យុទ្ធនាការយ៉ាងសកម្មពីសំណាក់ហេគឃ័រដែលទាក់ទងនឹងប្រទេសរុស្ស៊ីកំពុងតែមានគោលដៅលើគណនីបុគ្គល Microsoft 365 នៅក្នុងអង្គការដោយប្រើប្រាស់ការបន្លំកូដឧបករណ៍។ គោលដៅមានដូចជារដ្ឋាភិបាល អង្គការ NGO សេវា IT និងបច្ចេកវិទ្យា ការការពារ (Defense) ទូរគមនាគមន៍ សុខាភិបាល និងវិស័យថាមពល/ប្រេងនិងហ្គាសនៅអឺរ៉ុប អាមេរិកខាងជើង អាព្រិក និងមជ្ឈឹមបូព៌ា។ មជ្ឈមណ្ឌលស៊ើបការណ៍ផ្នែកគំរាមកំហែងក្រុមហ៊ុន Microsoft បានតាមដានហេគឃ័រនៅពីក្រោយយុទ្ធនាការបន្លំកូដឧបករណ៍អាចជាក្រុម “Storm-2372” ដោយផ្អែកលើផលប្រយោជន៍ ប្រភេទជនរងគ្រោះ និងសិប្បកម្ម។ អ្នកស្រាវជ្រាវមើលឃើញថា សកម្មភាពនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងប្រតិបត្តិការរបស់រដ្ឋដែលស្របតាមផលប្រយោជន៍របស់រុស្ស៊ី។
ការវាយប្រហារបន្លំកូដឧបករណ៍៖ ការបញ្ចូលឧបករណ៍ដែលមានកម្រិតដូចជា ខ្វះ Keyboard ឬ Browser Support ដូចជា TVs និង IoTs មួយចំនួនដែលពឹងផ្អែកលើការផ្ទៀងផ្ទាត់កូដសម្រាប់អនុញ្ញាតឱ្យអ្នកប្រើ Sign into ចូលកម្មវិធីដោយការវាយកូដផ្ទៀងផ្ទាត់នៅលើឧបករណ៍ផ្សេងមួយទៀតដូចជាទូរស័ព្ទស្មាតហ្វូន ឬកុំព្យូទ័រ។ អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Microsoft បានប្រទះឃើញថា តាំងពីខែសីហាមក Storm-2372 បានបំពានលើបញ្ហានៃការផ្ទៀងផ្ទាត់ដោយបញ្ឆោតអ្នកប្រើឱ្យបញ្ចូលកូដឧបករណ៍ដែលបង្កើតឡើងដោយអ្នកវាយប្រហារនៅលើទំព័រ Sign-in ស្របច្បាប់។
ប្រតិបត្តិការវាយប្រហារចាប់ផ្តើមបន្ទាប់ពីការបង្កើតទំនាក់ទំនងជាមួយគោលដៅដោយ ការបន្លំជាបុគ្គលលេចធ្លោទាក់ទងនឹងគោលដៅ នៅលើផ្លេតហ្វមផ្ញើសារដូចជា WhatsApp, Signal និង Microsoft Teams។ ហេគឃ័របង្កើតទំនាក់ទំនងល្អជាមួយគោលដៅ មុននឹងផ្ញើការអញ្ជើញជួបតាមអនឡាញក្លែងក្លាយតាមរយៈអ៊ីម៉ែល ឬសារ។ យោងតាមអ្នកស្រាវជ្រាវ ជនរងគ្រោះទទួលការអញ្ជើញ Teams Meeting ដែលរួមមានកូដឧបករណ៍ (Device Code) ដែលបានបង្កើតដោយហេគឃ័រ។ ក្រុមហ៊ុន Microsoft ថ្លែងថា ការអញ្ជើញដែលជាការបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបំពេញសំណើផ្ទៀងផ្ទាត់កូដឧបករណ៍ដែលបង្កើតបទពិសោធន៍នៃសេវាផ្ញើសារ បានផ្តល់ឱ្យ Storm-2372 អាចចាប់ផ្តើមដំណើរការទៅកាន់គណនីជនរងគ្រោះ និងធ្វើសកម្មភាពប្រមូលទិន្នន័យ Graph API ដូចជា ការប្រមូលអ៊ីម៉ែលជាដើម។ រឿងនេះផ្តល់ឱ្យហេគឃ័រអាចប្រើប្រាស់សេវា Microsoft របស់ជនរងគ្រោះ (អ៊ីម៉ែលដែលរក្សាទុកនៅក្នុងក្លោដ) ដោយមិនចាំបាច់មានលេខសម្ងាត់ដរាបណា Tokens ដែលបានលួចនៅមានសុពលភាព។
ទោះជាយ៉ាងណា ក្រុមហ៊ុន Microsoft ថ្លែងថា ឥឡូវនេះ ហេគឃ័រកំពុងតែប្រើ Client ID ជាក់លាក់សម្រាប់គ្រប់គ្រងការផ្ទៀងផ្ទាត់របស់អ្នកប្រើប្រាស់ (Microsoft Authentication Broker) នៅក្នុងដំណើរការ Sign-In ចូលប្រើប្រាស់កូដឧបករណ៍ ដែលអនុញ្ញាតឱ្យពួកគេបង្កើត Tokens ថ្មី។ ទាំងអស់នេះជាដំណាក់កាលបើកការវាយប្រហារថ្មី និងអាចរក្សាភាពជាប់លាប់ នៅពេលហេគឃ័រអាចប្រើ Client ID សម្រាប់ចុះឈ្មោះឧបករណ៍ Entra ID ដែលជាអត្តសញ្ញាណមានមូលដ្ឋានលើក្លោដរបស់ Microsoft និងជាដំណោះស្រាយគ្រប់គ្រងការចូលប្រើប្រាស់។ ក្រុមហ៊ុនបន្តថា ជាមួយនឹងការ Refresh Token និងអត្តសញ្ញាណឧបករណ៍ថ្មី Storm-2372 អាចរក្សាបាននូវ Primary Refresh Token (PRT) និងចូលប្រើធនធាន (Resources) របស់ស្ថាប័ន។ ក្រុមហ៊ុនមើលឃើញថា Storm-2372 ដែលប្រើប្រាស់ឧបករណ៍ដែលបានភ្ជាប់នោះសម្រាប់ប្រមូលអ៊ីម៉ែល។
ការការពារប្រឆាំងនឹងក្រុម Storm-2372៖ ដើម្បីប្រឆាំងនឹងការវាយប្រហារបន្លំកូដឧបករណ៍ដែលប្រើដោយ Storm-2372 ក្រុមហ៊ុនបានស្នើឱ្យបិទលំហូរកូដឧបករណ៍ ប្រសិនបើអាចធ្វើបាន និងប្រើប្រាស់គោលការណ៍ Conditional Access នៅក្នុង Microsoft Entra ID សម្រាប់កម្រិតការប្រើប្រាស់របស់វាចំពោះឧបករណ៍ ឬណិតវើកដែលទុកចិត្ត។ ប្រសិនបើ ការបញ្ឆោតកូដឧបករណ៍ត្រូវបានសង្ស័យ អ្នកអាចលុបចោល Tokens ដោយការ Refresh ភ្លាមៗដោយប្រើ ‘revokeSignalnSessions’ និងកំណត់ Conditional Access Policy ដើម្បីបង្ខំឱ្យមានការផ្ទៀងផ្ទាត់ឡើងវិញ សម្រាប់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់។ ចុងក្រោយ អ្នកអាចប្រើ Microsoft Entra ID’s sign-in ចូលសម្រាប់ការត្រួតពិនិត្យ និងកំណត់អត្តសញ្ញាណភ្លាមៗនូវការព្យាយាមផ្ទៀងផ្ទាត់ ការ Sign-In ចូលកូដផ្ទៀងផ្ទាត់ពី Ips ដែលមិនស្គាល់ និងការជំរុញដែលមិនរំពឹងទុកសម្រាប់ការផ្ទៀងផ្ទាត់កូដឧបករណ៍ដែលបានផ្ញើចេញទៅកាន់អ្នកប្រើប្រាស់ចម្រុះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៥ ខែកុម្ភៈ ឆ្នាំ២០២៥
