DHS และ FBI เตือน ระวังการโจมตีระบบควบคุมด้านพลังงานและการบิน

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) และ FBI ร่วมมือกันเตรียมพร้อมรับมือกับการโจมตีแบบ Advanced Persistent Threats (APTs) ที่มุ่งโจมตีรัฐบาลและองค์กรด้านพลังงาน เช่น อุตสาหกรรมพลังงานนิวเคลียร์ อุตสาหกรรมพลังงานน้ำและภาคอุตสหกรรมการผลิต

Paul Martini กรรมการและผู้ก่อตั้ง iBoss Cybersecurity แสดงความเห็นผ่านทางอีเมลกับ SC Media “การออกมาเตือนของภาครัฐครั้งนี้ไม่น่าแปลกใจเพราะแฮ็กเกอร์จ้องเล่นงานโครงสร้างพื้นฐานที่สำคัญมาหลายปีแล้ว หลายอุตสาหกรรมเช่น พลังงาน อุตสหกรรมการผลิตและการบิน มีโครงสร้างเครือข่ายขนาดใหญ่ซึ่งมีอายุการใช้งานมานานมากแล้ว สภาพแวดล้อมของอุตสาหกรรมเหล่านี้ก็เหมือนสนามเด็กเล่นของพวกแฮ็กเกอร์ มันมีทางเข้าได้มากมายจากเพียงแค่แฮ็กเกอร์หาซอฟต์แวร์ที่ไม่ได้รับการอัพเดตเจอสักที่หนึ่งเพื่อเป็นทางเจาะเข้าไปในเครือข่าย”

DHS ได้ศึกษาวิเคราะห์ตรวจสอบจากโมเดล Cyber Kill Chain ของกิจกรรมที่เป็นอันตรายด้านไซเบอร์และมีลำดับขั้นตอนดังนี้ คือ  สังเกตการณ์และหาข้อมูลเป้าหมาย หาเครื่องมือดำเนินการ ส่งถึงผู้ใช้ เจาะช่องโหว่ ติดตั้ง เข้าโหมดรอคำสั่งและสุดท้ายปฏิบัติภารกิจให้ลุล่วง จากการตรวจสอบถึงเทคนิคและขั้นตอนเผยให้เห็นถึงวิธีการที่แฮ็กเกอร์ใช้มีหลากหลายวิธีการ เช่น Spear phishing, Watering Hole Domain, Host-based Exploitation และการมุ่งโจมตีระบบควบคุมโครงสร้างพื้นฐานเพื่อให้ได้รับข้อมูล Credential ทางเลือกอีกทางหนึ่งในการเคลื่อนไหวเริ่มแรก คือการโจมตี Third Party Vendor ที่ร่วมงานกับเหยื่อและมีมาตรการด้านความมั่นคงปลอดภัยต่ำเพื่อเป็นทางผ่านไปยังเหยื่อต่อไป

จากการศึกษาเบื้องต้นการคุกคามจะเริ่มต้นด้วยการศึกษาข้อมูลเกี่ยวกับเหยื่อทางอินเตอร์เน็ต แล้วจึงจะเลือกเหยื่อกลุ่มหนึ่งของเป้าหมายเพื่อทำการโจมตีแบบ Spear phishing โดยใช้อีเมลเพื่อหลอกล่อเหยื่อโดยอาจเขียนชื่อเรื่องอีเมลว่า “AGREEMENT & CONFIDENTIAL” หรือโทรศัพท์ไปหลอกล่อเหยื่อเพื่อให้เปิดไฟล์ PDF ที่ภายในมีลิ้งอันตรายอยู่ โดเมนที่ถูกแฮ็กเกอร์ใช้นั้นไม่ถูกจัดอยู่ในโดเมนที่อันตรายเพราะกว่าครึ่งเป็นโดเมนของเว็บไซต์ค้าขายสาธารณะและเว็บไซต์ข้อมูลพวกกระบวนการควบคุม, ICS หรือ โครงสร้างพื้นฐานที่มีความสำคัญ โดย DHS กล่าวว่า “เว็บไซต์ที่ถูกแทรกซึมนั้นมีทั้งเว็บแอปพลิเคชันที่ถูกปรับแต่งขึ้นมาและแบบที่สร้างจาก Template แฮ็กเกอร์จะเพิ่มโค้ดเข้าไปยังหน้า header.php เพื่อทำให้ PHP ไฟล์เกิดการเปลี่ยนทิศทางข้อมูลไปยังที่แฮ็กเกอร์ต้องการ ทั้งนี้จากการศึกษายังไม่มีสัญญานของการโจมตีแบบ Zero-day ดูเหมือนว่าแฮ็กเกอร์จะเข้าถึงเว็บไซต์ด้วย Credential ที่ถูกต้องมากกว่า ”

• Log ของ IDS/IPS บนเครือข่าย
• Log ของเนื้อหาเว็บ
• Log ของเซิร์ฟเวอร์ Proxy
• Log ของเซิร์ฟเวอร์ DNS
• ที่จัดเก็บ Packet Capture

แต่ก็ไม่ใช่ทุกคนที่เห็นด้วยกับนโยบายนี้เช่น Satya Gupta ผู้ก่อตั้ง Visec Systems กล่าวกับ SC Media ว่า “แนวคิดการนั่งดูพฤติกรรมที่น่าสงสัยผ่านระบบเครือข่ายเพียงอย่างเดียวก็เหมือนกับการที่รอให้วัวหายแล้วค่อยล้อมคอกนั่นแหละ การเพิ่มความสำคัญด้านความมั่นคงปลอดภัยควรจะใส่ใจไปที่แอปพลิเคชันเองด้วย”

ที่มา : https://www.scmagazine.com/dhs-fbi-issue-warning-and-details-concerning-on-going-ics-attacks-on-power-aviation-sectors/article/702170/