ភាពវៃឆ្លាតទិន្នន័យជំនាន់

សន្តិសុខ​តាម​ប្រព័ន្ធ​អ៊ីនធឺណិត

មេរោគ ICS ថ្មីដ៏គ្រោះថ្នាក់ កំណត់គោលដៅ Orgs នៅក្នុងប្រទេសរុស្ស៊ី និងអ៊ុយក្រែន

បោះពុម្ពផ្សាយឡើងវិញដោយផ្លាតូ
បោះពុម្ពផ្សាយឡើងវិញដោយផ្លាតូ

កាលបរិច្ឆេទ:

ទស្សនៈ: 0

ឧបករណ៍មេរោគដ៏គ្រោះថ្នាក់ចំនួនពីរដែលផ្តោតលើប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម (ICS) និងបរិស្ថានបច្ចេកវិទ្យាប្រតិបត្តិការ (OT) នៅអឺរ៉ុបគឺជាការបង្ហាញចុងក្រោយបំផុតនៃការវាយប្រហារតាមអ៊ីនធឺណិតពីសង្គ្រាមនៅអ៊ុយក្រែន។

ឧបករណ៍មួយក្នុងចំណោមឧបករណ៍ដែលត្រូវបានគេហៅថា "កាប៉េកា” ហាក់ដូចជាមានទំនាក់ទំនងជាមួយ Sandworm ដែលជាតួអង្គគំរាមកំហែងគាំទ្រដោយរដ្ឋរុស្ស៊ីដ៏ច្រើនដែលក្រុមសន្តិសុខ Mandiant របស់ Google នៅសប្តាហ៍នេះពណ៌នាថាជាប្រទេសនេះ។ អង្គភាពវាយប្រហារតាមអ៊ីនធឺណិតបឋមនៅអ៊ុយក្រែន. អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខមកពី WithSecure ដែលមានមូលដ្ឋាននៅហ្វាំងឡង់បានប្រទះឃើញការវាយប្រហារខាងក្រោយដែលមានលក្ខណៈពិសេសក្នុងឆ្នាំ 2023 ប្រឆាំងនឹងក្រុមហ៊ុនដឹកជញ្ជូនអេស្តូនី និងគោលដៅផ្សេងទៀតនៅអឺរ៉ុបខាងកើត ហើយយល់ថាវាជាការគំរាមកំហែងសកម្ម និងកំពុងបន្ត។

មេរោគបំផ្លាញ

មេរោគផ្សេងទៀត - ត្រូវបានគេដាក់ឈ្មោះថាពណ៌ Fuxnet — គឺជាឧបករណ៍ដែលក្រុមគំរាមកំហែងដែលគាំទ្រដោយរដ្ឋាភិបាលអ៊ុយក្រែន Blackjack ទំនងជាបានប្រើក្នុងការវាយប្រហារបំផ្លិចបំផ្លាញនាពេលថ្មីៗនេះប្រឆាំងនឹងក្រុមហ៊ុន Moskollector ដែលជាក្រុមហ៊ុនដែលរក្សាបណ្តាញឧបករណ៍ចាប់សញ្ញាដ៏ធំមួយសម្រាប់ត្រួតពិនិត្យប្រព័ន្ធលូរបស់ទីក្រុងម៉ូស្គូ។ អ្នកវាយប្រហារបានប្រើ Fuxnet ដើម្បីជោគជ័យនូវអ្វីដែលពួកគេអះអាងថាជាច្រកចេញចូលឧបករណ៍ចាប់សញ្ញាសរុបចំនួន 1,700 នៅលើបណ្តាញរបស់ Moskollector ហើយនៅក្នុងដំណើរការបានបិទឧបករណ៍ចាប់សញ្ញាចំនួន 87,000 ដែលភ្ជាប់ទៅច្រកទ្វារទាំងនេះ។

Sharon Brizinov នាយកផ្នែកស្រាវជ្រាវភាពងាយរងគ្រោះនៅក្រុមហ៊ុនសន្តិសុខ ICS Claroty ដែលថ្មីៗនេះបានស៊ើបអង្កេតការវាយប្រហាររបស់ Blackjack បាននិយាយថា "មុខងារចម្បងរបស់ Fuxnet ICS malware គឺខូច និងរារាំងការចូលទៅកាន់ sensor gateways ហើយព្យាយាមបង្ខូចឧបករណ៍ចាប់សញ្ញារូបវិទ្យាផងដែរ។ Brizinov និយាយថា ជាលទ្ធផលនៃការវាយប្រហារ Moskollector ទំនងជាត្រូវទៅដល់ឧបករណ៍ដែលរងផលប៉ះពាល់រាប់ពាន់គ្រឿង ហើយជំនួសវាដោយឡែកពីគ្នា។ "ដើម្បីស្តារលទ្ធភាព [របស់ Moskollector] នៃការត្រួតពិនិត្យ និងដំណើរការប្រព័ន្ធលូជុំវិញទីក្រុងម៉ូស្គូ ពួកគេនឹងត្រូវការទិញ និងកំណត់ប្រព័ន្ធទាំងមូលឡើងវិញ។"

Kapeka និង Fuxnet គឺជាឧទាហរណ៍នៃការវាយប្រហារតាមអ៊ីនធឺណិតយ៉ាងទូលំទូលាយពីជម្លោះរវាងរុស្ស៊ី និងអ៊ុយក្រែន។ ចាប់តាំងពីសង្រ្គាមរវាងប្រទេសទាំងពីរបានចាប់ផ្តើមនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2022 — ហើយសូម្បីតែមុននោះ ក្រុមហេគឃ័រមកពីភាគីទាំងពីរបានបង្កើត និងប្រើប្រាស់ឧបករណ៍មេរោគជាច្រើនប្រឆាំងនឹងគ្នាទៅវិញទៅមក។ ឧបករណ៍ជាច្រើន រួមទាំង wipers និង ransomware, មានការបំផ្លិចបំផ្លាញ ឬរំខាននៅក្នុងធម្មជាតិ និងផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ICS និងបរិស្ថាន OT នៅក្នុងប្រទេសទាំងពីរ។

ប៉ុន្តែ​នៅ​ក្នុង​ឱកាស​មួយ​ចំនួន​ ការ​វាយ​ប្រហារ​ដែល​ពាក់​ព័ន្ធ​នឹង​ឧបករណ៍​ដែល​កើត​ចេញ​ពី​ជម្លោះ​ដ៏​រ៉ាំរ៉ៃ​រវាង​ប្រទេស​ទាំង​ពីរ​មាន ប៉ះពាល់ដល់ជនរងគ្រោះយ៉ាងទូលំទូលាយ. ឧទាហរណ៍គួរឱ្យកត់សម្គាល់បំផុតគឺ NotPetya ដែលជាឧបករណ៍មេរោគដែលក្រុម Sandworm បង្កើតឡើងដំបូងសម្រាប់ប្រើប្រាស់ក្នុងប្រទេសអ៊ុយក្រែន ប៉ុន្តែដែលបានបញ្ចប់ការប៉ះពាល់ដល់ប្រព័ន្ធរាប់ម៉ឺននៅទូទាំងពិភពលោកក្នុងឆ្នាំ 2017 ។ នៅឆ្នាំ 2023 មជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតជាតិរបស់ចក្រភពអង់គ្លេស (NCSC) និង ទីភ្នាក់ងារសន្តិសុខជាតិអាមេរិក (NSA) បានព្រមានអំពីឧបករណ៍មេរោគ Sandworm ដែលត្រូវបានគេហៅថា "Infamous Chisel" ដែលបង្កការគំរាមកំហែងដល់អ្នកប្រើប្រាស់ Android នៅគ្រប់ទីកន្លែង។

Kapeka: ការជំនួសដង្កូវនាងសម្រាប់ GreyEnergy?

យោងតាម ​​WithSecure Kapeka គឺជា backdoor ប្រលោមលោក ដែលអ្នកវាយប្រហារអាចប្រើជាប្រអប់ឧបករណ៍ដំណាក់កាលដំបូង និងសម្រាប់អនុញ្ញាតឱ្យមានការតស៊ូរយៈពេលវែងនៅលើប្រព័ន្ធជនរងគ្រោះ។ មេរោគរួមមានសមាសធាតុ dropper សម្រាប់ទម្លាក់ backdoor នៅលើម៉ាស៊ីនគោលដៅ ហើយបន្ទាប់មកយកវាចេញ។ Mohammad Kazem Hassan Nejad អ្នកស្រាវជ្រាវនៅ WithSecure មានប្រសាសន៍ថា "Kapeka គាំទ្រមុខងារជាមូលដ្ឋានទាំងអស់ដែលអនុញ្ញាតឱ្យវាដំណើរការជា backdoor ដែលអាចបត់បែនបាននៅក្នុងអចលនទ្រព្យរបស់ជនរងគ្រោះ" ។

សមត្ថភាពរបស់វារួមមានការអាន និងសរសេរឯកសារពី និងទៅឌីស ប្រតិបត្តិពាក្យបញ្ជាសែល និងការបើកដំណើរការបន្ទុក និងដំណើរការព្យាបាទ រួមទាំងប្រព័ន្ធគោលពីរដែលរស់នៅក្រៅដី។ លោក Nejad មានប្រសាសន៍ថា “បន្ទាប់ពីទទួលបានសិទ្ធិចូលដំណើរការដំបូង ប្រតិបត្តិកររបស់ Kapeka អាចប្រើប្រាស់ Backdoor ដើម្បីបំពេញការងារជាច្រើននៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ដូចជាការរកឃើញ ការដាក់ពង្រាយមេរោគបន្ថែម និងដំណាក់កាលបន្ទាប់នៃការវាយប្រហាររបស់ពួកគេ” លោក Nejad បាននិយាយ។

យោងទៅតាម Nejad, WithSecure អាចស្វែងរកភស្តុតាងដែលបង្ហាញពីទំនាក់ទំនងជាមួយ Sandworm និងក្រុម មេរោគ GreyEnergy លោក Nejad កត់សម្គាល់ថា "យើងជឿថា Kapeka អាចជាឧបករណ៍ជំនួស GreyEnergy នៅក្នុងឃ្លាំងអាវុធរបស់ Sandworm" លោក Nejad កត់សំគាល់។ ទោះបីជាគំរូមេរោគទាំងពីរមិនមានប្រភពមកពីកូដប្រភពដូចគ្នាក៏ដោយ ក៏មានការត្រួតគ្នានៃគំនិតមួយចំនួនរវាង Kapeka និង GreyEnergy ដូចជាមានការត្រួតគ្នាខ្លះរវាង GreyEnergy និងអ្នកកាន់តំណែងមុនរបស់វា។ ថាមពលខ្មៅ. លោក Nejad បាននិយាយថា "នេះបង្ហាញថា Sandworm អាចនឹងធ្វើឱ្យប្រសើរឡើងនូវឃ្លាំងអាវុធរបស់ពួកគេជាមួយនឹងឧបករណ៍ថ្មីតាមពេលវេលាដើម្បីសម្របខ្លួនជាមួយនឹងការផ្លាស់ប្តូរទេសភាពនៃការគំរាមកំហែង" Nejad និយាយ។

Fuxnet៖ ឧបករណ៍​សម្រាប់​រំខាន និង​បំផ្លាញ

ទន្ទឹមនឹងនេះដែរ Brizinov របស់ Clarity កំណត់អត្តសញ្ញាណ Fuxnet ជាមេរោគ ICS ដែលមានបំណងបង្កការខូចខាតដល់ឧបករណ៍ឧបករណ៍ចាប់សញ្ញាដែលផលិតដោយរុស្ស៊ីជាក់លាក់។ មេរោគនេះមានន័យសម្រាប់ដាក់ពង្រាយនៅលើច្រកផ្លូវដែលត្រួតពិនិត្យ និងប្រមូលទិន្នន័យពីឧបករណ៍ចាប់សញ្ញារាងកាយសម្រាប់ការជូនដំណឹងភ្លើង ការត្រួតពិនិត្យឧស្ម័ន ភ្លើង និងករណីប្រើប្រាស់ស្រដៀងគ្នា។

Brizinov និយាយថា "នៅពេលដែលមេរោគត្រូវបានដាក់ពង្រាយ វានឹងបិទច្រកចេញចូលដោយសរសេរជាន់លើបន្ទះឈីប NAND របស់វា និងបិទសមត្ថភាពចូលប្រើពីចម្ងាយខាងក្រៅ ដោយការពារប្រតិបត្តិករពីចម្ងាយគ្រប់គ្រងឧបករណ៍"។  

ម៉ូឌុលដាច់ដោយឡែកមួយបន្ទាប់មកព្យាយាមជន់លិចឧបករណ៍ចាប់សញ្ញារាងកាយដោយខ្លួនឯងជាមួយនឹងចរាចរណ៍ M-Bus ដែលគ្មានប្រយោជន៍។ M-Bus គឺជាពិធីការទំនាក់ទំនងអ៊ឺរ៉ុបសម្រាប់ការអានពីចម្ងាយ ឧស្ម័ន ទឹក អគ្គិសនី និងម៉ែត្រផ្សេងទៀត។ Brizinov និយាយថា "គោលបំណងសំខាន់មួយនៃមេរោគ Fuxnet ICS របស់ Blackjack គឺដើម្បីវាយប្រហារ និងបំផ្លាញឧបករណ៍ចាប់សញ្ញារាងកាយខ្លួនឯង បន្ទាប់ពីទទួលបានសិទ្ធិចូលដំណើរការទៅកាន់ច្រកទ្វាររបស់ឧបករណ៍ចាប់សញ្ញា"។ ដើម្បីធ្វើដូច្នេះ Blackjack បានជ្រើសរើស fuzz ឧបករណ៍ចាប់សញ្ញាដោយផ្ញើឱ្យពួកគេនូវចំនួនកញ្ចប់ M-Bus ដែលគ្មានដែនកំណត់។ គាត់និយាយថា "ជាខ្លឹមសារ BlackJack សង្ឃឹមថា តាមរយៈការបញ្ជូនកញ្ចប់ព័ត៌មាន M-Bus ចៃដន្យរបស់ឧបករណ៍ចាប់សញ្ញាដោយឥតឈប់ឈរ កញ្ចប់ព័ត៌មានទាំងនោះនឹងគ្របដណ្ដប់លើពួកវា ហើយអាចបង្កឱ្យមានភាពងាយរងគ្រោះដែលនឹងធ្វើឱ្យឧបករណ៍ចាប់សញ្ញាខូច ហើយដាក់វានៅក្នុងស្ថានភាពដែលមិនអាចដំណើរការបាន" ។

ចំណុចសំខាន់សម្រាប់អង្គការពីការវាយប្រហារបែបនេះ គឺត្រូវយកចិត្តទុកដាក់លើមូលដ្ឋានសុវត្ថិភាព។ ជាឧទាហរណ៍ Blackjack ហាក់ដូចជាទទួលបានសិទ្ធិជា root ទៅកាន់ច្រកចេញចូលរបស់ឧបករណ៍ចាប់សញ្ញាដោយបំពានលើព័ត៌មានសម្ងាត់ខ្សោយនៅលើឧបករណ៍។ ការវាយប្រហារនេះគូសបញ្ជាក់ពីមូលហេតុដែលវា "មានសារៈសំខាន់ក្នុងការរក្សាគោលការណ៍ពាក្យសម្ងាត់ល្អ ធ្វើឱ្យប្រាកដថាឧបករណ៍មិនចែករំលែកព័ត៌មានសម្ងាត់ដូចគ្នា ឬប្រើពាក្យសម្ងាត់លំនាំដើម" គាត់និយាយថា។ "វាមានសារៈសំខាន់ផងដែរក្នុងការដាក់ពង្រាយអនាម័យបណ្តាញ និងការបែងចែកល្អ ធ្វើឱ្យប្រាកដថាអ្នកវាយប្រហារនឹងមិនអាចផ្លាស់ទីនៅពេលក្រោយនៅក្នុងបណ្តាញ ហើយដាក់ពង្រាយមេរោគរបស់ពួកគេទៅកាន់ឧបករណ៍គែមទាំងអស់"។

spot_img

បញ្ញាចុងក្រោយ

spot_img

រក្សាសិទ្ធិ @ 2024 Plato Technologies Inc.

ជជែកជាមួយយើង

សួស្តី! តើខ្ញុំអាចជួយអ្នកដោយរបៀបណា?