ការិយាល័យស៊ើបអង្កេតសហរព័ន្ធ (FBI) បានព្រមានថា ហេគឃ័រពាក់ព័ន្ធនឹងសន្តិសុខសហព័ន្ធរុស្ស៊ី (FSB) កំពុងតែកំណត់គោលដៅលើស្ថាប័នហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗនៅក្នុងការវាយប្រហារដែលកេងចំណេញលើភាពងាយរងគ្រោះនៅក្នុងឧបករណ៍ Cisco អស់រយៈពេល ៧ឆ្នាំ។
ការប្រកាសជាសាធារណៈរបស់ FBI បានថ្លែងថា ក្រុមហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាល ពាក់ព័ន្ធនឹងអង្គភាព FSB’s Center 16 Unit ហើយមានឈ្មោះថា Berserk Bear (ឬក៏ស្គាល់ថាជា Blue Kraken, Crouching Yeti, Dragonfly និង Koala Team) បានកំពុងតែកំណត់គោលដៅលើឧបករណ៍ណិតវើក Cisco ដោយប្រើការកំណេញលើបញ្ហា CVE-2025-0171 ដើម្បីបំពានលើស្ថាប័ននៅទូទាំងសកលលោក។ ការកេងចំណេញដ៏ជោគជ័យលើ CVE-2018-0171 ដែលជាភាពងាយរងគ្រោះដ៏សំខាន់នៅក្នុងមុខងារ Smart Install របស់ Cisco IOS និង Cisco IOS XE Software អាចអនុញ្ញាតឱ្យហេគឃ័រដែលគ្មានការផ្ទៀងផ្ទាត់ជំរុញបន្ទុក (Reload) នៃឧបករណ៍ដែលមិនបាន Patch ហើយបណ្តាលឱ្យមានបញ្ហាជាប់គាំង (DoS) ឬបើកឱ្យអ្នកវាយប្រហារប្រតិបត្តិការកូដតាមចិត្តនៅលើឧបករណ៍គោលដៅ។
ភ្នាក់ងារ FBI បានថ្លែងថា កាលពីឆ្នាំមុន ភ្នាក់ងារ FBI បានរកឃើញអ្នកប្រមូលឯកសារ Configuration សម្រាប់ឧបករណ៍ណិតវើករាប់ពាន់ដែលពាក់ព័ន្ធនឹងស្ថាប័នអាមេរិកនៅទូទាំងវិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។ នៅលើឧបករណ៍ងាយរងគ្រោះខ្លះ ជនខិលខូចបានកែប្រែឯកសារ Configuration ដើម្បីបើកដំណើរការដោយមិនចាំបាច់មានសិទ្ធិចូលប្រើឧបករណ៍ទាំងនោះ។ ហេគឃ័របានប្រើការចូលដែលមិនចាំបាច់មានសិទ្ធិដើម្បីយកការណ៍នៅក្នុងណិតវើករបស់ជនរងគ្រោះ ដែលបានបង្ហាញពីចំណាប់អារម្មណ៍របស់ពួកគេនៅក្នុង Protocols និងកម្មវិធីទូទៅពាក់ព័ន្ធនឹងប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម។ ក្រុមហេគដូចគ្នានេះបានកំណត់គោលដៅលើណិតវើកស្ថាប័នរដ្ឋាភិបាលមូលដ្ឋាន ដែនដី និងកុលសម្ព័ន្ធ (SLTT) របស់សហរដ្ឋអាមេរិក រួមទាំងអង្គភាពអាកាសចរណ៍ក្នុងរយៈពេលមួយទសវត្សចុងក្រោយនេះ។
អ្នកគ្រប់គ្រង (Admins) ត្រូវបានបញ្ចុះបញ្ចូលឱ្យ Patch ជាបន្ទាន់តាមដែលអាចធ្វើទៅបាន៖ ក្រុមហ៊ុន Cisco បានរកឃើញការវាយប្រហារដំបូងដែលកំណត់គោលដៅលើបញ្ហា CVE-2018-0171 នៅខែវិច្ឆិកា ឆ្នាំ២០២១ ហើយបានធ្វើបច្ចុប្បន្នភាពកាលពីថ្ងៃពុធ ដោយបញ្ចុះបញ្ចូលឱ្យអ្នកគ្រប់គ្រង (Admins) ធានាសុវត្ថិភាពឧបករណ៍របស់ពួកគេប្រឆាំងនឹងការវាយប្រហារដែលកំពុងតែកើតឡើងភ្លាមៗតាមដែលអាចធ្វើបាន។ Cisco Talos ដែលជាផ្នែកសុវត្ថិភាពរបស់ក្រុមហ៊ុនបានថ្លែងថា ហេគឃ័ររុស្ស៊ីដូចជា Static Tundra បានកំពុងតែកេងចំណេញលើបញ្ហា CVE-2018-0171 នៅក្នុងយុទ្ធនាការនេះ ដើម្បីគ្រប់គ្រងលើឧបករណ៍ដែលមិនបាន Patch និងជាកម្មសិទ្ធិរបស់ក្រុមហ៊ុនទូរគមនាគមន៍ វិស័យអប់រំ ព្រមទាំងអង្គភាពផលិតកម្មនៅទូទាំងអាមេរិកខាងជើង អាស៊ី អាព្រិក រួមទាំងអឺរ៉ុប។ អ្នកវាយប្រហារក៏ត្រូវបានមើលឃើញថា បានប្រើប្រាស់ Custom SNMP Tooling ដែលអាចឱ្យពួកគេរក្សាបាននូវវត្តមានជាប់លាប់នៅលើឧបករណ៍ដែលត្រូវបានគ្រប់គ្រង និងគេចពីការតាមចាប់ជាច្រើនឆ្នាំ ក៏ដូចជា ការដាក់បញ្ចូល SYNful Knock Firmware ដែលត្រូវបានប្រទះឃើញលើកដំបូងនៅឆ្នាំ២០១៥ ដោយ FireEye។ ការគំរាមកំហែងនេះរីករាលដាលលើសពីប្រតិបត្តិការរបស់រុស្ស៊ី ដោយហេគឃ័រគាំទ្រដោយរដ្ឋាភិបាលទំនងជាធ្វើយុទ្ធនាការគ្រប់គ្រងលើឧបករណ៍ណិតវើកស្រដៀងគ្នានេះ ដែលធ្វើឱ្យ Patch និងការពង្រឹងសុវត្ថិភាពមានសារៈសំខាន់សម្រាប់គ្រប់ស្ថាប័ន បើយោងតាម Cisco Talos។ ហេគឃ័រនឹងបន្តកេងចំណេញលើឧបករណ៍ដែលមិនទាន់ Patch និងបើកដំណើរការ Smart Install។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២១ ខែសីហា ឆ្នាំ២០២៥
