Dragos บริษัทด้านความปลอดภัยทางไซเบอร์สำหรับเทคโนโลยีปฏิบัติการ (OT) ระบุว่ากลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียชื่อ ELECTRUM เป็นผู้โจมตีระบบโครงข่ายไฟฟ้าของโปแลนด์ในเดือนธันวาคม 2025 การโจมตีครั้งนี้ถือเป็นการโจมตีทางไซเบอร์ครั้งใหญ่ครั้งแรกที่มุ่งเป้าไปที่แหล่งผลิตพลังงานแบบกระจายศูนย์ (DERs) โดยส่งผลกระทบต่อระบบสื่อสารและการควบคุมที่โรงงานผลิตความร้อนและไฟฟ้าแบบรวมศูนย์ (CHP) และระบบจัดการพลังงานหมุนเวียนจากลมและแสงอาทิตย์ประมาณ 30 แห่ง แม้ว่าจะไม่ทำให้เกิดไฟฟ้าดับ แต่ผู้โจมตีสามารถเข้าถึงและทำให้ระบบ OT ที่สำคัญต่อการดำเนินงานของกริดเสียหายจนไม่สามารถซ่อมแซมได้.
Severity: สูง
System Impact:
- โครงข่ายไฟฟ้าของโปแลนด์
- แหล่งผลิตพลังงานแบบกระจายศูนย์ (Distributed Energy Resources – DERs) ประมาณ 30 ไซต์
- ระบบเทคโนโลยีปฏิบัติการ (Operational Technology – OT) และระบบควบคุมอุตสาหกรรม (Industrial Control Systems – ICS)
- โรงงานผลิตความร้อนและไฟฟ้าแบบรวมศูนย์ (Combined Heat and Power – CHP)
- ระบบบริหารจัดการการจ่ายพลังงานหมุนเวียนจากลมและแสงอาทิตย์
- ระบบสื่อสารและควบคุม
- หน่วยเทอร์มินัลระยะไกล (Remote Terminal Units – RTUs)
- โครงสร้างพื้นฐานการสื่อสาร
- อุปกรณ์ที่ใช้ Windows
Technical Attack Steps:
- **การเข้าถึงเริ่มต้น (KAMACITE)**: กลุ่ม KAMACITE มีหน้าที่สร้างและรักษาการเข้าถึงเริ่มต้นในองค์กรเป้าหมาย โดยใช้ spear-phishing, ข้อมูลประจำตัวที่ถูกขโมย และการใช้ช่องโหว่ของบริการที่เปิดเผยต่อสาธารณะ
- **การสำรวจและการคงอยู่ (KAMACITE)**: ดำเนินการสำรวจและสร้างความคงทนในสภาพแวดล้อม OT ของเป้าหมายเป็นเวลานาน โดยรวมถึงกิจกรรมการสแกนอุปกรณ์อุตสาหกรรมในสหรัฐอเมริกา
- **การดำเนินการใน OT (ELECTRUM)**: หลังจาก KAMACITE เข้าถึงได้แล้ว ELECTRUM จะเข้ามาดำเนินการที่เชื่อมโยงสภาพแวดล้อม IT และ OT และปรับใช้เครื่องมือในเครือข่ายปฏิบัติการ
- **การโจมตี ICS โดยเฉพาะ (ELECTRUM)**: ดำเนินการเฉพาะทางสำหรับระบบควบคุมอุตสาหกรรม (ICS) ซึ่งรวมถึงการโต้ตอบด้วยตนเองกับอินเทอร์เฟซผู้ปฏิบัติงานและการปรับใช้มัลแวร์ ICS ที่สร้างขึ้นโดยเฉพาะ เพื่อควบคุมหรือหยุดชะงักกระบวนการทางกายภาพ
- **การบุกรุกและทำลาย (ELECTRUM)**: บุกรุก Remote Terminal Units (RTUs) และโครงสร้างพื้นฐานการสื่อสารที่ไซต์ที่ได้รับผลกระทบ โดยใช้ช่องโหว่อุปกรณ์เครือข่ายที่เปิดเผยและการใช้ช่องโหว่เป็นเวกเตอร์การเข้าถึงเริ่มต้น
- **การก่อกวนและขัดขวางการกู้คืน (ELECTRUM)**: ทำให้การปฏิบัติงานในไซต์การผลิตแบบกระจายศูนย์ประมาณ 30 แห่งหยุดชะงัก มีการล้างข้อมูลอุปกรณ์ที่ใช้ Windows เพื่อขัดขวางการกู้คืน ตั้งค่าคอนฟิกใหม่ หรือพยายามทำให้เครื่องไม่สามารถใช้งานได้ถาวร
Recommendations:
Short Term:
- **ตรวจสอบและแพตช์ช่องโหว่เร่งด่วน**: ตรวจสอบอุปกรณ์เครือข่ายที่เปิดเผยต่อสาธารณะและระบบ OT/ICS เพื่อหาช่องโหว่ที่ถูกใช้ในการโจมตีและทำการแพตช์ทันที
- **เพิ่มการป้องกันการเข้าถึงเริ่มต้น**: เสริมสร้างมาตรการป้องกัน Spear-phishing และการจัดการข้อมูลประจำตัวที่เข้มงวดเพื่อป้องกันการเข้าถึงจากภายนอก
- **การเฝ้าระวังและการตอบสนองอย่างรวดเร็ว**: ปรับปรุงความสามารถในการตรวจจับและตอบสนองภัยคุกคามในสภาพแวดล้อม IT และ OT โดยเฉพาะสัญญาณของการเข้าถึงเริ่มต้นและการบุกรุก
Long Term:
- **กลยุทธ์การป้องกันเชิงลึกสำหรับ OT/ICS**: พัฒนาและใช้กลยุทธ์ความปลอดภัยแบบหลายชั้นสำหรับระบบ OT/ICS เพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญ
- **การแบ่งส่วนเครือข่าย (Network Segmentation)**: แบ่งแยกเครือข่าย IT และ OT อย่างชัดเจน เพื่อจำกัดการแพร่กระจายของภัยคุกคามหากมีการบุกรุกในส่วนใดส่วนหนึ่ง
- **การตรวจสอบ OT โดยเฉพาะ**: ลงทุนในโซลูชันการตรวจสอบความปลอดภัย OT ที่สามารถตรวจจับกิจกรรมที่ผิดปกติและการเปลี่ยนแปลงในระบบควบคุมอุตสาหกรรม
- **การใช้ข่าวกรองภัยคุกคาม**: ติดตามข่าวกรองภัยคุกคามที่เกี่ยวข้องกับกลุ่ม ELECTRUM และ KAMACITE อย่างต่อเนื่อง เพื่อทำความเข้าใจกลยุทธ์ เทคนิค และขั้นตอนการปฏิบัติงาน (TTPs) ของผู้โจมตี
- **แผนการกู้คืนระบบ**: จัดทำและทดสอบแผนการกู้คืนความเสียหายอย่างสม่ำเสมอ โดยพิจารณาถึงสถานการณ์ที่อุปกรณ์ OT อาจถูกทำลายหรือเสียหายถาวร
- **การประเมินความเสี่ยง OT อย่างสม่ำเสมอ**: ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยของ OT เป็นประจำเพื่อระบุจุดอ่อนและช่องโหว่ที่อาจเกิดขึ้น
Source: https://thehackernews.com/2026/01/russian-electrum-tied-to-december-2025.html
Share this content: