การโจมตีทางไซเบอร์ที่มีเป้าหมายไปยังโครงข่ายไฟฟ้าของโปแลนด์ ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงไปยัง Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามปล่อยมัลแวร์ Data-wiping ตัวใหม่ที่ชื่อว่า "DynoWiper" ในระหว่างการโจมตีดังกล่าว
Sandworm (หรือที่รู้จักกันในชื่อ UAC-0113, APT44 และ Seashell Blizzard) คือกลุ่มแฮ็กเกอร์ระดับชาติของรัสเซีย ที่ปฏิบัติการมาตั้งแต่ปี 2009 เชื่อกันว่ากลุ่มนี้เป็นส่วนหนึ่งของหน่วยทหาร 74455 ภายใต้สังกัดกรมข่าวกรองหลัก (GRU) ของรัสเซีย และมีชื่อเสียงจากการก่อเหตุโจมตีที่สร้างความโกลาหล และความเสียหายอย่างรุนแรง
หากย้อนกลับไปเมื่อเกือบ 10 ปีก่อนกลุ่มแฮ็กเกอร์ Sandworm เคยลงมือโจมตีแบบ Data-wiping บนระบบโครงข่ายพลังงานของยูเครนมาแล้ว ซึ่งส่งผลให้ประชาชนราว 230,000 คนต้องตกอยู่ในสภาวะไม่มีไฟฟ้าใช้
อ้างอิงจากข้อมูลของ ESET กลุ่มแฮ็กเกอร์ Sandworm ถูกเชื่อมโยงกับการโจมตีโครงสร้างพื้นฐานด้านพลังงานของโปแลนด์ เมื่อวันที่ 29-30 ธันวาคมที่ผ่านมา ซึ่งในการโจมตีครั้งนี้มีการใช้มัลแวร์ Data Wiper ที่ชื่อว่า "DynoWiper"
เมื่อมัลแวร์ Data Wiper เริ่มทำงาน มันจะไล่สำรวจไปทั่วทั้งระบบไฟล์เพื่อลบไฟล์ต่าง ๆ ทิ้ง และเมื่อกระบวนการเสร็จสิ้น ระบบปฏิบัติการจะอยู่ในสภาพที่ไม่สามารถใช้งานได้ จำเป็นต้องกู้คืนระบบจากข้อมูล Backup หรือต้องติดตั้งระบบใหม่ทั้งหมด
ในแถลงการณ์ต่อสื่อมวลชน เจ้าหน้าที่ทางการของโปแลนด์ระบุว่า การโจมตีครั้งนี้มีเป้าหมายที่โรงไฟฟ้าพลังความร้อนร่วมสองแห่ง รวมถึงระบบบริหารจัดการที่ใช้ควบคุมการผลิตไฟฟ้าจากแหล่งพลังงานหมุนเวียน เช่น กังหันลม และฟาร์มโซลาร์เซลล์
นายกรัฐมนตรี Donald Tusk ของโปแลนด์ระบุในระหว่างการแถลงข่าวว่า "ทุกอย่างทำให้เห็นว่าการโจมตีเหล่านี้ถูกเตรียมการโดยกลุ่มที่มีความเชื่อมโยงโดยตรงกับหน่วยงานความมั่นคงของรัสเซีย"
ESET ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคเชิงลึกเกี่ยวกับ DynoWiper มากนัก โดยระบุเพียงว่าระบบ Antivirus ของบริษัทตรวจจับมัลแวร์ตัวนี้ในชื่อ Win32/KillFiles.NMO และมีค่า Hash SHA-1 คือ 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6
ทางเว็บไซต์ BleepingComputer ยังไม่พบตัวอย่างของมัลแวร์ Wiper นี้ถูกอัปโหลดอยู่บน VirusTotal, Triage, Any.Run หรือเว็บไซต์สำหรับส่งตรวจสอบมัลแวร์อื่น ๆ แต่อย่างใด
แม้จะยังไม่มีความชัดเจนว่าผู้โจมตีแฝงตัวอยู่ในระบบของโปแลนด์นานเพียงใด หรือโจมตีระบบเข้ามาด้วยวิธีการใด แต่ Will Thomas (หรือ BushidoToken) ที่ปรึกษาอาวุโสด้านข่าวกรองภัยคุกคามแห่ง Team Cymru ได้แนะนำให้ผู้ดูแลระบบป้องกันความปลอดภัยให้ไปศึกษารายงานประจำเดือนกุมภาพันธ์ 2025 ของ Microsoft ที่เกี่ยวกับกลุ่ม Sandworm เพิ่มเติม
นอกจากนี้ ในช่วงที่ผ่านมา Sandworm ยังถูกเชื่อมโยงกับการโจมตีแบบ Data-wiping ต่อภาคการศึกษา, หน่วยงานรัฐบาล และอุตสาหกรรมค้าธัญพืชของยูเครนเมื่อเดือนมิถุนายนและกันยายน ปี 2025 อีกด้วย
ที่มา : Bleepingcomputer
You must be logged in to post a comment.