Iranian Hackers 2 ปีแห่งการลอบโจมตี Middle East CNI ผ่าน VPN Flaws และ Malware

ในโลกที่ทุกอย่างเชื่อมต่อกันด้วยเทคโนโลยี โครงสร้างพื้นฐานที่สำคัญ (Critical National Infrastructure: CNI) เช่น ระบบไฟฟ้า น้ำมัน และน้ำ ถือเป็นหัวใจของชาติ แต่ล่าสุด กลุ่มแฮกเกอร์จากอิหร่านที่รู้จักในชื่อ Lemon Sandstorm ได้สร้างความตื่นตระหนกด้วยการลอบเข้าถึง CNI ในตะวันออกกลางนานถึง 2 ปี ตั้งแต่เดือน พฤษภาคม 2023 ถึงกุมภาพันธ์ 2025 โดยใช้ VPN Flaws และ Malware ที่ซับซ้อน บทความนี้จะพาคุณไปเจาะลึกว่าแฮกเกอร์กลุ่มนี้ทำได้อย่างไร ทำไมถึงอันตราย และองค์กรจะป้องกันตัวเองได้อย่างไร ด้วยภาษาที่เข้าใจง่ายและข้อมูลที่ไม่เหมือนใคร

Iranian Hackers และ Lemon Sandstorm คือใคร?

Lemon Sandstorm (หรือที่รู้จักในชื่อ Rubidium, Parisite, Pioneer Kitten, UNC757) เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน กลุ่มนี้เริ่มปฏิบัติการตั้งแต่ปี 2017 โดยมุ่งเป้าไปที่อุตสาหกรรมสำคัญ เช่น การบิน น้ำมันและก๊าซ น้ำ และไฟฟ้า ใน สหรัฐอเมริกา ตะวันออกกลาง ยุโรป และออสเตรเลีย การโจมตีครั้งนี้ถูกค้นพบโดยทีม FortiGuard Incident Response (FGIR) ของ Fortinet ซึ่งระบุว่าเป็นการ สอดแนม (Cyber Espionage) และการเตรียมการเพื่อผลประโยชน์เชิงกลยุทธ์ในอนาคต ลักษณะเด่นของ Lemon Sandstorm
  • ใช้เครื่องมือที่พัฒนาขึ้นเอง เช่น HanifNet, HXLibrary, NeoExpressRAT
  • ใช้เครื่องมือโอเพนซอร์ส เช่น Havoc, MeshCentral, SystemBC
  • เน้นการทำงานแบบ “Hands-on Keyboard” โดยแฮกเกอร์ควบคุมด้วยตัวเอง ไม่พึ่งระบบอัตโนมัติ
  • มีตารางทำงานที่สม่ำเสมอ แสดงถึงการวางแผนอย่างรอบคอบ

การโจมตีเริ่มต้นอย่างไร? ช่องโหว่ VPN และ Web Shells

แฮกเกอร์เริ่มต้นด้วยการใช้ VPN Flaws หรือช่องโหว่ในระบบ VPN ที่องค์กรใช้เพื่อเชื่อมต่อเครือข่ายจากระยะไกล โดยเจาะผ่าน ข้อมูลรับรอง (credentials) ที่ถูกขโมยมา จากนั้นติดตั้ง Web Shells บนเซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะเพื่อสร้าง จุดยืน (foothold) ในระบบ

ระยะเวลาการโจมตี

  • พฤษภาคม 2023 - เมษายน 2024: เข้าถึงผ่าน VPN และติดตั้ง Web Shells รวมถึง Backdoor เช่น NeoExpressRAT ใช้เครื่องมืออย่าง plink และ Ngrok เพื่อเจาะลึกเข้าไปในเครือข่าย
  • เมษายน - พฤศจิกายน 2024: ขโมยอีเมลของเหยื่อและเคลื่อนย้ายไปยังโครงสร้างพื้นฐาน Virtualization
  • พฤศจิกายน - ธันวาคม 2024: ติดตั้ง Web Shells และ Backdoor เพิ่มเติม เช่น MeshCentral Agent, SystemBC แม้เหยื่อจะพยายามกู้ระบบ
  • ธันวาคม 2024 - ปัจจุบัน: พยายามกลับเข้ามาใหม่โดยใช้ช่องโหว่ Biotime (CVE-2023-38950, CVE-2023-38951, CVE-2023-38952) และโจมตีด้วย Spear Phishing เพื่อขโมยข้อมูล Microsoft 365
ระยะ เครื่องมือที่ใช้ เป้าหมาย
พ.ค. 2023 - เม.ย. 2024 Web Shells, NeoExpressRAT, plink, Ngrok สร้างจุดยืน, เจาะลึกเครือข่าย
เม.ย. - พ.ย. 2024 Email Exfiltration ขโมยข้อมูลอีเมล, เข้าถึง Virtualization
พ.ย. - ธ.ค. 2024 MeshCentral, SystemBC รักษาการเข้าถึงหลังการกู้ระบบ
ธ.ค. 2024 - ปัจจุบัน Biotime, Spear Phishing พยายามกลับเข้ามาใหม่

ทำไมการโจมตีนี้ถึงอันตราย?

การโจมตีครั้งนี้ไม่ใช่แค่การขโมยข้อมูล แต่เป็น Cyber Espionage ที่มุ่งหวังผลประโยชน์ระยะยาว การที่แฮกเกอร์รักษาการเข้าถึงได้นานถึง 2 ปี แสดงถึงความซับซ้อนและความอดทน พวกเขายังพยายามเจาะ Operational Technology (OT) ซึ่งควบคุมระบบกายภาพ เช่นโรงไฟฟ้า แม้จะยังไม่มีหลักฐานว่าทำสำเร็จ แต่ การเข้าถึงระบบที่อยู่ใกล้ OT ก็เป็นภัยคุกคามร้ายแรงแล้ว ผลกระทบที่อาจเกิดขึ้น
  • การหยุดชะงักของบริการ เช่น ไฟฟ้า น้ำมัน หรือน้ำ
  • การรั่วไหลของ ข้อมูลลับที่กระทบความมั่นคง
  • การเตรียมการสำหรับการโจมตีที่รุนแรงขึ้น เช่น Ransomware หรือ Wiper

วิธีป้องกันการโจมตีจาก Iranian Hackers

เพื่อปกป้ององค์กรจากภัยคุกคามเช่นนี้ คุณสามารถทำตามขั้นตอนต่อไปนี้
  • อัปเดตระบบ VPN: ตรวจสอบและแพตช์ช่องโหว่ใน VPN เช่น CVE-2023-38950 ทันทีที่มีการแจ้งเตือน
  • ใช้ Multi-Factor Authentication (MFA): เพิ่มชั้นความปลอดภัยให้บัญชีผู้ใช้
  • ตรวจสอบเครือข่ายอย่างสม่ำเสมอ: ใช้เครื่องมือตรวจจับ Web Shells และ Backdoor เช่น Intrusion Detection Systems (IDS)
  • ฝึกอบรมพนักงาน: สอนวิธีระวังอีเมล Spear Phishing ที่อาจหลอกขโมยข้อมูล
  • แยกเครือข่าย (Network Segmentation): จำกัดการเคลื่อนย้ายของแฮกเกอร์ภายในระบบ
  • สำรองข้อมูล: เตรียมพร้อมสำหรับการกู้คืนหากถูกโจมตี
เครื่องมือแนะนำ
  • Fortinet FortiGuard: ตรวจจับและตอบสนองต่อภัยคุกคาม
  • CrowdStrike Falcon: ป้องกัน Malware และ Backdoor
  • Microsoft Defender for Endpoint: ตรวจจับการโจมตีแบบ Spear Phishing

คำถามที่พบบ่อยเกี่ยวกับ Iranian Hackers และ VPN Flaws

คำถาม คำตอบ
Iranian Hackers เข้าถึง CNI ได้อย่างไร? ใช้ช่องโหว่ใน VPN และติดตั้ง Web Shells กับ Backdoor เพื่อรักษาการเข้าถึง
VPN Flaws คืออะไรและอันตรายแค่ไหน? ช่องโหว่ใน VPN ช่วยให้แฮกเกอร์ขโมยข้อมูลรับรองและเจาะระบบ ซึ่งอาจนำไปสู่การโจมตีร้ายแรง
องค์กรจะป้องกันการโจมตีนี้ได้อย่างไร? อัปเดต VPN, ใช้ MFA, ตรวจสอบเครือข่าย, และฝึกอบรมพนักงาน

อนาคตของ Cybersecurity และ CNI

การโจมตีครั้งนี้เป็นเครื่องเตือนใจว่า Cybersecurity ไม่ใช่เรื่องที่มองข้ามได้ โดยเฉพาะเมื่อเป้าหมายคือ Critical Infrastructure ที่ส่งผลต่อความมั่นคงของชาติ กลุ่มแฮกเกอร์อย่าง Lemon Sandstorm ยังคงพัฒนาเทคนิคใหม่ ๆ เช่น การใช้ เครื่องมือโอเพนซอร์สผสมกับ Malware ที่สร้างเอง องค์กรทั่วโลกต้องลงทุนในระบบป้องกันที่ทันสมัยและ ฝึกอบรมบุคลากรอย่างต่อเนื่อง คุณพร้อมหรือยัง? ในโลกที่ภัยคุกคามทางไซเบอร์เพิ่มขึ้นทุกวัน การปกป้อง CNI ไม่ใช่แค่หน้าที่ของรัฐบาล แต่เป็นความรับผิดชอบของ ทุกองค์กรที่เกี่ยวข้อง เริ่มต้นวันนี้ด้วยการตรวจสอบความปลอดภัยของระบบคุณ! ลิงก์ที่เกี่ยวข้อง