ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ Microsoft เตือนแฮกเกอร์รัสเซียใช้ Seashell Blizzard...

Microsoft เตือนแฮกเกอร์รัสเซียใช้ Seashell Blizzard เจาะระบบโครงสร้างพื้นฐานสำคัญ

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

กลุ่มแฮกเกอร์อันตรายที่เชื่อมโยงกับรัสเซียที่รู้จักกันในชื่อ Seashell Blizzard ได้เพิ่มการโจมตีโครงสร้างพื้นฐานที่สำคัญทั่วโลก ทำให้เกิดความกังวลเกี่ยวกับการจารกรรมทางไซเบอร์ในระยะยาวและการดำเนินการทำลายล้าง ตามคำเตือนล่าสุดจาก Microsoft กลุ่มนี้ไม่เพียงแต่แทรกซึมระบบที่มีมูลค่าสูงเท่านั้น แต่ยังฝังตัวลึกลงไปเพื่อรักษาการควบคุมระยะยาวเหนือเครือข่ายที่ถูกบุกรุกอีกด้วย

Seashell Blizzard คือผู้ก่ออาชญากรรมชาวรัสเซียที่ฉาวโฉ่

Seashell Blizzard หรือที่ติดตามในชื่อ APT44, BlackEnergy Lite, Sandworm, Telebots และ Voodoo Bear เป็นภัยคุกคามทางไซเบอร์ที่สำคัญมาตั้งแต่ปี 2009 เป็นอย่างน้อย เชื่อกันอย่างกว้างขวางว่ากลุ่มนี้ปฏิบัติการภายใต้หน่วยข่าวกรองทางทหารของรัสเซีย GRU (โดยเฉพาะหน่วย 74455) Seashell Blizzard มีชื่อเสียงในด้านการโจมตีทำลายล้าง รวมถึงแรนซัมแวร์ NotPetya ที่น่าอับอายซึ่งทำให้ธุรกิจทั่วโลกต้องหยุดชะงักในปี 2017 และ มัลแวร์ KillDisk ที่โจมตีระบบสำคัญของยูเครนในปี 2015

ในช่วงหลายปีที่ผ่านมา Seashell Blizzard ได้มุ่งเป้าไปที่ภาคส่วนโครงสร้างพื้นฐานที่สำคัญ เช่น:

  • พลังงาน
  • แหล่งจ่ายน้ำ
  • สถาบันของรัฐบาล
  • เครือข่ายทางการทหาร
  • โทรคมนาคม
  • การขนส่ง
  • การผลิต

การโจมตีเหล่านี้ไม่ใช่การโจมตีแบบสุ่ม แต่มีความสอดคล้องกับเป้าหมายทางทหารของรัสเซีย โดยเฉพาะในยูเครน ซึ่งสงครามไซเบอร์เป็นส่วนประกอบสำคัญของกลยุทธ์การขัดแย้งในวงกว้างของรัสเซีย

กลุ่มย่อยใหม่ที่เน้นการเข้าถึงอย่างต่อเนื่อง

รายงานล่าสุดของ Microsoft เน้นย้ำถึงการเกิดขึ้นของกลุ่มย่อยภายใน Seashell Blizzard ที่ปฏิบัติการอย่างลับๆ มาอย่างน้อย 4 ปี กลุ่มย่อยนี้อุทิศตนเพื่อภารกิจสำคัญอย่างหนึ่ง นั่นคือ การเข้าถึงระบบที่มีช่องโหว่ในเบื้องต้นและสร้างความคงอยู่ในระยะยาว ซึ่งจะทำให้แฮกเกอร์สามารถควบคุมระบบที่ถูกบุกรุกได้เป็นเวลาหลายเดือนหรือหลายปี และพร้อมที่จะเปิดฉากโจมตีได้ทุกเมื่อ

ความพยายามนี้ซึ่งเรียกว่า แคมเปญ BadPilot ได้ดำเนินมาตั้งแต่ปี 2021 โดยมุ่งเน้นที่การแทรกซึมเป้าหมายที่มีมูลค่าสูงเพื่ออำนวยความสะดวกในการโจมตีเครือข่ายในวงกว้าง วิธีการของกลุ่มย่อยนี้มีลักษณะแอบซ่อนและฉวยโอกาสอย่างมาก โดยอาศัยช่องโหว่ในซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายและระบบที่เชื่อมต่อกับอินเทอร์เน็ต

การใช้ประโยชน์จากช่องโหว่ที่ทราบ

ผู้โจมตีกำลังใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยที่ทราบกันดีในระบบยอดนิยม รวมถึง:

  • หน้าจอ ConnectWise เชื่อมต่อ (CVE-2024-1709)
  • ฟอร์ติเน็ต FortiClient EMS (CVE-2023-48788)
  • ไมโครซอฟท์ เอ็กซ์เชนจ์ (CVE-2021-34473)
  • ชุดการทำงานร่วมกันของ Zimbra (CVE-2022-41352)
  • เซิร์ฟเวอร์แชท OpenFire (CVE-2023-32315)
  • เซิร์ฟเวอร์สร้าง TeamCity (CVE-2023-42793)
  • ไมโครซอฟท์ เอาท์ลุค (CVE-2023-23397)
  • เซิร์ฟเวอร์ JBOSS (ไม่ระบุ CVE)

แฮกเกอร์ใช้แนวทางการโจมตีแบบ “spray-and-pray” ที่รุนแรง โดยสแกนอินเทอร์เน็ตเพื่อค้นหาระบบที่มีช่องโหว่และโจมตีระบบเหล่านั้นเป็นกลุ่ม เมื่อเข้าไปแล้ว แฮกเกอร์จะฝังตัวเองโดยใช้เครื่องมือต่างๆ เช่น เว็บเชลล์และซอฟต์แวร์ Remote Monitoring and Management (RMM) เพื่อให้แน่ใจว่าสามารถควบคุมระบบที่ถูกบุกรุกได้ในระยะยาว

เทคนิคการแจ้งเตือนที่ใช้เพื่อรักษาการควบคุม

เมื่อระบบถูกบุกรุก กลุ่มย่อยจะใช้เทคนิคการคงอยู่หลายวิธี:

  • การปรับใช้เว็บเชลล์: การจัดเตรียมการเข้าถึงแบ็คดอร์สำหรับการควบคุมระยะไกล
  • เครื่องมือ RMM: อนุญาตการเข้าถึงอย่างรอบคอบและการแพร่กระจายมัลแวร์เพิ่มเติม
  • การรวบรวมข้อมูลประจำตัว: การแก้ไขหน้าเข้าสู่ระบบ OWA และการตั้งค่า DNS เพื่อขโมยข้อมูลประจำตัวผู้ใช้
  • การแทรก JavaScript: การเพิ่มโค้ดที่เป็นอันตรายลงในพอร์ทัลการเข้าสู่ระบบเพื่อรวบรวมชื่อผู้ใช้และรหัสผ่าน

    • ในหลายกรณี การเข้าถึงอย่างต่อเนื่องนี้เกิดขึ้นก่อนการโจมตีเชิงทำลายล้าง ซึ่งบ่งชี้ว่าแฮกเกอร์รักษาความสามารถสองวัตถุประสงค์ไว้ นั่นคือ การจารกรรมและการก่อวินาศกรรม ขึ้นอยู่กับความต้องการทางทหารและภูมิรัฐศาสตร์ของรัสเซีย

    การขยายตัวทั่วโลก: สหรัฐอเมริกาและสหราชอาณาจักรอยู่ในจุดสนใจแล้ว

    แม้ว่ายูเครนจะเป็นเป้าหมายหลักของปฏิบัติการทางไซเบอร์ของ Seashell Blizzard แต่รายงานของ Microsoft เผยว่ากลุ่มย่อยนี้ขยายขอบเขตในปี 2023 โดยกำหนดเป้าหมายองค์กรในสหรัฐอเมริกาและสหราชอาณาจักร การขยายตัวดังกล่าวเป็นสัญญาณของการเปลี่ยนแปลงที่อันตราย ซึ่งบ่งชี้ว่าแผนการสงครามไซเบอร์ของรัสเซียกำลังขยายขอบเขตเพื่อรวมเอาชาติตะวันตกเข้ามาด้วย

    ภัยคุกคามที่คงอยู่และทวีความรุนแรงมากขึ้น

    Microsoft เตือนว่ากลุ่มย่อยนี้ไม่ได้ชะลอตัวลงเลย ในความเป็นจริงแล้ว มีแนวโน้มว่ากลุ่มย่อยนี้จะยังคงพัฒนาต่อไปและใช้เทคนิคใหม่ๆ เพื่อแทรกซึมเครือข่ายทั่วโลก ด้วยสงครามที่รัสเซียยังคงดำเนินต่อไปในยูเครนและความตึงเครียดทางภูมิรัฐศาสตร์ที่เพิ่มมากขึ้น การโจมตีทางไซเบอร์ต่อโครงสร้างพื้นฐานที่สำคัญอาจทวีความรุนแรงขึ้นจนกลายเป็นผลที่ตามมาในโลกแห่งความเป็นจริงที่เลวร้าย

    ปกป้ององค์กรของคุณจาก Seashell Blizzard

    องค์กรในภาคส่วนที่สำคัญต้องดำเนินการทันทีเพื่อป้องกันภัยคุกคามต่อเนื่องนี้:

    • แก้ไขช่องโหว่ที่ทราบ: ตรวจสอบให้แน่ใจว่าระบบที่ใช้ ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire และซอฟต์แวร์เป้าหมายอื่น ๆ ได้รับการอัปเดตอย่างสมบูรณ์
    • เสริมสร้างความปลอดภัยเครือข่าย: ปรับใช้การตรวจสอบปัจจัยหลายประการ (MFA) จำกัดการเข้าถึงระบบที่มีความละเอียดอ่อน และตรวจสอบกิจกรรมที่ผิดปกติ
    • ตรวจสอบความคงอยู่: ดำเนินการตรวจสอบความปลอดภัยเป็นประจำเพื่อตรวจจับเว็บเชลล์ที่ไม่ได้รับอนุญาต เครื่องมือ RMM หรือการปรับเปลี่ยนหน้าเข้าสู่ระบบและการกำหนดค่า DNS
    • ความพร้อมในการตอบสนองต่อเหตุการณ์: เตรียมพร้อมรับมือกับการโจมตีที่อาจก่อกวนโดยการพัฒนาแผนการตอบสนองที่ครอบคลุม และให้แน่ใจว่าการสำรองข้อมูลนั้นปลอดภัยและได้รับการทดสอบเป็นประจำ

    คำเตือนครั้งสุดท้าย

    Seashell Blizzard และกลุ่มย่อยการเข้าถึงเริ่มต้นนั้นถือเป็นอันตรายที่ชัดเจนและมีอยู่จริงต่อโครงสร้างพื้นฐานที่สำคัญทั่วโลก การแสวงหาการเข้าถึงอย่างต่อเนื่องอย่างไม่ลดละของพวกเขาอาจนำไปสู่การก่อวินาศกรรมทางไซเบอร์ครั้งใหญ่ ซึ่งอาจส่งผลกระทบต่อโครงข่ายพลังงาน แหล่งน้ำ ระบบขนส่ง และการดำเนินการของรัฐบาล ผลการค้นพบล่าสุดของ Microsoft ถือเป็นเครื่องเตือนใจที่ชัดเจน: การโจมตีทางไซเบอร์ครั้งใหญ่ครั้งต่อไปอาจแฝงตัวอยู่ภายในระบบที่สำคัญแล้ว และรอสัญญาณที่จะโจมตี


    กำลังโหลด...