กลุ่ม APT44 ของรัสเซียเปิดฉากการโจมตีครั้งใหญ่ต่อโครงสร้างพื้นฐานที่สำคัญของประเทศยูเครนในเดือนมีนาคม โดยกำหนดเป้าหมายไปยังสถานที่ต่างๆ จำนวน 20 แห่ง เพื่อพยายามขยายผลกระทบของการโจมตีด้วยขีปนาวุธต่อประเทศที่เสียหายจากสงคราม ตามรายงานของ CERT ของยูเครน CERT-UA ระบุในรายงานว่า การโจมตีดังกล่าวส่งผลกระทบต่อสิ่งอำนวยความสะดวกด้านพลังงานและน้ำใน 10 ภูมิภาคของประเทศ โดยอ้างว่ามีการละเมิดห่วงโซ่อุปทานอย่างน้อยสามรายการ ในการเสนอราคาเพื่อส่งมอบการอัปเดตซอฟต์แวร์ที่ถูกบุกรุกหรือใช้ข้อมูลประจำตัวของบุคคลที่สาม เพื่อเข้าถึงเครือข่ายเป้าหมาย และมีแบ็คดอร์ใหม่ 2 รายการ คือ Biasboat และ Loadgrip ถูกค้นพบ
โดยเป็นส่วนหนึ่งของการสืบสวนของ CERT-UA ซึ่งเป็นแบ็คดอร์เวอร์ชัน Linux ชื่อว่า “ Quueeseed ” ซึ่งการใช้ Queueseed และมัลแวร์อีกหนึ่งรายการ Gossipflow ทำให้ CERT-UA สามารถระบุการโจมตีของ APT44 (หรือที่เรียกว่ากลุ่ม Sandworm) ซึ่งเป็นกลุ่มภัยคุกคามจากรัสเซียที่มีการจารกรรมทางไซเบอร์และการโจมตีแบบทำลายระบบ และมัลแวร์ Gossipflow สามารถใช้เพื่อขโมยข้อมูลและส่งมอบ
การสื่อสารแบบสั่งการและควบคุมที่ปลอดภัยในช่วงระหว่างวันที่ 7–15 มีนาคม 2567 ผู้เชี่ยวชาญของ CERT-UA ได้ใช้มาตรการเพื่อแจ้งให้องค์กรที่ระบุทั้งหมดทราบ และทำการตรวจสอบและต่อต้านภัยคุกคามทางไซเบอร์ใน ICS ที่เกี่ยวข้อง ซึ่งเป็นส่วนหนึ่งของสถานการณ์ของการถูกโจมตีขั้นต้นได้ ซึ่งเป็นซอฟต์แวร์ที่เป็นอันตราย ถูกลบออกและวิเคราะห์ มีการสร้างลำดับเหตุการณ์ของเหตุการณ์ ให้ความช่วยเหลือในการกำหนดค่าเซิร์ฟเวอร์และอุปกรณ์เครือข่ายที่ใช้งานอยู่ และติดตั้งเทคโนโลยีความปลอดภัย แต่อย่างไรก็ตาม ความสามารถของ CERT ในการบรรเทาผลกระทบของการโจมตีนั้นถูกจำกัดด้วยแนวปฏิบัติในการป้องกันทางไซเบอร์ที่ไม่ดีในส่วนขององค์กรที่เป็นเป้าหมาย โดยเฉพาะอย่างยิ่ง บริษัทร้องเรียนว่าขาดการแบ่งส่วนเครือข่ายที่เพียงพอและความประมาทเลินเล่อของซัพพลายเออร์ ซึ่งทำให้ APT44 สามารถใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ในซอฟต์แวร์บุคคลที่สาม
Credit : ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ