ความฉลาดทางข้อมูลเชิงกำเนิด

Cyber Security

มัลแวร์ ICS ใหม่ที่เป็นอันตรายมุ่งเป้าไปที่องค์กรในรัสเซียและยูเครน

พิมพ์ซ้ำโดยเพลโต
พิมพ์ซ้ำโดยเพลโต

วันที่:

Views: 0

เครื่องมือมัลแวร์อันตรายสองตัวที่มุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) และเทคโนโลยีปฏิบัติการ (OT) ในยุโรป ถือเป็นสัญญาณล่าสุดของผลกระทบทางไซเบอร์จากสงครามในยูเครน

หนึ่งในเครื่องมือที่มีชื่อว่า “คาเปก้า” ดูเหมือนจะเชื่อมโยงกับ Sandworm ซึ่งเป็นผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐรัสเซียซึ่งกลุ่มรักษาความปลอดภัย Mandiant ของ Google ในสัปดาห์นี้อธิบายว่าเป็นภัยคุกคามของประเทศ หน่วยโจมตีทางไซเบอร์หลักในยูเครน- นักวิจัยด้านความปลอดภัยจาก WithSecure จากฟินแลนด์ พบว่าประตูหลังดังกล่าวมีการโจมตีบริษัทโลจิสติกส์ในเอสโตเนียและเป้าหมายอื่นๆ ในยุโรปตะวันออกในปี 2023 และมองว่ามันเป็นภัยคุกคามที่ยังคงดำเนินอยู่

มัลแวร์ทำลายล้าง

มัลแวร์ตัวอื่น — มีชื่อเรียกที่ค่อนข้างมีสีสัน ฟิกซ์เน็ต — เป็นเครื่องมือที่กลุ่มภัยคุกคาม Blackjack ที่ได้รับการสนับสนุนจากรัฐบาลยูเครน น่าจะใช้ในการโจมตีเชิงทำลายล้างต่อ Moskollector ซึ่งเป็นบริษัทที่ดูแลเครือข่ายเซ็นเซอร์ขนาดใหญ่สำหรับตรวจสอบระบบบำบัดน้ำเสียของมอสโก ผู้โจมตีใช้ Fuxnet เพื่อปิดกั้นสิ่งที่พวกเขาอ้างว่าเป็นเกตเวย์เซ็นเซอร์ทั้งหมด 1,700 ตัวบนเครือข่ายของ Moskollector และในกระบวนการนี้ได้ปิดการใช้งานเซ็นเซอร์ประมาณ 87,000 ตัวที่เชื่อมต่อกับเกตเวย์เหล่านี้

“ฟังก์ชันหลักของมัลแวร์ Fuxnet ICS กำลังสร้างความเสียหายและบล็อกการเข้าถึงเกตเวย์เซ็นเซอร์ และพยายามทำให้เซ็นเซอร์ทางกายภาพเสียหายเช่นกัน” Sharon Brizinov ผู้อำนวยการฝ่ายวิจัยช่องโหว่ของบริษัทรักษาความปลอดภัย Claroty ของ ICS กล่าว ซึ่งเพิ่งตรวจสอบการโจมตีของ Blackjack จากการโจมตีดังกล่าว Moskollector จะต้องเข้าถึงอุปกรณ์ที่ได้รับผลกระทบแต่ละเครื่องจากหลายพันเครื่องและเปลี่ยนอุปกรณ์ทีละเครื่อง Brizinov กล่าว “เพื่อฟื้นฟูความสามารถของ [Moskollector] ในการตรวจสอบและใช้งานระบบบำบัดน้ำเสียทั่วมอสโก พวกเขาจะต้องจัดหาและรีเซ็ตระบบทั้งหมด”

Kapeka และ Fuxnet เป็นตัวอย่างของผลกระทบทางไซเบอร์ในวงกว้างจากความขัดแย้งระหว่างรัสเซียและยูเครน นับตั้งแต่สงครามระหว่างทั้งสองประเทศเริ่มต้นในเดือนกุมภาพันธ์ 2022 — และก่อนหน้านั้น — กลุ่มแฮ็กเกอร์จากทั้งสองฝ่ายได้พัฒนาและใช้เครื่องมือมัลแวร์หลายอย่างต่อสู้กัน เครื่องมือมากมาย รวมถึงที่ปัดน้ำฝนและแรนซัมแวร์ มีลักษณะเป็นการทำลายหรือก่อกวน และกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญ, ICS และสภาพแวดล้อม OT ในทั้งสองประเทศเป็นหลัก

แต่หลายครั้งที่การโจมตีที่เกี่ยวข้องกับเครื่องมือที่เกิดจากความขัดแย้งอันยาวนานระหว่างทั้งสองประเทศเกิดขึ้น กระทบต่อเหยื่อเป็นวงกว้าง- ตัวอย่างที่โดดเด่นที่สุดคือ NotPetya ซึ่งเป็นเครื่องมือมัลแวร์ที่กลุ่ม Sandworm พัฒนาขึ้นเพื่อใช้ในยูเครน แต่สุดท้ายก็ส่งผลกระทบต่อระบบนับหมื่นทั่วโลกในปี 2017 ในปี 2023 ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักร (กปช.) และ US National Security Agency (NSA) เตือนชุดเครื่องมือมัลแวร์ Sandworm ที่มีชื่อว่า “Infamous Chisel” ที่เป็นภัยคุกคามต่อผู้ใช้ Android ทุกที่

Kapeka: การแทนที่หนอนทรายสำหรับ GreyEnergy?

จากข้อมูลของ WithSecure นั้น Kapeka เป็นแบ็คดอร์ตัวใหม่ที่ผู้โจมตีสามารถใช้เป็นชุดเครื่องมือในระยะเริ่มแรกและช่วยให้สามารถคงอยู่ในระบบของเหยื่อได้ในระยะยาว มัลแวร์มีองค์ประกอบหยดสำหรับวางแบ็คดอร์บนเครื่องเป้าหมายแล้วลบตัวเองออก “Kapeka รองรับฟังก์ชันพื้นฐานทั้งหมดที่ช่วยให้ทำงานเป็นประตูหลังที่ยืดหยุ่นในที่ดินของเหยื่อได้” Mohammad Kazem Hassan Nejad นักวิจัยจาก WithSecure กล่าว

ความสามารถของมันรวมถึงการอ่านและเขียนไฟล์จากและลงดิสก์ การรันคำสั่งเชลล์ และการเปิดตัวเพย์โหลดและกระบวนการที่เป็นอันตราย รวมถึงไบนารีที่อาศัยอยู่นอกโลก “หลังจากได้รับการเข้าถึงครั้งแรก ผู้ปฏิบัติงานของ Kapeka สามารถใช้แบ็คดอร์เพื่อทำงานที่หลากหลายบนเครื่องของเหยื่อ เช่น การค้นหา การติดตั้งมัลแวร์เพิ่มเติม และการโจมตีขั้นต่อไป” Nejad กล่าว

จากข้อมูลของ Nejad นั้น WithSecure สามารถค้นหาหลักฐานที่บ่งบอกถึงความเชื่อมโยงกับ Sandworm และกลุ่มได้ มัลแวร์ GreyEnergy ใช้ในการโจมตีโครงข่ายไฟฟ้าของยูเครนในปี 2018 “เราเชื่อว่า Kapeka อาจเข้ามาแทนที่ GreyEnergy ในคลังแสงของ Sandworm” Nejad กล่าว แม้ว่าตัวอย่างมัลแวร์ทั้งสองตัวอย่างจะไม่ได้มาจากซอร์สโค้ดเดียวกัน แต่ก็มีแนวคิดที่ทับซ้อนกันระหว่าง Kapeka และ GreyEnergy เช่นเดียวกับที่มีการทับซ้อนกันระหว่าง GreyEnergy และรุ่นก่อน BlackEnergy- “สิ่งนี้บ่งชี้ว่า Sandworm อาจอัปเกรดคลังแสงด้วยเครื่องมือใหม่เมื่อเวลาผ่านไป เพื่อปรับตัวให้เข้ากับภาพรวมภัยคุกคามที่เปลี่ยนแปลงไป” Nejad กล่าว

Fuxnet: เครื่องมือในการก่อกวนและทำลาย

ในขณะเดียวกัน Brizinov จาก Clarity ระบุว่า Fuxnet เป็นมัลแวร์ ICS ที่มีจุดประสงค์เพื่อสร้างความเสียหายให้กับอุปกรณ์เซ็นเซอร์ที่ผลิตในรัสเซีย มัลแวร์นี้มีจุดมุ่งหมายเพื่อปรับใช้บนเกตเวย์ที่ตรวจสอบและรวบรวมข้อมูลจากเซ็นเซอร์ทางกายภาพสำหรับสัญญาณเตือนไฟไหม้ การตรวจสอบก๊าซ ไฟส่องสว่าง และกรณีการใช้งานที่คล้ายกัน

“เมื่อมัลแวร์ถูกใช้งาน มันจะปิดกั้นเกตเวย์ด้วยการเขียนทับชิป NAND และปิดการใช้งานความสามารถการเข้าถึงระยะไกลจากภายนอก เพื่อป้องกันไม่ให้ผู้ปฏิบัติงานควบคุมอุปกรณ์จากระยะไกล” Brizinov กล่าว  

จากนั้นโมดูลที่แยกออกมาจะพยายามทำให้เซ็นเซอร์กายภาพท่วมท้นด้วยการรับส่งข้อมูล M-Bus ที่ไร้ประโยชน์ M-Bus เป็นโปรโตคอลการสื่อสารของยุโรปสำหรับการอ่านมิเตอร์ก๊าซ น้ำ ไฟฟ้า และมิเตอร์อื่นๆ จากระยะไกล “หนึ่งในวัตถุประสงค์หลักของมัลแวร์ Fuxnet ICS ของ Blackjack [คือ] เพื่อโจมตีและทำลายเซ็นเซอร์ทางกายภาพด้วยตนเองหลังจากเข้าถึงเกตเวย์เซ็นเซอร์” Brizinov กล่าว ในการทำเช่นนั้น Blackjack เลือกที่จะคลุมเครือเซ็นเซอร์โดยส่งแพ็กเก็ต M-Bus ให้พวกเขาโดยไม่จำกัดจำนวน “โดยพื้นฐานแล้ว BlackJack หวังว่าการส่งแพ็กเก็ต M-Bus แบบสุ่มของเซ็นเซอร์อย่างไม่สิ้นสุด แพ็กเก็ตจะล้นพวกมันและอาจทำให้เกิดช่องโหว่ที่จะทำให้เซ็นเซอร์เสียหายและทำให้พวกเขาอยู่ในสถานะที่ไม่สามารถใช้งานได้” เขากล่าว

สิ่งสำคัญสำหรับองค์กรจากการโจมตีดังกล่าวคือการให้ความสนใจกับพื้นฐานด้านความปลอดภัย ตัวอย่างเช่น Blackjack ดูเหมือนจะได้รับการเข้าถึงรูทไปยังเกตเวย์เซ็นเซอร์เป้าหมายโดยการใช้ข้อมูลประจำตัวที่อ่อนแอบนอุปกรณ์ในทางที่ผิด การโจมตีเน้นย้ำว่าทำไม “การรักษานโยบายรหัสผ่านที่ดีจึงเป็นเรื่องสำคัญ ตรวจสอบให้แน่ใจว่าอุปกรณ์ไม่ได้ใช้ข้อมูลประจำตัวเดียวกันหรือใช้ค่าเริ่มต้น” เขากล่าว “สิ่งสำคัญคือต้องปรับใช้การฆ่าเชื้อและการแบ่งส่วนเครือข่ายที่ดี เพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถเคลื่อนที่ภายในเครือข่ายด้านข้างได้ และปรับใช้มัลแวร์กับอุปกรณ์ Edge ทั้งหมด”

จุด_img

ข่าวกรองล่าสุด

จุด_img

ลิขสิทธิ์ @ 2024 Plato Technologies Inc.

แชทกับเรา

สวัสดี! ฉันจะช่วยคุณได้อย่างไร?