DHS และ FBI เตือน ระวังการโจมตีระบบควบคุมด้านพลังงานและการบิน

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) และ FBI ร่วมมือกันเตรียมพร้อมรับมือกับการโจมตีแบบ Advanced Persistent Threats (APTs) ที่มุ่งโจมตีรัฐบาลและองค์กรด้านพลังงาน เช่น อุตสาหกรรมพลังงานนิวเคลียร์ อุตสาหกรรมพลังงานน้ำและภาคอุตสหกรรมการผลิต

Credit: Ditty about summer/ShutterStock

Paul Martini กรรมการและผู้ก่อตั้ง iBoss Cybersecurity แสดงความเห็นผ่านทางอีเมลกับ SC Media “การออกมาเตือนของภาครัฐครั้งนี้ไม่น่าแปลกใจเพราะแฮ็กเกอร์จ้องเล่นงานโครงสร้างพื้นฐานที่สำคัญมาหลายปีแล้ว หลายอุตสาหกรรมเช่น พลังงาน อุตสหกรรมการผลิตและการบิน มีโครงสร้างเครือข่ายขนาดใหญ่ซึ่งมีอายุการใช้งานมานานมากแล้ว สภาพแวดล้อมของอุตสาหกรรมเหล่านี้ก็เหมือนสนามเด็กเล่นของพวกแฮ็กเกอร์ มันมีทางเข้าได้มากมายจากเพียงแค่แฮ็กเกอร์หาซอฟต์แวร์ที่ไม่ได้รับการอัพเดตเจอสักที่หนึ่งเพื่อเป็นทางเจาะเข้าไปในเครือข่าย

DHS ได้ศึกษาวิเคราะห์ตรวจสอบจากโมเดล Cyber Kill Chain ของกิจกรรมที่เป็นอันตรายด้านไซเบอร์และมีลำดับขั้นตอนดังนี้ คือ  สังเกตการณ์และหาข้อมูลเป้าหมาย หาเครื่องมือดำเนินการ ส่งถึงผู้ใช้ เจาะช่องโหว่ ติดตั้ง เข้าโหมดรอคำสั่งและสุดท้ายปฏิบัติภารกิจให้ลุล่วง จากการตรวจสอบถึงเทคนิคและขั้นตอนเผยให้เห็นถึงวิธีการที่แฮ็กเกอร์ใช้มีหลากหลายวิธีการ เช่น Spear phishing, Watering Hole Domain, Host-based Exploitation และการมุ่งโจมตีระบบควบคุมโครงสร้างพื้นฐานเพื่อให้ได้รับข้อมูล Credential ทางเลือกอีกทางหนึ่งในการเคลื่อนไหวเริ่มแรก คือการโจมตี Third Party Vendor ที่ร่วมงานกับเหยื่อและมีมาตรการด้านความมั่นคงปลอดภัยต่ำเพื่อเป็นทางผ่านไปยังเหยื่อต่อไป

จากการศึกษาเบื้องต้นการคุกคามจะเริ่มต้นด้วยการศึกษาข้อมูลเกี่ยวกับเหยื่อทางอินเตอร์เน็ต แล้วจึงจะเลือกเหยื่อกลุ่มหนึ่งของเป้าหมายเพื่อทำการโจมตีแบบ Spear phishing โดยใช้อีเมลเพื่อหลอกล่อเหยื่อโดยอาจเขียนชื่อเรื่องอีเมลว่า “AGREEMENT & CONFIDENTIAL” หรือโทรศัพท์ไปหลอกล่อเหยื่อเพื่อให้เปิดไฟล์ PDF ที่ภายในมีลิ้งอันตรายอยู่ โดเมนที่ถูกแฮ็กเกอร์ใช้นั้นไม่ถูกจัดอยู่ในโดเมนที่อันตรายเพราะกว่าครึ่งเป็นโดเมนของเว็บไซต์ค้าขายสาธารณะและเว็บไซต์ข้อมูลพวกกระบวนการควบคุม, ICS หรือ โครงสร้างพื้นฐานที่มีความสำคัญ โดย DHS กล่าวว่า “เว็บไซต์ที่ถูกแทรกซึมนั้นมีทั้งเว็บแอปพลิเคชันที่ถูกปรับแต่งขึ้นมาและแบบที่สร้างจาก Template แฮ็กเกอร์จะเพิ่มโค้ดเข้าไปยังหน้า header.php เพื่อทำให้ PHP ไฟล์เกิดการเปลี่ยนทิศทางข้อมูลไปยังที่แฮ็กเกอร์ต้องการ ทั้งนี้จากการศึกษายังไม่มีสัญญานของการโจมตีแบบ Zero-day ดูเหมือนว่าแฮ็กเกอร์จะเข้าถึงเว็บไซต์ด้วย Credential ที่ถูกต้องมากกว่า

การตื่นตัวครั้งนี้หน่วยงานรัฐบาลได้รับคำแนะนำให้มีระบบด้านการตรวจสอบและป้องกันประกอบด้วย
  • Log ของ IDS/IPS บนเครือข่าย
  • Log ของเนื้อหาเว็บ
  • Log ของเซิร์ฟเวอร์ Proxy
  • Log ของเซิร์ฟเวอร์ DNS
  • ที่จัดเก็บ Packet Capture

แต่ก็ไม่ใช่ทุกคนที่เห็นด้วยกับนโยบายนี้เช่น Satya Gupta ผู้ก่อตั้ง Visec Systems กล่าวกับ SC Media ว่า “แนวคิดการนั่งดูพฤติกรรมที่น่าสงสัยผ่านระบบเครือข่ายเพียงอย่างเดียวก็เหมือนกับการที่รอให้วัวหายแล้วค่อยล้อมคอกนั่นแหละ การเพิ่มความสำคัญด้านความมั่นคงปลอดภัยควรจะใส่ใจไปที่แอปพลิเคชันเองด้วย

ที่มา : https://www.scmagazine.com/dhs-fbi-issue-warning-and-details-concerning-on-going-ics-attacks-on-power-aviation-sectors/article/702170/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cloudflare เปิดตัวเครื่องมือ Multipath Domain Control Validation ช่วย CA ออก Certificate ได้อย่างมั่นใจ

Cloudflare ได้ประกาศเปิดตัว API ฟรีสำหรับ Certificate Authority (CAs) ที่ถูกออกแบบมาเพื่อช่วยความมั่นคงปลอดภัยในขั้นตอน Domain Control Validation ว่าเป็นผู้ใช้งานจริงๆ ไม่ใช่คนร้ายที่ปลอมตัวมา

ทีม Netflix พบช่องโหว่ DoS หลายรายการบน Linux และ FreeBSD

Jonathan Looney จากทีม Netflix Information Security ได้ออกมาเปิดเผยถึงช่องโหว่หลายรายการบน Linux และ FreeBSD ซึ่งมีสาเหตุมาจากการจัดการกับ TCP Networking ไม่ดีเพียงพอ ส่งผลให้แฮ็กเกอร์สามารถเจาะช่องโหว่จากระยะไกลและก่อให้เกิดความผิดพลาดร้ายแรงบนระบบ …