CERT Polska ได้เปิดเผยรายละเอียดเกี่ยวกับการโจมตีทางไซเบอร์ที่ประสานงานกัน ซึ่งพุ่งเป้าไปที่ฟาร์มกังหันลมและโซลาร์เซลล์มากกว่า 30 แห่ง บริษัทภาคการผลิตเอกชน และโรงไฟฟ้าพลังความร้อนร่วม (CHP) ขนาดใหญ่ในโปแลนด์ เมื่อวันที่ 29 ธันวาคม 2025 CERT Polska ระบุว่ากลุ่มภัยคุกคาม ‘Static Tundra’ ซึ่งเชื่อมโยงกับหน่วยงาน FSB ของรัสเซีย เป็นผู้ดำเนินการโจมตีนี้ แม้ว่ารายงานอื่น ๆ จาก ESET และ Dragos จะเชื่อมโยงกิจกรรมนี้กับกลุ่ม Sandworm ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียอีกกลุ่มหนึ่ง การโจมตีมีวัตถุประสงค์เพื่อทำลายระบบ แต่ไม่ส่งผลกระทบต่อการผลิตไฟฟ้าหรือการจ่ายความร้อน การโจมตีเกี่ยวข้องกับการสำรวจเครือข่าย การทำลายเฟิร์มแวร์ของคอนโทรลเลอร์ การลบไฟล์ระบบ และการใช้มัลแวร์ประเภท wiper ที่เรียกว่า DynoWiper และ LazyWiper โดยการเข้าถึงเริ่มต้นมักจะผ่านอุปกรณ์ Fortinet ที่มีช่องโหว่ นอกจากนี้ ผู้โจมตียังได้ขโมยข้อมูลที่เกี่ยวข้องกับเครือข่าย OT และระบบ SCADA ด้วย
Severity: สูง
System Impact:
- ฟาร์มกังหันลมและโซลาร์เซลล์ (>30 แห่ง)
- บริษัทภาคการผลิตเอกชน
- โรงไฟฟ้าพลังความร้อนร่วม (CHP) ขนาดใหญ่
- สถานีไฟฟ้าย่อย (Power substations)
- คอมพิวเตอร์ Mikronika HMI
- อุปกรณ์รักษาความปลอดภัยขอบเขต Fortinet (FortiGate appliance, SSL-VPN portal service)
- โดเมน Active Directory
- บริการคลาวด์ (M365 – Exchange, Teams, SharePoint)
Technical Attack Steps:
- 1. การเข้าถึงเริ่มต้น (Initial Access): เข้าถึงผ่านช่องโหว่ของอุปกรณ์ Fortinet (เช่น FortiGate, SSL-VPN portal) อาจใช้บัญชีที่กำหนดไว้แบบคงที่ที่ไม่มี 2FA และใช้ Tor nodes หรือ IP ที่ถูกบุกรุก
- 2. การสำรวจและขโมยข้อมูล (Reconnaissance & Data Theft): ขโมยข้อมูลในระยะยาว (ย้อนไปถึงเดือนมีนาคม 2025 ในกรณีของ CHP) เพื่อทำความเข้าใจการปรับปรุงเครือข่าย OT, ระบบ SCADA และงานทางเทคนิค
- 3. การยกระดับสิทธิ์และการเคลื่อนที่ภายในเครือข่าย (Privilege Escalation & Lateral Movement): เข้าถึงสิทธิ์ที่สูงขึ้นและเคลื่อนที่ภายในเครือข่าย รวมถึงโดเมน Active Directory
- 4. กิจกรรมก่อกวน (Disruptive Activities):
- – ทำลายเฟิร์มแวร์ของคอนโทรลเลอร์
- – ลบไฟล์ระบบ
- – ใช้มัลแวร์ประเภท wiper:
- – DynoWiper: ถูกเรียกใช้โดยตรงบนคอมพิวเตอร์ Mikronika HMI หรือกระจายผ่านสคริปต์ PowerShell บน Domain Controller โดยทำลายไฟล์โดยใช้ตัวสร้างตัวเลขสุ่มเทียม Mersenne Twister จากนั้นลบไฟล์ทิ้ง มัลแวร์นี้ไม่มีกลไกคงอยู่, C2 หรือกลไกการซ่อนตัว
- – LazyWiper: ใช้ PowerShell เขียนทับไฟล์ในระบบด้วยลำดับ 32 ไบต์แบบสุ่มเทียม ทำให้กู้คืนไม่ได้ จากนั้นลบไฟล์ทิ้ง
- 5. การขโมยข้อมูลจากคลาวด์ (Cloud Data Exfiltration): พยายามเข้าถึงบริการคลาวด์ (M365: Exchange, Teams, SharePoint) โดยใช้ข้อมูลประจำตัวที่ขโมยมาได้จากระบบภายใน และดาวน์โหลดข้อมูลที่เลือกไป
Recommendations:
Short Term:
- อัปเดตและแพตช์อุปกรณ์ Fortinet ทั้งหมดโดยทันที เพื่อแก้ไขช่องโหว่ที่ทราบ
- บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่แข็งแกร่งสำหรับบัญชีทั้งหมด โดยเฉพาะอุปกรณ์ขอบเขตและระบบสำคัญ
- ตรวจสอบเครือข่ายเพื่อหากิจกรรมที่น่าสงสัย โดยเฉพาะความพยายามในการเข้าถึงที่ผิดปกติ (เช่น จาก Tor nodes) และการขโมยข้อมูล
- ทบทวนและเสริมความแข็งแกร่งในการตั้งค่าคอนฟิกของคอมพิวเตอร์ Mikronika HMI และระบบควบคุมอุตสาหกรรมอื่น ๆ
- แยกส่วนระบบและเครือข่ายที่ถูกบุกรุกออก หากตรวจพบการบุกรุก
Long Term:
- ดำเนินการประเมินช่องโหว่และการทดสอบการเจาะระบบเป็นประจำในโครงสร้างพื้นฐานที่สำคัญและสภาพแวดล้อม IT/OT
- ปรับปรุงการแบ่งส่วนเครือข่าย (Network Segmentation) ระหว่างเครือข่าย IT และ OT
- นำโซลูชัน Endpoint Detection and Response (EDR) และ Security Information and Event Management (SIEM) มาใช้เพื่อการตรวจสอบอย่างต่อเนื่องและการล่าภัยคุกคาม
- พัฒนาและทดสอบแผนการรับมือเหตุการณ์อย่างสม่ำเสมอ โดยเฉพาะสำหรับการโจมตีที่ทำลายล้างและโครงสร้างพื้นฐานที่สำคัญ
- ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด รวมถึงหลักการสิทธิ์ขั้นต่ำ (Least Privilege) และ Zero-Trust
- ให้ความรู้แก่พนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ รวมถึงการตระหนักรู้เรื่องฟิชชิ่งและการจัดการรหัสผ่าน
- สำรองข้อมูลและระบบที่สำคัญเป็นประจำ เพื่อให้แน่ใจว่าข้อมูลสำรองไม่สามารถเปลี่ยนแปลงได้และได้รับการทดสอบสำหรับการกู้คืน
- ดำเนินการโปรแกรมการสร้างความตระหนักด้านความปลอดภัยที่ครอบคลุมสำหรับผู้ใช้ทุกคน
- ติดตามข่าวกรองภัยคุกคามสำหรับกิจกรรมที่ได้รับการสนับสนุนจากรัฐที่มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ
Source: https://thehackernews.com/2026/01/poland-attributes-december-cyber.html
Share this content: