ដើម្បីជួយសម្រួលដល់ការសម្របសម្រួលបណ្តាញទូលំទូលាយ។ វិធីសាស្រ្តរបស់ក្រុមរងត្រូវបានពិពណ៌នាថាជាការលួចលាក់ និងមានឱកាសខ្ពស់ ដោយពឹងផ្អែកលើភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីដែលប្រើយ៉ាងទូលំទូលាយ និងប្រព័ន្ធប្រឈមមុខនឹងអ៊ីនធឺណិត។
ការទាញយកភាពងាយរងគ្រោះដែលគេស្គាល់
អ្នកវាយប្រហារកំពុងកេងប្រវ័ញ្ចលើគុណវិបត្តិសុវត្ថិភាពល្បីនៅក្នុងប្រព័ន្ធពេញនិយម រួមមានៈ
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Zimbra Collaboration Suite (CVE-2022-41352)
- ម៉ាស៊ីនមេជជែក OpenFire (CVE-2023-32315)
- TeamCity Build Server (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- ម៉ាស៊ីនមេ JBOSS (CVE មិនបានបញ្ជាក់)
ពួក Hacker ប្រើវិធីសាស្រ្ត "បាញ់ និង អធិស្ឋាន" ដ៏ឈ្លានពាន ដោយស្កែនអ៊ីនធឺណិតសម្រាប់ប្រព័ន្ធដែលងាយរងគ្រោះ និងវាយប្រហារពួកគេយ៉ាងទូលំទូលាយ។ នៅពេលដែលនៅខាងក្នុង ពួកគេបានបង្កប់ខ្លួនដោយប្រើប្រាស់ឧបករណ៍ដូចជា web shells និងកម្មវិធី Remote Monitoring and Management (RMM) ដែលធានានូវការគ្រប់គ្រងរយៈពេលវែងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
បច្ចេកទេសរោទិ៍ដែលប្រើដើម្បីរក្សាការគ្រប់គ្រង
នៅពេលដែលប្រព័ន្ធមួយត្រូវបានសម្របសម្រួល ក្រុមរងនឹងដាក់ពង្រាយបច្ចេកទេសបន្តបន្ទាប់គ្នាជាច្រើន៖
- ការដាក់ពង្រាយ Web Shell៖ ផ្តល់នូវការចូលប្រើ backdoor សម្រាប់ការបញ្ជាពីចម្ងាយ។
- ឧបករណ៍ RMM៖ អនុញ្ញាតឱ្យមានការចូលប្រើប្រាស់ដោយសម្ងាត់ និងការដាក់ពង្រាយមេរោគបន្ថែមទៀត។
ក្នុងករណីជាច្រើន ការចូលប្រើប្រាស់ជាបន្តបន្ទាប់នេះបាននាំមុខការវាយប្រហារបំផ្លិចបំផ្លាញ ដែលបង្ហាញថាពួក Hacker រក្សាបាននូវសមត្ថភាពគោលបំណងពីរ - ចារកម្ម និងការបំផ្លិចបំផ្លាញ - អាស្រ័យលើតម្រូវការយោធា និងភូមិសាស្ត្រនយោបាយរបស់រុស្ស៊ី។
ការពង្រីកជាសកល៖ សហរដ្ឋអាមេរិក និងចក្រភពអង់គ្លេស ឥឡូវនេះនៅក្នុង Crosshairs
ខណៈពេលដែលអ៊ុយក្រែនគឺជាចំណុចសំខាន់នៃប្រតិបត្តិការអ៊ីនធឺណិតរបស់ Seashell Blizzard របាយការណ៍របស់ Microsoft បង្ហាញថាក្រុមរងនេះបានពង្រីកការឈានទៅដល់របស់ខ្លួននៅឆ្នាំ 2023 ដោយផ្តោតលើអង្គការនានានៅសហរដ្ឋអាមេរិក និងចក្រភពអង់គ្លេស។ ការពង្រីកនេះបង្ហាញពីការផ្លាស់ប្តូរដ៏គ្រោះថ្នាក់ ដោយបង្ហាញថាសៀវភៅលេងសង្គ្រាមតាមអ៊ីនធឺណិតរបស់រុស្ស៊ីកំពុងពង្រីកវិសាលភាពរបស់ខ្លួនដើម្បីរួមបញ្ចូលប្រទេសលោកខាងលិច។
ការគំរាមកំហែងដែលបន្តកើតមាន និងកើនឡើង
ក្រុមហ៊ុន Microsoft ព្រមានថាក្រុមរងនេះមិនថយចុះទេ។ តាមពិតទៅ វាទំនងជានឹងបន្តការវិវត្តន៍ និងប្រើប្រាស់បច្ចេកទេសប្រកបដោយភាពច្នៃប្រឌិត ដើម្បីជ្រៀតចូលបណ្តាញនានាជុំវិញពិភពលោក។ ជាមួយនឹងសង្គ្រាមដែលកំពុងបន្តរបស់រុស្ស៊ីនៅអ៊ុយក្រែន និងការកើនឡើងនៃភាពតានតឹងភូមិសាស្ត្រនយោបាយ ការវាយប្រហារតាមអ៊ីនធឺណិតប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗអាចកើនឡើងជាលទ្ធផលបំផ្លិចបំផ្លាញពិភពលោកពិតប្រាកដ។
ការការពារអង្គការរបស់អ្នកប្រឆាំងនឹង Seashell Blizzard
អង្គការក្នុងវិស័យសំខាន់ៗត្រូវតែចាត់វិធានការជាបន្ទាន់ដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងជាប់លាប់នេះ៖
- Patch Known Vulnerabilities៖ ធានាថាប្រព័ន្ធដំណើរការ ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire និងកម្មវិធីគោលដៅផ្សេងទៀតត្រូវបានធ្វើបច្ចុប្បន្នភាពយ៉ាងពេញលេញ។
- ពង្រឹងសុវត្ថិភាពបណ្តាញ៖ ដាក់ពង្រាយការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) រឹតបន្តឹងការចូលប្រើប្រព័ន្ធរសើប និងតាមដានសកម្មភាពមិនធម្មតា។
- Monitor for Persistence៖ ធ្វើសវនកម្មសុវត្ថិភាពជាប្រចាំ ដើម្បីរកមើលសំបកគេហទំព័រដែលគ្មានការអនុញ្ញាត ឧបករណ៍ RMM ឬការកែប្រែទំព័រចូល និងការកំណត់ DNS។
- ការត្រៀមខ្លួនសម្រាប់ការឆ្លើយតបឧប្បត្តិហេតុ៖ រៀបចំសម្រាប់ការវាយប្រហារដែលអាចរំខានដោយការបង្កើតផែនការឆ្លើយតបដ៏ទូលំទូលាយ និងធានាថាការបម្រុងទុកមានសុវត្ថិភាព និងត្រូវបានសាកល្បងជាទៀងទាត់។
ការព្រមានចុងក្រោយ
Seashell Blizzard និងក្រុមរងនៃការចូលប្រើដំបូងរបស់វាតំណាងឱ្យគ្រោះថ្នាក់ច្បាស់លាស់ និងបច្ចុប្បន្នចំពោះហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗទូទាំងពិភពលោក។ ការស្វែងរកដោយឥតឈប់ឈររបស់ពួកគេក្នុងការចូលប្រើប្រាស់ជាប់លាប់អាចដើរតួជាបុព្វហេតុនៃការបំផ្លិចបំផ្លាញតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំ ដែលមានសមត្ថភាពបង្អាក់បណ្តាញថាមពល ការផ្គត់ផ្គង់ទឹក ប្រព័ន្ធដឹកជញ្ជូន និងប្រតិបត្តិការរបស់រដ្ឋាភិបាល។ ការរកឃើញចុងក្រោយបំផុតរបស់ក្រុមហ៊ុន Microsoft គឺជាការរំលឹកដ៏ស្រឡះមួយ៖ ការវាយប្រហារតាមអ៊ីនធឺណិតដ៏សំខាន់បន្ទាប់អាចកំពុងលាក់ខ្លួននៅក្នុងប្រព័ន្ធសំខាន់ៗរួចហើយ ដោយរង់ចាំសញ្ញាវាយប្រហារ។