เหตุโจมตีทางไซเบอร์ประเทศยูเครน พ.ศ. 2565

เมื่อวันที่ 14 มกราคม พ.ศ. 2565 เกิดเหตุการโจมตีทางไซเบอร์ในเว็บไซต์ของหน่วยงานของรัฐบาลยูเครน^[1] ในช่วงวิกฤตการณ์รัสเซีย–ยูเครน พ.ศ. 2564–2565 ตามรายงานของทางการยูเครน เว็บไซต์ของรัฐบาลประมาณ 70 แหล่ง รวมไปยังกระทรวงการต่างประเทศ คณะรัฐมนตรี และคณะมนตรีความมั่นคงและพิทักษ์ถูกโจมตี เว็บไซต์ส่วนใหญ่ได้รับการกู้ภายในไม่กี่ชั่วโมงหลังการโจมตี^[2] หนึ่งเดือนต่อมา ในวันที่ 14 กุมภาพันธ์ การโจมตีทางไซเบอร์เกิดเหตุขึ้นอีกครั้งเว็บไซต์ของรัฐบาลและธนาคารหลายแห่งระบบล่มลง^[3]

เหตุโจมตี

เหตุโจมตีเกิดขึ้นเมื่อวันที่ 14 มกราคม ประกอบด้วยนักเจาะระบบเปลี่ยนเว็บเพจของเว็บไซต์เป็นข้อความภาษายูเครน ภาษาโปแลนด์แบบไม่ถูกอักขระวิถี และภาษารัสเซียซึ่งระบุว่า "จงหยามเกรงพร้อมรอรับสิ่งที่เลวร้าย" และอ้างว่าข้อมูลส่วนบุคคลได้รั่วไหลไปทั่วอินเทอร์เน็ต^[4] เว็บไซต์ของรัฐบาลประมาณ 70 แหล่งรับผลกระทบ รวมถึงกระทรวงการต่างประเทศ คณะรัฐมนตรี และคณะมนตรีความมั่นคงและพิทักษ์^[5] เอสบียูหรือสำนักบริการนิรภัยแห่งชาติยูเครน ระบุว่าไม่มีข้อมูลรั่วไหล ไม่นานหลังจากที่ข้อความปรากฏขึ้น เว็บไซต์ทุกแหล่งนั้นออฟไลน์ เว็บไซต์ถูกกู้ได้ในไม่กี่ชั่วโมง^[1] รองเลขาธิการเอ็นเอสดีซีหรือคณะมนตรีความมั่นคงและพิทักษ์ เซอร์ฮีย์ เดเมดยัค กล่าวว่าการสอบสวนการโจมตีของยูเครนประเด็นว่ามีการให้สิทธิ์บริษัทบุคคลที่สามสำหรับการโจมตี ซอฟต์แวร์ของบริษัทที่ไม่มีนามนี้ถูกใช้มาตั้งแต่ปี พ.ศ. 2559 เพื่อพัฒนาเว็บไซต์ในหน่วยงานของรัฐบาล ซึ่งส่วนใหญ่รับผลกระทบจากการโจมตี^[5] รองเลขาธิการเอ็นเอสดีซีกล่าวหา UNC1151 ซึ่งเป็นกลุ่มนักเจาะระบบที่ถูกกล่าวโทษว่าเชื่อมโยงกับหน่วยข่าวกรองของประเทศเบลารุสโจมตีครั้งนี้^[6]

เหตุโจมตีทางไซเบอร์ตรวจพบครั้งแรกโดย ศูนย์ข่าวต้านภัยไมโคซอฟท์ (MSTIC) รายงานว่า มัลแวร์ได้รับการติดตั้งบนอุปกรณ์ที่เป็นของหน่วยงาน "รัฐบาลหลายแห่ง องค์กรไม่แสวงหากำไร และองค์กรสารสนเทศ" ในประเทศยูเครน^[7] ต่อมา มีรายงานติดตั้งมัลแวร์บนอุปกรณ์ของบริการฉุกเฉินของรัฐและสำนักขนส่งทางรถยนต์^[8] ซอฟต์แวร์นี้มีชื่อว่า DEV-0586 ได้รับการออกแบบให้ดูเหมือนมัลแวร์เรียกค่าไถ่ แต่ไม่มีระบบการกู้คืน แสดงให้ชี้ว่ามีเจตนาที่จะทำลายไฟล์เพียงอย่างเดียวแทนที่จะเข้ารหัสเพื่อทำการเรียกค่าไถ่^[7] เอ็มเอสทีไอซี รายงานว่ามัลแวร์ถูกตั้งโปรแกรมให้ทำงานเมื่อปิดอุปกรณ์เป้าหมาย มัลแวร์จะแสดงไฟล์ทับมาสเตอร์บูตเรคคอร์ด (MBR) ด้วยหมายเหตุเรียกค่าไถ่ทั่วไป ต่อมา มัลแวร์ดาวน์โหลดไฟล์ชนิด .exe เป็นไฟล์ที่สอง ซึ่งจะเขียนทับไฟล์ทั้งหมดที่มีนามสกุลบางส่วนจากรายการที่กำหนดไว้ล่วงหน้า ซึ่งจะลบข้อมูลทั้งหมดที่อยู่ในไฟล์เป้าหมาย หน้าเล่นโหลดของมัลแวร์เรียกค่าไถ่นั้นแตกต่างจากการโจมตีมัลแวร์เรียกค่าไถ่มาตรฐานในหลายด้านอันแสดงถึงเจตนาในการทำลายล้างเพียงอย่างเดียว^[9] อย่างไรก็ดี ผลกระทบเว็บไซต์ในภายหลังของข้อมูลกู้ไม่ได้ เป็นการเจตนาของผู้โจมตีไม่ได้ใส่การกู้ข้อมูลจากโปรแกรมเรียกค่าไถ่ในระบบคืน^[8]

อ้างอิง

1. "Ukraine cyber-attack: Government and embassy websites targeted". BBC News. 14 January 2022. สืบค้นเมื่อ 14 January 2022.
2. Polityuk, Pavel; Balmforth, Tom (14 January 2022). "'Be afraid': Ukraine hit by cyberattack as Russia moves more troops". Reuters (ภาษาอังกฤษ). สืบค้นเมื่อ 14 January 2022.
3. อ้างอิงผิดพลาด: ป้ายระบุ <ref> ไม่ถูกต้อง ไม่มีการกำหนดข้อความสำหรับอ้างอิงชื่อ :5
4. Kramer, Andrew E. (14 January 2022). "Hackers Bring Down Government Sites in Ukraine". The New York Times (ภาษาอังกฤษแบบอเมริกัน). ISSN 0362-4331. สืบค้นเมื่อ 14 January 2022.
5. Polityuk, Pavel (2022-01-14). "EXCLUSIVE Hackers likely used software administration rights of third party to hit Ukrainian sites, Kyiv says". Reuters (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-01-16.
6. Polityuk, Pavel (2022-01-16). "EXCLUSIVE Ukraine suspects group linked to Belarus intelligence over cyberattack". Reuters (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-01-16.
7. "Destructive malware targeting Ukrainian organizations". Microsoft Security Blog (ภาษาอังกฤษแบบอเมริกัน). 2022-01-16. สืบค้นเมื่อ 2022-01-17.
8. "Cyberattacks knock out sites of Ukrainian army, major banks". AP NEWS (ภาษาอังกฤษ). 2022-02-15. สืบค้นเมื่อ 2022-02-17.
9. Sanger, David E. (2022-01-16). "Microsoft Warns of Destructive Cyberattack on Ukrainian Computer Networks". The New York Times (ภาษาอังกฤษแบบอเมริกัน). ISSN 0362-4331. สืบค้นเมื่อ 2022-01-20.