- โครงข่ายไฟฟ้าของโปแลนด์ตกเป็นเป้าการโจมตีด้วย มัลแวร์ล้างข้อมูลตัวใหม่ (DynoWiper) ซึ่งคาดว่าเชื่อมโยงกับรัสเซีย แต่ไม่ได้ส่งผลให้การจ่ายไฟฟ้าสะดุด
- การโจมตีเกิดขึ้นในช่วง ปลายเดือนธันวาคม 2025 และถูกมองว่าเป็นความพยายามรบกวน การสื่อสารระหว่างอุปกรณ์พลังงานหมุนเวียนกับผู้ให้บริการระบบจำหน่ายไฟฟ้า
- บริษัทความปลอดภัย ESET วิเคราะห์ว่ามัลแวร์นี้เป็น วายเปอร์เชิงทำลายล้าง ที่ลบข้อมูลอย่างถาวร และมีความคล้ายคลึงกับยุทธวิธีและเทคนิคของกลุ่มแฮ็กเกอร์ภาครัฐรัสเซีย Sandworm
- การโจมตีครั้งนี้เกิดขึ้นตรงกับ ครบรอบ 10 ปีของการแฮ็กโครงข่ายไฟฟ้ายูเครนในปี 2015 ซึ่งในเหตุการณ์ครั้งนั้นมีรายงานว่าประชาชนราว 230,000 คนประสบปัญหาไฟดับนาน 6 ชั่วโมง
- แม้ DynoWiper จะไม่สามารถทำให้เกิดการตัดไฟได้จริง แต่เหตุการณ์นี้ก็ย้ำให้เห็นอีกครั้งถึง ขีดความสามารถด้านการโจมตีไซเบอร์ของรัสเซียและความเปราะบางของโครงสร้างพื้นฐานพลังงานยุโรป
การโจมตีด้วยมัลแวร์ล้างข้อมูลที่มุ่งเป้าโครงข่ายไฟฟ้าของโปแลนด์
- นักวิจัยระบุว่า โครงข่ายไฟฟ้าของโปแลนด์ตกเป็นเป้าการโจมตีด้วยมัลแวร์ล้างข้อมูล และมีความเป็นไปได้สูงว่าเผยแพร่โดย แฮ็กเกอร์ระดับรัฐของรัสเซีย
- การโจมตีถูกวิเคราะห์ว่าเป็นความพยายามรบกวนการดำเนินงานด้านการจ่ายไฟฟ้า
- Reuters รายงานว่าเหตุโจมตีไซเบอร์เกิดขึ้นในสัปดาห์สุดท้ายของเดือนธันวาคม และพยายามก่อกวนการสื่อสารระหว่างอุปกรณ์พลังงานหมุนเวียนกับผู้ให้บริการระบบจำหน่ายไฟฟ้า แต่ไม่สำเร็จ
- มัลแวร์ที่ใช้ในการโจมตีได้รับชื่อว่า DynoWiper โดยมีเป้าหมายเพื่อลบโค้ดและข้อมูลบนเซิร์ฟเวอร์อย่างถาวร จนทำให้ การปฏิบัติงานเป็นอัมพาตโดยสิ้นเชิง
- ESET ระบุว่า จากการวิเคราะห์ยุทธวิธี เทคนิค และขั้นตอนปฏิบัติ (TTP) ของการโจมตี พบว่ามีความคล้ายคลึงอย่างมากกับปฏิบัติการก่อนหน้าของ Sandworm APT และประเมินด้วย ความเชื่อมั่นระดับปานกลาง (medium confidence) ว่าเป็นฝีมือของ Sandworm
ตัวอย่างการโจมตีในอดีตของ Sandworm
- Sandworm เป็นกลุ่มแฮ็กเกอร์ที่เชื่อกันว่าได้รับการสนับสนุนจากเครมลิน และมีประวัติการก่อ การโจมตีไซเบอร์เชิงทำลายล้าง หลายครั้ง
- ในการโจมตีโครงข่ายไฟฟ้ายูเครนเมื่อเดือนธันวาคม 2015 มีประชาชนราว 230,000 คนไฟดับนาน 6 ชั่วโมง และเหตุการณ์นี้ถูกบันทึกว่าเป็น กรณีไฟดับครั้งแรกที่เกิดจากมัลแวร์
- มัลแวร์ BlackEnergy ที่ใช้ในตอนนั้นเจาะเข้าสู่ระบบ SCADA และใช้ฟังก์ชันที่ถูกต้องตามปกติเพื่อหยุดการจ่ายไฟฟ้า
- ESET กล่าวว่าการโจมตีโปแลนด์ครั้งนี้เกิดขึ้นตรงกับ ครบรอบ 10 ปี ของเหตุการณ์ดังกล่าว
- แฮ็กเกอร์รัสเซียเคยใช้ มัลแวร์ล้างข้อมูลแบบปรับแต่งเฉพาะ มาอย่างต่อเนื่องในอดีต
- ในปี 2022 พวกเขาใช้วายเปอร์ AcidRain ทำให้ โมเด็มดาวเทียม 270,000 เครื่อง ในยูเครนใช้งานไม่ได้
- ในปี 2025 มีรายงานหลายกรณีของการปล่อยวายเปอร์หลายตัวโจมตี มหาวิทยาลัยและโครงสร้างพื้นฐานสำคัญ
NotPetya และประวัติการใช้วายเปอร์ของรัสเซีย
- ตัวอย่างที่เป็นที่รู้จักมากที่สุดของการใช้วายเปอร์โดยรัสเซียคือเหตุการณ์ NotPetya ในปี 2017 ซึ่งเดิมมุ่งเป้าไปที่ยูเครน แต่แพร่กระจายไปทั่วโลก
- การโจมตีครั้งนี้สร้างความเสียหายให้รัฐบาลและบริษัททั่วโลกราว 10,000 ล้านดอลลาร์สหรัฐ
- NotPetya ถูกประเมินว่าเป็น เหตุการณ์การเจาะระบบไซเบอร์ที่มีต้นทุนความเสียหายสูงที่สุดในประวัติศาสตร์
สาเหตุที่ DynoWiper ล้มเหลว
- เหตุผลที่ DynoWiper ไม่สามารถทำให้เกิดการตัดไฟได้ ยังไม่ถูกเปิดเผยอย่างชัดเจน
- บทความกล่าวถึงความเป็นไปได้ 2 ประการ
- รัสเซียอาจตั้งใจให้เป็นการโจมตีแบบจำกัด เพื่อ หลีกเลี่ยงการตอบโต้โดยตรงจากพันธมิตรของโปแลนด์
- หรือ ระบบป้องกันไซเบอร์อาจขัดขวางการทำงานของมัลแวร์ได้สำเร็จ
- ยังไม่มีการเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับรายละเอียดทางเทคนิคของการโจมตีหรือขนาดความเสียหาย
ความหมายของเหตุการณ์นี้
- เหตุการณ์ครั้งนี้แสดงให้เห็นว่า ศักยภาพในการโจมตีไซเบอร์ของรัสเซียยังคงทำงานอย่างแข็งขัน
- ขณะเดียวกันก็ย้ำถึง ความจำเป็นในการยกระดับความปลอดภัยของโครงสร้างพื้นฐานพลังงานในยุโรป
- DynoWiper คือ มัลแวร์ล้างข้อมูลรูปแบบใหม่ ที่ทำให้จำเป็นต้องเสริมความแข็งแกร่งทั้ง งานวิจัยด้านความปลอดภัยและระบบป้องกัน เพื่อรับมือการโจมตีลักษณะคล้ายกันในอนาคต
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ถ้ากำลังมองหาขนาดความเสียหายอยู่ การโจมตีครั้งนี้ถือว่าล้มเหลว
กรณีในอดีตที่เป็นตัวอย่างชัดเจนคือ การโจมตีโครงข่ายไฟฟ้า ในยูเครนเมื่อเดือนธันวาคม 2015 มีผู้ได้รับผลกระทบจากไฟฟ้าดับราว 230,000 คนเป็นเวลา 6 ชั่วโมง
สงครามครั้งนี้มีแนวโน้มสูงที่จะกวาด ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ รุ่นเก่าออกจากตลาด
หากความปลอดภัยไม่แข็งแกร่งมากพอ (แค่ air gap อย่างเดียวไม่พอ) ก็จะเสียธุรกิจในพื้นที่เสี่ยงไปอย่างถาวร
ตอนเห็นพาดหัวครั้งแรกก็คิดว่า “ที่ปัดน้ำฝนของรถ จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตด้วยเหรอ?”
บทความช่วยคลายความเข้าใจผิดนั้น แต่ก็น่าขมขื่นที่ตอนนี้รู้สึกว่าไอเดียไร้สาระแบบนั้นอาจถูกขายได้จริง
โปแลนด์คงสถานะ เฝ้าระวังความเสี่ยงสูง มาตลอด 5 ปีที่ผ่านมา จึงมีเวลามากพอที่จะเตรียมตัว
เลยสงสัยว่ายุโรปมี การตอบโต้แบบสมมาตร กับเรื่องนี้หรือไม่ หรือควรปล่อยโทรลฝั่งตะวันตกเข้าไปในอินเทอร์เน็ตรัสเซีย (Runet) บ้าง?
จาก เหตุการณ์แฮ็ก Jaguar สหราชอาณาจักรสูญเสียไป 2.5 พันล้านดอลลาร์ และกำลังการผลิตลดลงสู่ระดับช่วงสงคราม
การกู้คืนใช้เวลาหลายเดือน และความเสียหายทางการเงินก็ยังคงอยู่จนถึงตอนนี้
เรายังมองว่ามีแต่การยิงกันเท่านั้นที่นับเป็นการโจมตี แต่กลับมองข้ามสถานการณ์ที่ การทำลายโครงสร้างพื้นฐาน อาจทำให้คนนับร้อยตายเพราะความหนาวเย็น
ดูเหมือนว่ายูเครนน่าจะกำลังทำ การโจมตีทางไซเบอร์ ต่อโครงข่ายไฟฟ้าของรัสเซียอยู่ แต่แทบไม่ค่อยได้ยินข่าวเรื่องนี้
หรือว่าโครงสร้างพื้นฐานไฟฟ้าของรัสเซียเก่าเกินไปจนกลับไม่เปราะบาง?
อยากรู้ว่าการโจมตีแบบนี้ เกิดขึ้นจริงอย่างไร เครือข่ายส่วนใหญ่ไม่ได้แยกด้วย air gap กันหรือ?
รายละเอียดทั้งหมดคงไม่ถูกเปิดเผย แต่มีความเป็นไปได้ว่ามีการสื่อสารผ่านอินเทอร์เน็ต (อย่างน้อยก็ผ่าน VPN)
และแม้แต่เครือข่ายที่เป็น air gap อย่างสมบูรณ์ก็ยังถูกเจาะได้ หากมีคนติดตั้งอุปกรณ์โดยไม่ตั้งใจหรือถูกชักจูงด้วย วิศวกรรมสังคม
คำถาม “ใครได้ประโยชน์ (Cui bono)?” ผุดขึ้นมา
ด้านบวกคือเมื่อมีการใช้ มัลแวร์ระดับอาวุธ แบบนี้ เทคโนโลยีไซเบอร์วอร์ของรัสเซียก็จะถูกเปิดเผย ทำให้ฝ่ายป้องกันได้เรียนรู้
เหตุการณ์ครั้งนี้เป็นส่วนหนึ่งของ สงครามแบบไฮบริด ที่มุ่งเป้ายุโรป
นี่จะเป็นโอกาสให้สหภาพยุโรปรวมพลังกันเพื่อต่อกรกับรัสเซียได้หรือไม่?
ความจริงคือเยอรมนีและฝรั่งเศสมัวแต่ปกป้อง ผลประโยชน์ของตนเอง และทำให้สหภาพอ่อนแอลง
ฝรั่งเศสขัดขวาง ข้อตกลง Mercosur ที่เตรียมกันมา 30 ปี และภายนอกก็อ้างความเหนือกว่าทางศีลธรรมพร้อมวิจารณ์สหรัฐฯ
สุดท้ายแล้วเราเป็นเพียง สหภาพที่เต็มไปด้วยความหน้าซื่อใจคด
อย่างไรก็ตาม หากยังเดินต่อไปโดยไร้ความร่วมมือ ยุโรปก็จะถูกทั้งรัสเซีย และต่อไปคือจีน กัดกินไปทีละประเทศ
บทความที่เกี่ยวข้อง: Polish MEPs spearhead move to send EU-Mercosur trade pact to Court of Justice