การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่โครงข่ายไฟฟ้าของโปแลนด์ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ Sandworm ซึ่งได้รับการสนับสนุนจากรัฐบาลรัสเซีย กลุ่มนี้พยายามติดตั้งมัลแวร์ทำลายข้อมูล (data-wiping malware) ชนิดใหม่ที่ชื่อว่า DynoWiper ในระหว่างการโจมตี แม้ว่าการโจมตีจะล้มเหลว แต่แสดงให้เห็นถึงความพยายามของกลุ่มในการก่อกวนโครงสร้างพื้นฐานที่สำคัญ
Severity: วิกฤต
System Impact:
- โครงข่ายไฟฟ้าของโปแลนด์
- โรงไฟฟ้าพลังงานความร้อนร่วมและไฟฟ้าสองแห่ง
- ระบบการจัดการที่ใช้ในการควบคุมการผลิตไฟฟ้าจากแหล่งพลังงานหมุนเวียน เช่น กังหันลมและฟาร์มโซลาร์เซลล์
Technical Attack Steps:
- กลุ่มแฮกเกอร์ Sandworm พยายามติดตั้งมัลแวร์ทำลายข้อมูล DynoWiper เข้าสู่ระบบเป้าหมาย
- เมื่อมัลแวร์ wiper ถูกรัน มันจะทำการวนลูปผ่านระบบไฟล์และลบไฟล์ต่างๆ ทำให้ระบบปฏิบัติการใช้งานไม่ได้
- ภายหลังการโจมตี ระบบที่ได้รับผลกระทบจะต้องถูกสร้างใหม่จากข้อมูลสำรองหรือติดตั้งระบบใหม่
Recommendations:
Short Term:
- ตรวจสอบบันทึก (logs) และกิจกรรมเครือข่ายเพื่อหาตัวบ่งชี้การบุกรุก (IoCs) ที่เกี่ยวข้องกับ Sandworm และ DynoWiper (เช่น SHA-1 hash: 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6)
- แยกส่วนระบบที่ได้รับผลกระทบหรืออาจถูกบุกรุกออกจากเครือข่ายทันที
- ทำการสืบค้นภัยคุกคาม (threat hunting) อย่างเร่งด่วนเพื่อหา TTPs (Tactics, Techniques, and Procedures) ของ Sandworm
- ตรวจสอบให้แน่ใจว่าระบบรักษาความปลอดภัยทั้งหมด (EDR, AV, IPS) ได้รับการอัปเดตด้วยข้อมูลภัยคุกคามล่าสุด
Long Term:
- นำแผนสำรองข้อมูลและการกู้คืนระบบจากภัยพิบัติ (Disaster Recovery Plan) ที่แข็งแกร่งมาใช้ รวมถึงการสำรองข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้ (immutable backups) ที่จัดเก็บแบบออฟไลน์
- เสริมสร้างการแบ่งส่วนเครือข่าย (network segmentation) โดยเฉพาะสำหรับเทคโนโลยีการปฏิบัติงาน (OT) และโครงสร้างพื้นฐานที่สำคัญ
- ทบทวนและปรับปรุงแผนรับมือเหตุการณ์ (Incident Response Plan) โดยเฉพาะสำหรับการโจมตีด้วยมัลแวร์ wiper ที่ทำลายข้อมูล
- ติดตามข้อมูลภัยคุกคามล่าสุดจากกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล เช่น Sandworm อย่างต่อเนื่อง (เช่น รายงานของ Microsoft ในเดือนกุมภาพันธ์ 2025 เกี่ยวกับ Sandworm)
- ดำเนินการตรวจสอบความปลอดภัย การทดสอบการเจาะระบบ (penetration testing) และการจำลองสถานการณ์ (tabletop exercises) อย่างสม่ำเสมอเพื่อทดสอบการป้องกัน
- ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) และการควบคุมการเข้าถึงที่เข้มงวดในทุกระบบ
Share this content: