សង្គ្រាមស៊ីប៊ែរ៖ អាវុធដែលមើលមិនឃើញ — ពី Stuxnet ដល់ការវាយហេដ្ឋារចនាសម្ព័ន្ធ
សង្គ្រាមមិនចាំបាច់ប្រើគ្រាប់បែកទៀតទេ — កូដកុំព្យូទ័រអាចបំផ្លាញរោងចក្រនុយក្លេអ៊ែរ ឬផ្ដាច់ប្រេងឥន្ធនៈទាំងតំបន់បាន។ ការសិក្សាស៊ីជម្រៅអំពីអាវុធស៊ីប៊ែរ, ករណី Stuxnet និង NotPetya, ការវាយហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ និងអ្នកណាដែលឈានមុខ — ផ្អែកលើប្រភពដែលផ្ទៀងផ្ទាត់បាន។
«កូដមួយបន្ទាត់ អាចធ្វើអ្វីដែលគ្រាប់បែកធ្វើបាន» — នៅឆ្នាំ២០១០ មេរោគមួយឈ្មោះ Stuxnet បានបំផ្លាញម៉ាស៊ីនបង្វិលយូរ៉ាញ៉ូមអ៊ីរ៉ង់រាប់ពាន់ ដោយគ្មានការបាញ់អ្វីឡើយ។ សព្វថ្ងៃ សង្គ្រាមស៊ីប៊ែរកំពុងកើតឡើងជារៀងរាល់ថ្ងៃ ដោយភាគច្រើនយើងមិនដឹងខ្លួន។
តើហេតុអ្វីអាវុធដែលមើលមិនឃើញអាចគ្រោះថ្នាក់ជាងអាវុធធម្មតាខ្លះ?
ក្នុងស៊េរីនេះ យើងបានសិក្សាអាវុធរូបវន្តជាច្រើន — មីស៊ីល, ដ្រូន, ការការពារអវកាស។ អត្ថបទនេះងាកទៅសមរភូមិមួយដែលមើលមិនឃើញទាំងស្រុង៖ សង្គ្រាមស៊ីប៊ែរ (cyber warfare)។ ខុសពីការលួចព័ត៌មានធម្មតា សង្គ្រាមស៊ីប៊ែរសំដៅលើការប្រើកូដកុំព្យូទ័រជាអាវុធ ដើម្បីបំផ្លាញឬផ្ដាច់ប្រព័ន្ធរូបវន្តពិតប្រាកដ — រោងចក្រថាមពល, បំពង់ប្រេង, បណ្ដាញទឹក ឬប្រព័ន្ធបញ្ជាការយោធា។ ការយល់ដឹងអំពីវាសំខាន់ព្រោះវាថោក, លាក់ខ្លួនបានល្អ និងអាចប៉ះពាល់ដល់ជីវិតស៊ីវិលផ្ទាល់។ អត្ថបទនេះពន្យល់ជាភាសាខ្មែរ ដោយផ្អែកលើការរាយការណ៍ពី CSIS, CISA និងប្រភពដែលអាចផ្ទៀងផ្ទាត់បាន។
សង្គ្រាមស៊ីប៊ែរជាអ្វី? (និយមន័យត្រឹមត្រូវ)
មិនមែនរាល់ការវាយស៊ីប៊ែរជា«សង្គ្រាម»ទេ។ អ្នកជំនាញបែងចែកជាបីកម្រិត៖ ឧក្រិដ្ឋកម្មស៊ីប៊ែរ (cybercrime — លួចលុយ), ចារកម្មស៊ីប៊ែរ (cyber espionage — លួចព័ត៌មាន) និង សង្គ្រាមស៊ីប៊ែរ (cyber warfare — ការវាយដែលបង្កការខូចខាតរូបវន្ត ឬផ្ដាច់សេវាសំខាន់ដូចសកម្មភាពយោធា)។ ចំណុចសំខាន់គឺ៖ សង្គ្រាមស៊ីប៊ែរពិតប្រាកដអាចបំផ្លាញរបស់រូបវន្ត — មិនត្រឹមតែលួចទិន្នន័យទេ។
អ្វីដែលធ្វើឲ្យសង្គ្រាមស៊ីប៊ែរខុសពីសង្គ្រាមធម្មតាគឺបញ្ហា«attribution» (ការកំណត់ថាអ្នកណាជាអ្នកវាយ)។ អ្នកវាយអាចលាក់ខ្លួនឆ្លងកាត់ម៉ាស៊ីនក្នុងប្រទេសជាច្រើន ធ្វើឲ្យការចោទប្រកាន់ពិបាក និងការសងសឹកស្មុគស្មាញ។
| កម្រិត | គោលបំណង | ឧទាហរណ៍ |
|---|---|---|
| ឧក្រិដ្ឋកម្មស៊ីប៊ែរ | លុយ (financial) | Ransomware លួចទារប្រាក់ |
| ចារកម្មស៊ីប៊ែរ | ព័ត៌មាន (espionage) | លួចឯកសាររដ្ឋាភិបាល |
| សង្គ្រាមស៊ីប៊ែរ | បំផ្លាញ/ផ្ដាច់សេវា | Stuxnet, NotPetya, Viasat |
អាវុធស៊ីប៊ែរមានប្រភេទអ្វីខ្លះ?
អាវុធស៊ីប៊ែរមិនមែនមានតែមួយប្រភេទទេ។ ការយល់ពីភាពខុសគ្នាជួយឲ្យយើងយល់ថាការវាយនីមួយៗមានគោលបំណងខុសគ្នា៖
អាវុធស៊ីប៊ែរខ្លាំងបំផុតមិនមែនដែលលាន់ខ្លាំងជាងគេទេ — គឺដែលលាក់ខ្លួនបានយូរជាងគេ។
ករណីសិក្សាទី១៖ Stuxnet — អាវុធស៊ីប៊ែរដំបូងបង្អស់ (២០១០)
នៅឆ្នាំ២០១០ អ្នកស្រាវជ្រាវបានរកឃើញមេរោគដ៏ស្មុគស្មាញមួយឈ្មោះ Stuxnet — ជាអាវុធស៊ីប៊ែរដំបូងគេដែលត្រូវបានគេស្គាល់ ដែលអាចបំផ្លាញឧបករណ៍រូបវន្ត។ តាម ការចងក្រងព័ត៌មាន និង IEEE Spectrum Stuxnet បានវាយគោលដៅរោងចក្របំប្លែងយូរ៉ាញ៉ូមអ៊ីរ៉ង់នៅ Natanz ដោយវាយPLC (ឧបករណ៍បញ្ជាឧស្សាហកម្ម) ដែលគ្រប់គ្រងម៉ាស៊ីនបង្វិលយូរ៉ាញ៉ូម (centrifuge)។
ភាពឆ្លាតវៃរបស់វាគឺ៖ វាធ្វើឲ្យម៉ាស៊ីនបង្វិលលឿនពេក ឬយឺតពេករហូតខូច តែបង្ហាញលេខធម្មតាដល់អ្នកត្រួតពិនិត្យ។ វាត្រូវបានគេជឿថាចូលតាមUSB (ព្រោះប្រព័ន្ធនេះផ្ដាច់ពីអ៊ីនធឺណិត)។ តាមរបាយការណ៍ IAEA នៅឆ្នាំ២០១០ មានម៉ាស៊ីនបង្វិលខូចខាតប្រហែល ១,០០០ គ្រឿង។ អ្នកវិភាគភាគច្រើនជឿថាវាជាស្នាដៃរួមរបស់អាមេរិក និងអ៊ីស្រាអែល — តែគ្មានការទទួលស្គាល់ជាផ្លូវការ (យើងសម្គាល់ថាជា«ការជឿជាក់យ៉ាងទូលំទូលាយ» មិនមែនការពិតបញ្ជាក់ទេ)។
Stuxnet បង្ហាញថាកូដអាចធ្វើអ្វីដែលពីមុនត្រូវការការទម្លាក់គ្រាប់បែកដើម្បីធ្វើ។
ករណីសិក្សាទី២៖ NotPetya — ការវាយដ៏បំផ្លិចបំផ្លាញបំផុត (២០១៧)
នៅខែមិថុនា ២០១៧ ការវាយស៊ីប៊ែរមួយឈ្មោះ NotPetya បានបង្កការខូចខាតជាង ១០ ពាន់លានដុល្លារ ទូទាំងពិភពលោក — ការវាយស៊ីប៊ែរដែលចំណាយថ្លៃបំផុតក្នុងប្រវត្តិសាស្ត្រ។ តាម ការចងក្រងព័ត៌មាន វាក្លែងធ្វើជា ransomware (ទារលុយ) តែជាក់ស្ដែងជាមេរោគលុប (wiper) — គោលបំណងពិតគឺបំផ្លាញ មិនមែនទារលុយទេ។
វាចាប់ផ្ដើមនៅអ៊ុយក្រែន តាមរយៈកម្មវិធីគណនេយ្យ M.E.Doc ដែលត្រូវបានគេលួចដាក់មេរោគ។ អាមេរិក, EU និងចក្រភពអង់គ្លេសបានចោទប្រកាន់ថាជាស្នាដៃរបស់ក្រុម Sandworm នៃស៊ើបការណ៍យោធារុស្ស៊ី (GRU)។ ក្រុមហ៊ុនធំៗរងការខូចខាតធ្ងន់ធ្ងរ៖ ក្រុមហ៊ុនដឹកជញ្ជូន Maersk ត្រូវបិទប្រព័ន្ធ IT ទាំងស្រុង (ប៉ះពាល់កំពង់ផែ ៧៦ ជុំវិញពិភពលោក), រួមជាមួយក្រុមហ៊ុនឱសថ Merck និង FedEx (ខូចខាតប្រហែល ៣០០ លានដុល្លារក្នុងម្នាក់ៗ)។
ការខូចខាតរាលដាល
NotPetya បង្ហាញពីគ្រោះថ្នាក់ដ៏ធំមួយនៃអាវុធស៊ីប៊ែរ៖ វាមិនចេះគោរពព្រំដែន។ ទោះបីគោលដៅដំបូងជាអ៊ុយក្រែន វាបានរាលដាលទៅក្រុមហ៊ុនស៊ីវិលទូទាំងពិភពលោកដែលគ្មានពាក់ព័ន្ធអ្វីនឹងសង្គ្រាមឡើយ។
អាវុធស៊ីប៊ែរដូច NotPetya មិនចេះឈប់ត្រឹមគោលដៅដំបូងទេ — វាអាចប៉ះពាល់ដល់យើងទាំងអស់គ្នា។
ការវាយហេដ្ឋារចនាសម្ព័ន្ធសំខាន់៖ ពីបំពង់ប្រេងដល់ទូរគមនាគមន៍
គោលដៅគ្រោះថ្នាក់បំផុតរបស់សង្គ្រាមស៊ីប៊ែរគឺហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ (critical infrastructure) — ប្រព័ន្ធដែលជីវិតស៊ីវិលពឹងផ្អែក៖ អគ្គិសនី, ទឹក, ធនាគារ, ទូរគមនាគមន៍។ ករណីជាក់ស្ដែងបី៖
Colonial Pipeline (ឧសភា ២០២១)
ការវាយ ransomware ដោយក្រុម DarkSide បានបង្ខំឲ្យបំពង់ប្រេងធំបំផុតរបស់អាមេរិកបិទដំណើរការជាច្រើនថ្ងៃ បណ្ដាលឲ្យមានការភ័យស្លន់ស្លោទិញប្រេងនៅឆ្នេរខាងកើត។ ក្រុមហ៊ុនបានបង់ថ្លៃលោះប្រហែល ៤.៤ លានដុល្លារ (ឯកសារករណី)។
Viasat / AcidRain (២៤ កុម្ភៈ ២០២២)
ដូចដែលយើងបានរៀបរាប់ក្នុងអត្ថបទអវកាស — មេរោគលុប AcidRain បានបិទម៉ូដឹមផ្កាយរណប KA-SAT រាប់ម៉ឺន នៅម៉ោងដំបូងនៃការលុកលុយអ៊ុយក្រែន ធ្វើឲ្យកងទ័ពអ៊ុយក្រែនខ្វះការទំនាក់ទំនងបញ្ជាការ។ ចោទប្រកាន់ជាផ្លូវការថាជាស្នាដៃ GRU រុស្ស៊ី។
Volt / Salt Typhoon (២០២៣–២០២៦)
ក្រុមចិន Volt Typhoon ប្រើវិធី «living-off-the-land» (ប្រើឧបករណ៍ស្រាប់ក្នុងប្រព័ន្ធ) ដើម្បីលាក់ខ្លួនក្នុងហេដ្ឋារចនាសម្ព័ន្ធអាមេរិក (អគ្គិសនី, ទឹក, ដឹកជញ្ជូន) រយៈពេលយូរដោយមិនវាយភ្លាម — ត្រៀមខ្លួនសម្រាប់វិបត្តិអនាគត។ ក្រុម Salt Typhoon បានជ្រៀតចូលបណ្ដាញទូរគមនាគមន៍ (CISA)។
អ្នកណាដែលឈានមុខ? ទិដ្ឋភាពការវាយដោយរដ្ឋ
សង្គ្រាមស៊ីប៊ែរសព្វថ្ងៃកំពុងកើនឡើងយ៉ាងខ្លាំង។ តាមការរាយការណ៍ឆ្នាំ២០២៥–២០២៦ ប្រហែល ៣៩% នៃការវាយស៊ីប៊ែរធំៗក្នុងឆ្នាំ២០២៥ ត្រូវបានឧបត្ថម្ភដោយរដ្ឋ (state-sponsored) — កម្រិតខ្ពស់បំផុតដែលធ្លាប់កត់ត្រា។ ប្រទេសចំនួន ៧៦ ត្រូវបានប៉ះពាល់ដោយប្រតិបត្តិការស៊ីប៊ែររដ្ឋ (ធៀបនឹង ៦២ ក្នុងឆ្នាំមុន)។ អាមេរិក, ចិន និងរុស្ស៊ីរួមគ្នាស្មើនឹងប្រហែល ៦១% នៃសកម្មភាពស៊ីប៊ែរដែលសង្កេតឃើញ។
និន្នាការសំខាន់ពីរ៖ ទីមួយ ការវាយដោយមានការជម្រុញផ្នែកភូមិសាស្ត្រនយោបាយកំពុងកើន (ប្រហែល ៤៣% នៃការវាយ ransomware ក្នុងឆ្នាំ២០២៥ មានគោលបំណងនយោបាយ មិនមែនលុយ); ទីពីរ ការវាយបែបមេរោគលុប (wiper) ដែលភ្ជាប់នឹងគោលដៅរដ្ឋបានកើនប្រហែល ៥១% ក្នុងពាក់កណ្ដាលដំបូងឆ្នាំ២០២៥។ តួលេខទាំងនេះអាចខុសគ្នាតាមប្រភព ព្រោះការវាស់ស៊ីប៊ែរពិបាក — តែនិន្នាការច្បាស់ថាវាកំពុងកើន។
| សូចនាករ | តួលេខ (រាយការណ៍) |
|---|---|
| ការវាយធំឧបត្ថម្ភដោយរដ្ឋ | ~៣៩% (កម្រិតខ្ពស់បំផុត) |
| ប្រទេសត្រូវប៉ះពាល់ | ៧៦ (ធៀប ៦២ ឆ្នាំមុន) |
| អាមេរិក+ចិន+រុស្ស៊ី | ~៦១% នៃសកម្មភាព |
| Ransomware ជម្រុញនយោបាយ | ~៤៣% |
| មេរោគលុប (wiper) កើន | ~៥១% (ពាក់កណ្ដាលដំបូង ២០២៥) |
មេរៀនសំខាន់ — ហេតុអ្វីវាពាក់ព័ន្ធនឹងយើងគ្រប់គ្នា
សង្គ្រាមស៊ីប៊ែរខុសពីសង្គ្រាមដទៃត្រង់ថាព្រំដែនមិនការពារយើងទេ។ ការវាយដែលចាប់ផ្ដើមនៅប្រទេសមួយ (ដូច NotPetya) អាចរាលដាលភ្លាមៗដល់ធនាគារ, មន្ទីរពេទ្យ និងក្រុមហ៊ុនស៊ីវិលជុំវិញពិភពលោក។ សម្រាប់បុគ្គលម្នាក់ៗ ការការពារជាមូលដ្ឋាន — ពាក្យសម្ងាត់ខ្លាំង, ការផ្ទៀងផ្ទាត់ពីរជាន់ (2FA), ការប្រុងប្រយ័ត្នចំពោះ phishing និងការធ្វើបច្ចុប្បន្នភាពកម្មវិធី — នៅតែជាខ្សែការពារសំខាន់បំផុត។
ក៏ប៉ុន្តែត្រូវអានព័ត៌មានស៊ីប៊ែរដោយប្រុងប្រយ័ត្ន៖ ការចោទប្រកាន់ថា«ប្រទេស X វាយ» ជាញឹកញាប់ពិបាកបញ្ជាក់ ១០០% ព្រោះអ្នកវាយលាក់ខ្លួនបានល្អ។ យើងសម្គាល់ចំណុចដែលត្រូវបានចោទប្រកាន់ជាផ្លូវការ (ដូច Viasat, NotPetya) ចេញពី«ការជឿជាក់ទូលំទូលាយ» (ដូច Stuxnet)។ ការយល់ពីភាពខុសគ្នានេះសំខាន់ក្នុងការយល់ស្ថានការណ៍ពិត។
អាវុធខ្លាំងបំផុតក្នុងសតវត្សទី២១ អាចជាកូដមួយបន្ទាត់ — មិនមែនគ្រាប់បែកទេ។
ចំណុចគួរចងចាំ
សំណួរសម្រាប់អ្នកអាន
- ហេតុអ្វីបញ្ហា «attribution» (ការកំណត់អ្នកវាយ) ធ្វើឲ្យសង្គ្រាមស៊ីប៊ែរខុសពីសង្គ្រាមធម្មតា?
- តើករណី Stuxnet និង NotPetya បង្ហាញអ្វីខ្លះអំពីថាហេតុអ្វីអាវុធស៊ីប៊ែរអាចគ្រោះថ្នាក់ជាងអាវុធធម្មតាខ្លះ?
- បើអ្នកជាអ្នករៀបចំគោលនយោបាយ តើគួរវិនិយោគលើការវាយស៊ីប៊ែរ (លំពែង) ឬការការពារស៊ីប៊ែរ (ខែល) មុន? ព្រោះអ្វី?
