กลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับประเทศอิหร่านกำลังมุ่งเป้าโจมตีอุปกรณ์ Programmable Logic Controllers (PLCs) ยี่ห้อ Rockwell/Allen-Bradley ที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งใช้งานอยู่ในเครือข่ายขององค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของสหรัฐฯ
คำแจ้งเตือนดังกล่าวมีขึ้นเมื่อช่วงเช้าวันนี้ ในรูปแบบของประกาศเตือนภัยร่วม ซึ่งจัดทำโดย FBI, CISA, NSA, สำนักงานปกป้องสิ่งแวดล้อม (EPA), กระทรวงพลังงาน (DOE) และกองบัญชาการไซเบอร์แห่งสหรัฐฯ – กองกำลังภารกิจไซเบอร์แห่งชาติ (CNMF)
หน่วยงานผู้จัดทำระบุว่า การโจมตีที่กำลังดำเนินอยู่นี้มุ่งเป้าไปที่องค์กรในหลายภาคส่วนของโครงสร้างพื้นฐานสำคัญของสหรัฐฯ (รวมถึงหน่วยงาน และสถานบริการของรัฐ, ระบบน้ำประปา และน้ำเสีย และระบบพลังงาน) ซึ่งส่งผลให้เกิดความสูญเสียทางการเงิน และการหยุดชะงักของการดำเนินงานมาตั้งแต่เดือนมีนาคม 2026
ประกาศเตือนภัยระบุไว้ว่า “FBI ประเมินว่ากลุ่มภัยคุกคาม APT ที่มีความเชื่อมโยงกับอิหร่าน กำลังมุ่งเป้าไปที่อุปกรณ์ PLC ที่เชื่อมต่อกับอินเทอร์เน็ต โดยมีเจตนาที่จะก่อให้เกิดความเสียหาย รวมถึงการเข้าไปแก้ไขไฟล์โครงการอย่างเป็นอันตราย และปรับแต่งข้อมูลที่แสดงผลบนหน้าจอ HMI และ SCADA ในองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของสหรัฐฯ”
“แคมเปญการโจมตีโดยกลุ่ม APT ที่เชื่อมโยงกับอิหร่านต่อองค์กรในสหรัฐฯ ได้ทวีความรุนแรงขึ้นเมื่อเร็ว ๆ นี้ ซึ่งน่าจะเป็นการตอบโต้ต่อความขัดแย้งระหว่างอิหร่าน กับสหรัฐอเมริกา และอิสราเอล”
หน่วยงานของสหรัฐฯ ระบุเพิ่มเติมว่า “FBI ตรวจพบว่ากิจกรรมดังกล่าวส่งผลให้ไฟล์โปรเจกต์ของอุปกรณ์ถูกดึงออกไป และมีการบิดเบือนข้อมูลบนหน้าจอแสดงผล HMI และ SCADA”
คำเตือนที่คล้ายกันซึ่งออกเมื่อเดือนพฤศจิกายน 2023 ระบุว่ากลุ่มแฮ็กเกอร์ CyberAv3ngers ซึ่งมีความเกี่ยวข้องกับกองกำลังพิทักษ์ปฏิวัติอิสลามแห่งอิหร่าน (IRGC) ได้ใช้ประโยชน์จากช่องโหว่ในระบบเทคโนโลยีการปฏิบัติงาน (OT) ของ Unitronics ซึ่งตั้งอยู่ในสหรัฐอเมริกา
ระหว่างเดือนพฤศจิกายน 2023 ถึงมกราคม 2024 แฮ็กเกอร์กลุ่ม CyberAv3ngers ได้เจาะระบบอุปกรณ์ PLC ของ Unitronics ไปอย่างน้อย 75 เครื่องผ่านการโจมตีทางไซเบอร์หลายระลอก ซึ่งครึ่งหนึ่งในจำนวนนั้นอยู่ในเครือข่ายโครงสร้างพื้นฐานสำคัญด้านระบบน้ำประปา และน้ำเสีย ของ WWS
เพื่อป้องกันการโจมตีดังกล่าว ผู้ดูแลเครือข่ายได้รับคำแนะนำให้ตัดการเชื่อมต่ออุปกรณ์ PLC ออกจากอินเทอร์เน็ต หรือรักษาความปลอดภัยด้วยการใช้ Firewall ตรวจสอบ Log เพื่อหา IoCs ตามที่ระบุในประกาศเตือนภัยร่วมฉบับวันนี้ และตรวจสอบการรับส่งข้อมูลที่น่าสงสัยบน Port OT (โดยเฉพาะการรับส่งข้อมูลที่มาจากผู้ให้บริการโฮสติ้งในต่างประเทศ)
นอกจากนี้ ควรใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงเครือข่าย OT หมั่นอัปเดตเฟิร์มแวร์ของ PLC ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ ปิดการใช้งานบริการ และวิธีการยืนยันตัวตนที่ไม่จำเป็นทั้งหมด (เช่น default authentication keys) และตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหาความผิดปกติ
เมื่อเดือนที่ผ่านมา กลุ่มแฮ็กเกอร์ Handala ซึ่งเชื่อมโยงกับอิหร่าน และสนับสนุนปาเลสไตน์ ได้ทำการล้างข้อมูลอุปกรณ์ประมาณ 80,000 เครื่องในเครือข่ายของ Stryker บริษัทยักษ์ใหญ่ด้านการแพทย์ของสหรัฐฯ ซึ่งรวมถึงอุปกรณ์มือถือของพนักงาน และคอมพิวเตอร์ส่วนบุคคลที่อยู่ภายใต้การดูแลของบริษัท
ขณะเดียวกัน FBI ยังได้แจ้งเตือนว่า แฮ็กเกอร์อิหร่านที่มีความเชื่อมโยงกับกระทรวงข่าวกรอง และความมั่นคง (MOIS) ของประเทศ กำลังใช้แอปพลิเคชัน Telegram ในการแพร่กระจายมัลแวร์เพื่อโจมตีอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.