แอมะซอนเผยปฏิบัติการไซเบอร์ GRU รัสเซีย! เล็งเป้าโครงสร้างพื้นฐานพลังงานและคลาวด์ต่อเนื่องหลายปี

ทีมข่าวกรองภัยคุกคามของ Amazon ได้ออกมาเปิดเผยรายละเอียดของปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งกินระยะเวลายาวนาน "หลายปี" โดยมีเป้าหมายโจมตีโครงสร้างพื้นฐานที่สำคัญของชาติตะวันตกในช่วงระหว่างปี 2021 ถึง 2025

ใครคือเป้าหมาย? และใครคือผู้ลงมือ?

เป้าหมายสำคัญของปฏิบัติการนี้ครอบคลุมองค์กรใน ภาคพลังงาน ทั่วประเทศตะวันตก, ผู้ให้บริการ โครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ในอเมริกาเหนือและยุโรป, และองค์กรที่มีโครงสร้างเครือข่ายที่โฮสต์อยู่บน คลาวด์

Amazon ได้ยืนยันด้วยความมั่นใจสูงว่ากิจกรรมนี้มาจากหน่วย Main Intelligence Directorate (GRU) ของรัสเซีย ซึ่งเป็นที่รู้จักกันในชื่อกลุ่มแฮกเกอร์ APT44 หรือชื่ออื่น ๆ เช่น FROZENBARENTS, Sandworm, Seashell Blizzard, และ Voodoo Bear โดยพบความซ้ำซ้อนของโครงสร้างพื้นฐานที่ใช้ในการโจมตี

การเปลี่ยนกลยุทธ์ของแฮกเกอร์: จาก Zero-Day สู่การตั้งค่าที่ผิดพลาด

สิ่งที่น่าสนใจและน่าเป็นกังวลที่สุดคือการปรับเปลี่ยนกลยุทธ์การโจมตี จากที่เคยพึ่งพาช่องโหว่ N-day และ Zero-day (ช่องโหว่ที่ไม่เคยมีใครรู้หรือมีแพตช์มาก่อน) กลับลดน้อยลงในช่วงเวลาดังกล่าว

CJ Moses, ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (CISO) ของ Amazon Integrated Security กล่าวว่า ปฏิบัติการเหล่านี้เริ่มหันมาใช้ อุปกรณ์เครือข่ายขอบของลูกค้า (Customer Network Edge Devices) ที่มีการตั้งค่าผิดพลาดและเปิดเผยส่วนต่อประสานการจัดการ (Management Interfaces) สู่ภายนอกเป็นช่องทางแรกในการเข้าถึง

"การปรับกลยุทธ์นี้ช่วยให้บรรลุผลลัพธ์ในการปฏิบัติการแบบเดียวกัน ทั้งการขโมยข้อมูลรับรอง (Credential Harvesting) และการเคลื่อนที่ภายในองค์กรเหยื่อ (Lateral Movement) แต่ในขณะเดียวกันก็ช่วยลดการเปิดเผยตัวตนและการใช้ทรัพยากรของแฮกเกอร์ลง"

ลำดับเหตุการณ์การโจมตีตลอด 5 ปี

การโจมตีมีการยกระดับและเปลี่ยนช่องโหว่ที่ใช้ตามช่วงเวลาดังนี้:

• 2021-2022: การใช้ช่องโหว่ของ WatchGuard Firebox และ XTM ($CVE-2022-26318$) และการพุ่งเป้าไปที่อุปกรณ์เครือข่ายขอบที่ตั้งค่าผิดพลาด
• 2022-2023: การใช้ช่องโหว่ของ Atlassian Confluence ($CVE-2021-26084$ และ $CVE-2023-22518$) และยังคงพุ่งเป้าไปที่อุปกรณ์เครือข่ายขอบที่ตั้งค่าผิดพลาด
• 2024: การใช้ช่องโหว่ของ Veeam ($CVE-2023-27532$) และยังคงพุ่งเป้าไปที่อุปกรณ์เครือข่ายขอบที่ตั้งค่าผิดพลาด
• 2025: การพุ่งเป้าไปที่อุปกรณ์เครือข่ายขอบที่ตั้งค่าผิดพลาดอย่างต่อเนื่อง

รูปแบบการโจมตีเพื่อขโมยข้อมูลรับรอง

ปฏิบัติการของ GRU มีเป้าหมายหลักในการ เก็บเกี่ยวข้อมูลรับรอง (Credentials) ในระดับใหญ่ เนื่องจากสามารถวางตำแหน่งตัวเองในจุดยุทธศาสตร์ของเครือข่ายเพื่อ ดักจับข้อมูลสำคัญที่กำลังส่งผ่าน (Intercept Sensitive Information in Transit)

วงจรการโจมตีทั้งหมดเป็นไปตามนี้:

1. เจาะเข้าถึงอุปกรณ์เครือข่ายขอบของลูกค้าที่โฮสต์บน AWS
2. ใช้ความสามารถในการดักจับแพ็กเก็ต (Native Packet Capture) ของอุปกรณ์นั้น
3. รวบรวมข้อมูลรับรองจากทราฟฟิกที่ถูกดักจับ
4. นำข้อมูลรับรองที่ขโมยมา ใช้ซ้ำ (Credential Replay) กับบริการออนไลน์และโครงสร้างพื้นฐานขององค์กรเหยื่อ
5. สร้างการเข้าถึงที่ยั่งยืนเพื่อเคลื่อนที่ภายในระบบ

การใช้ข้อมูลรับรองซ้ำนี้มุ่งเป้าไปที่ผู้ให้บริการ พลังงาน เทคโนโลยี/คลาวด์ และโทรคมนาคม ทั่วอเมริกาเหนือ ยุโรปตะวันตกและตะวันออก รวมถึงตะวันออกกลาง โดยเฉพาะอย่างยิ่ง ห่วงโซ่อุปทานของภาคพลังงาน

ความเชื่อมโยงที่น่าสงสัย

Amazon ยังพบว่าการโจมตีชุดนี้มี โครงสร้างพื้นฐานบางส่วนซ้ำซ้อน กับกลุ่มแฮกเกอร์อีกกลุ่มที่ชื่อว่า Curly COMrades ซึ่งเชื่อว่ามีความเกี่ยวข้องกับผลประโยชน์ของรัสเซียตั้งแต่ปลายปี 2023

การค้นพบนี้ทำให้เกิดสมมติฐานที่ว่า ทั้งสองกลุ่มอาจเป็น ปฏิบัติการเสริมกัน (Complementary Operations) ภายใต้แคมเปญใหญ่ที่ดำเนินการโดย GRU โดยกลุ่มหนึ่งอาจเน้นการเข้าถึงเครือข่ายและเจาะระบบเริ่มต้น ส่วนอีกกลุ่มจัดการเรื่องการคงอยู่และการหลบเลี่ยงในโฮสต์ ซึ่งสอดคล้องกับรูปแบบการปฏิบัติงานของ GRU ที่มีการแบ่งย่อยเฉพาะทาง

คำแนะนำจาก Amazon

Amazon ได้แจ้งเตือนลูกค้าที่ได้รับผลกระทบและขัดขวางปฏิบัติการที่กำลังดำเนินอยู่แล้ว พร้อมแนะนำให้องค์กรต่าง ๆ ดำเนินการดังนี้:

• ตรวจสอบอุปกรณ์เครือข่ายขอบทั้งหมดเพื่อค้นหาโปรแกรมดักจับแพ็กเก็ตที่ไม่คาดคิด
• นำ การตรวจสอบสิทธิ์ที่เข้มแข็ง (Strong Authentication) มาใช้งาน
• เฝ้าสังเกตความพยายามในการตรวจสอบสิทธิ์จากตำแหน่งทางภูมิศาสตร์ที่ไม่คาดคิด
• ติดตามการโจมตีแบบใช้ข้อมูลรับรองซ้ำ

นี่เป็นบทเรียนสำคัญว่า การตั้งค่าความปลอดภัยที่ผิดพลาด (Misconfiguration) กลายเป็นจุดอ่อนที่แฮกเกอร์ระดับรัฐบาลใช้โจมตีโครงสร้างสำคัญอย่างต่อเนื่อง!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก