สรุปสั้น

กลุ่มแฮ็กเกอร์ Handala ซึ่งเชื่อมโยงกับหน่วยข่าวกรองกระทรวงข่าวกรองและความมั่นคงแห่งชาติ (MOIS) ของอิหร่าน อ้างว่าเจาะระบบของบริษัท California Water Service หรือ Cal Water ซึ่งเป็นหนึ่งในบริษัทสาธารณูปโภคน้ำประปาที่ใหญ่ที่สุดของสหรัฐฯ ให้บริการลูกค้าราว 2 ล้านรายใน 100 ชุมชนทั่วรัฐแคลิฟอร์เนีย โดยกลุ่มได้เผยแพร่ข้อมูลที่ขโมยมาขนาด 5 GB ซึ่งรวมถึงข้อมูลส่วนบุคคล (PII) ของลูกค้า เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัญชี และประวัติการชำระเงิน ตลอดจน admin credentials ของระบบ RTKBase ที่ใช้เป็นแพลตฟอร์มสถานีฐาน GNSS

การวิเคราะห์โดยบริษัท Dataminr ชี้ว่ากลุ่ม Handala น่าจะเจาะเข้าระบบผ่านแพลตฟอร์ม RTKBase ของบริษัท Cal Water เขต Chico ก่อน จากนั้นจึงเคลื่อนย้ายด้านข้าง (lateral movement) ไปยังระบบเรียกเก็บเงินของลูกค้า ทั้งนี้กลุ่ม Handala เป็นที่รู้จักในวงการความปลอดภัยไซเบอร์ในฐานะกลุ่มที่มีความสามารถด้านมัลแวร์ทำลายล้าง (wiper) หลายตัว และมีชื่อเรียกอื่น ๆ จากบริษัทวิจัยต่าง ๆ เช่น Banished Kitten, Void Manticore และ Storm-0842 จนถึงขณะนี้บริษัท Cal Water ยังไม่ได้ออกแถลงการณ์ยืนยันเหตุการณ์ดังกล่าวต่อสาธารณะ

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่ากลุ่มแฮ็กเกอร์ Handala ที่มีความเชื่อมโยงกับหน่วยข่าวกรอง MOIS ของอิหร่าน ได้อ้างความรับผิดชอบในการเจาะระบบของบริษัท California Water Service (Cal Water) ซึ่งเป็นหนึ่งในบริษัทสาธารณูปโภคน้ำประปาที่มีนักลงทุนเป็นเจ้าของ (investor-owned) ขนาดใหญ่ที่สุดในสหรัฐฯ ให้บริการลูกค้าประมาณ 2 ล้านรายใน 100 ชุมชนทั่วรัฐแคลิฟอร์เนีย

กลุ่ม Handala เผยแพร่ข้อมูลที่อ้างว่าขโมยมาจาก Cal Water ขนาด 5 GB ซึ่งประกอบด้วยข้อมูลส่วนบุคคล (PII) ของลูกค้าจำนวนมาก ได้แก่ ชื่อ-นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัญชีผู้ใช้น้ำ และประวัติการชำระเงิน นอกจากนี้ยังรวมถึง admin credentials ของระบบ RTKBase ซึ่งเป็นแพลตฟอร์มโอเพนซอร์สสำหรับสถานีฐาน GNSS ที่ใช้ในการส่งข้อมูลแก้ไขตำแหน่ง GPS รวมถึงรหัสผ่าน NTRIP source และข้อมูล IP enumeration ครอบคลุม 7 เขตบริการ

จากการวิเคราะห์ของบริษัท Dataminr พบว่ากลุ่ม Handala น่าจะเจาะเข้าระบบผ่านอินสแตนซ์ RTKBase ของบริษัท Cal Water เขต Chico ที่ทำงานต่อเนื่องมาแล้วประมาณ 783 ชั่วโมง โดย RTKBase ดังกล่าวสตรีมข้อมูลแก้ไขตำแหน่ง GPS ผ่าน mountpoint ทั้ง 7 เขต จากนั้นผู้โจมตีจึงเคลื่อนย้ายด้านข้าง (lateral movement) จากระบบ RTKBase ไปยังระบบเรียกเก็บเงินของลูกค้า ทำให้สามารถเข้าถึงข้อมูล PII ได้จำนวนมาก ทั้งนี้บริษัท Cal Water ยังไม่ได้ออกแถลงการณ์ยืนยันการถูกโจมตีต่อสาธารณะ

วิธีการโจมตี

จากการวิเคราะห์ของบริษัท Dataminr กลุ่ม Handala น่าจะใช้แนวทางโจมตีเป็นขั้นตอนดังนี้ ขั้นแรก ผู้โจมตีเจาะเข้าอินสแตนซ์ RTKBase ของบริษัท Cal Water เขต Chico ซึ่งเป็นแพลตฟอร์มสถานีฐาน GNSS ที่เชื่อมต่ออินเทอร์เน็ต ระบบนี้ทำงานต่อเนื่องมาแล้วราว 783 ชั่วโมง และสตรีมข้อมูลแก้ไขตำแหน่ง GPS ผ่าน mountpoint ครอบคลุม 7 เขตบริการ เมื่อเข้าถึงระบบ RTKBase ได้แล้ว ผู้โจมตีจึงเคลื่อนย้ายด้านข้าง (lateral movement) ไปยังระบบเรียกเก็บเงินของลูกค้า ซึ่งเป็นจุดที่เก็บข้อมูลส่วนบุคคล ประวัติการชำระเงิน และข้อมูลบัญชีผู้ใช้น้ำ

กลุ่ม Handala เป็นที่รู้จักในฐานะกลุ่มที่มีคลังมัลแวร์ทำลายล้าง (wiper) หลายตัว ได้แก่ win.handala, Handala Wiper, Hamsa Wiper และ wiper ที่สามารถเขียนทับ MBR (Master Boot Record) ทำให้เครื่องเป้าหมายไม่สามารถบูตได้ อย่างไรก็ตามในกรณีนี้ยังไม่มีรายงานว่ามีการใช้ wiper โจมตีระบบของ Cal Water กลุ่มนี้มีชื่อเรียกจากบริษัทวิจัยด้านความปลอดภัยต่าง ๆ หลายชื่อ ได้แก่ Banished Kitten, Dune, Void Manticore, Storm-0842, Red Sandstorm และ Homeland Justice

ผลกระทบต่อไทย

เหตุการณ์นี้เป็นสัญญาณเตือนสำหรับหน่วยงานสาธารณูปโภคในประเทศไทย โดยเฉพาะระบบประปาและระบบโครงสร้างพื้นฐานสำคัญที่ใช้อุปกรณ์ IoT หรือแพลตฟอร์มโอเพนซอร์สอย่าง RTKBase ที่เชื่อมต่ออินเทอร์เน็ต เนื่องจากอุปกรณ์เหล่านี้มักไม่ได้รับการอัปเดตหรือตรวจสอบด้านความปลอดภัยอย่างสม่ำเสมอ และอาจกลายเป็นจุดเริ่มต้นให้ผู้โจมตีเข้าถึงระบบหลักได้ แม้กลุ่ม Handala จะมุ่งเป้าหมายในตะวันออกกลางและสหรัฐฯ เป็นหลัก แต่เทคนิคการโจมตีผ่านระบบ OT/ICS ที่เปิดเผยบนอินเทอร์เน็ตเป็นภัยคุกคามที่กลุ่มอื่น ๆ สามารถนำไปใช้ได้เช่นกัน

คำแนะนำ

  • หน่วยงานสาธารณูปโภคควรตรวจสอบว่าระบบ OT/ICS และแพลตฟอร์มสถานีฐาน GNSS ไม่ถูกเปิดเผยบนอินเทอร์เน็ตโดยไม่จำเป็น และจำกัดการเข้าถึงด้วย VPN หรือ allowlist
  • แยกเครือข่ายระบบ OT ออกจากระบบ IT (เช่น ระบบเรียกเก็บเงิน) อย่างเข้มงวด เพื่อป้องกันการเคลื่อนย้ายด้านข้างจากระบบหนึ่งไปอีกระบบหนึ่ง
  • เปลี่ยนรหัสผ่านเริ่มต้นของระบบ RTKBase, NTRIP source และอุปกรณ์ IoT ทุกตัว พร้อมเปิดใช้งาน MFA หากรองรับ
  • ตรวจสอบ uptime ของระบบ OT ที่ยาวนานผิดปกติ เนื่องจากอาจบ่งชี้ว่าระบบไม่ได้รับการบำรุงรักษาหรืออัปเดตแพตช์เป็นเวลานาน
  • จัดทำแผนรับมือเหตุการณ์สำหรับระบบ OT/ICS โดยเฉพาะ รวมถึงการตรวจจับและป้องกันมัลแวร์ wiper ที่อาจเขียนทับ MBR

แหล่งอ้างอิง