DHS และ FBI เตือน ระวังการโจมตีระบบควบคุมด้านพลังงานและการบิน

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) และ FBI ร่วมมือกันเตรียมพร้อมรับมือกับการโจมตีแบบ Advanced Persistent Threats (APTs) ที่มุ่งโจมตีรัฐบาลและองค์กรด้านพลังงาน เช่น อุตสาหกรรมพลังงานนิวเคลียร์ อุตสาหกรรมพลังงานน้ำและภาคอุตสหกรรมการผลิต

Credit: Ditty about summer/ShutterStock

Paul Martini กรรมการและผู้ก่อตั้ง iBoss Cybersecurity แสดงความเห็นผ่านทางอีเมลกับ SC Media “การออกมาเตือนของภาครัฐครั้งนี้ไม่น่าแปลกใจเพราะแฮ็กเกอร์จ้องเล่นงานโครงสร้างพื้นฐานที่สำคัญมาหลายปีแล้ว หลายอุตสาหกรรมเช่น พลังงาน อุตสหกรรมการผลิตและการบิน มีโครงสร้างเครือข่ายขนาดใหญ่ซึ่งมีอายุการใช้งานมานานมากแล้ว สภาพแวดล้อมของอุตสาหกรรมเหล่านี้ก็เหมือนสนามเด็กเล่นของพวกแฮ็กเกอร์ มันมีทางเข้าได้มากมายจากเพียงแค่แฮ็กเกอร์หาซอฟต์แวร์ที่ไม่ได้รับการอัพเดตเจอสักที่หนึ่งเพื่อเป็นทางเจาะเข้าไปในเครือข่าย

DHS ได้ศึกษาวิเคราะห์ตรวจสอบจากโมเดล Cyber Kill Chain ของกิจกรรมที่เป็นอันตรายด้านไซเบอร์และมีลำดับขั้นตอนดังนี้ คือ  สังเกตการณ์และหาข้อมูลเป้าหมาย หาเครื่องมือดำเนินการ ส่งถึงผู้ใช้ เจาะช่องโหว่ ติดตั้ง เข้าโหมดรอคำสั่งและสุดท้ายปฏิบัติภารกิจให้ลุล่วง จากการตรวจสอบถึงเทคนิคและขั้นตอนเผยให้เห็นถึงวิธีการที่แฮ็กเกอร์ใช้มีหลากหลายวิธีการ เช่น Spear phishing, Watering Hole Domain, Host-based Exploitation และการมุ่งโจมตีระบบควบคุมโครงสร้างพื้นฐานเพื่อให้ได้รับข้อมูล Credential ทางเลือกอีกทางหนึ่งในการเคลื่อนไหวเริ่มแรก คือการโจมตี Third Party Vendor ที่ร่วมงานกับเหยื่อและมีมาตรการด้านความมั่นคงปลอดภัยต่ำเพื่อเป็นทางผ่านไปยังเหยื่อต่อไป

จากการศึกษาเบื้องต้นการคุกคามจะเริ่มต้นด้วยการศึกษาข้อมูลเกี่ยวกับเหยื่อทางอินเตอร์เน็ต แล้วจึงจะเลือกเหยื่อกลุ่มหนึ่งของเป้าหมายเพื่อทำการโจมตีแบบ Spear phishing โดยใช้อีเมลเพื่อหลอกล่อเหยื่อโดยอาจเขียนชื่อเรื่องอีเมลว่า “AGREEMENT & CONFIDENTIAL” หรือโทรศัพท์ไปหลอกล่อเหยื่อเพื่อให้เปิดไฟล์ PDF ที่ภายในมีลิ้งอันตรายอยู่ โดเมนที่ถูกแฮ็กเกอร์ใช้นั้นไม่ถูกจัดอยู่ในโดเมนที่อันตรายเพราะกว่าครึ่งเป็นโดเมนของเว็บไซต์ค้าขายสาธารณะและเว็บไซต์ข้อมูลพวกกระบวนการควบคุม, ICS หรือ โครงสร้างพื้นฐานที่มีความสำคัญ โดย DHS กล่าวว่า “เว็บไซต์ที่ถูกแทรกซึมนั้นมีทั้งเว็บแอปพลิเคชันที่ถูกปรับแต่งขึ้นมาและแบบที่สร้างจาก Template แฮ็กเกอร์จะเพิ่มโค้ดเข้าไปยังหน้า header.php เพื่อทำให้ PHP ไฟล์เกิดการเปลี่ยนทิศทางข้อมูลไปยังที่แฮ็กเกอร์ต้องการ ทั้งนี้จากการศึกษายังไม่มีสัญญานของการโจมตีแบบ Zero-day ดูเหมือนว่าแฮ็กเกอร์จะเข้าถึงเว็บไซต์ด้วย Credential ที่ถูกต้องมากกว่า

การตื่นตัวครั้งนี้หน่วยงานรัฐบาลได้รับคำแนะนำให้มีระบบด้านการตรวจสอบและป้องกันประกอบด้วย
  • Log ของ IDS/IPS บนเครือข่าย
  • Log ของเนื้อหาเว็บ
  • Log ของเซิร์ฟเวอร์ Proxy
  • Log ของเซิร์ฟเวอร์ DNS
  • ที่จัดเก็บ Packet Capture

แต่ก็ไม่ใช่ทุกคนที่เห็นด้วยกับนโยบายนี้เช่น Satya Gupta ผู้ก่อตั้ง Visec Systems กล่าวกับ SC Media ว่า “แนวคิดการนั่งดูพฤติกรรมที่น่าสงสัยผ่านระบบเครือข่ายเพียงอย่างเดียวก็เหมือนกับการที่รอให้วัวหายแล้วค่อยล้อมคอกนั่นแหละ การเพิ่มความสำคัญด้านความมั่นคงปลอดภัยควรจะใส่ใจไปที่แอปพลิเคชันเองด้วย

ที่มา : https://www.scmagazine.com/dhs-fbi-issue-warning-and-details-concerning-on-going-ics-attacks-on-power-aviation-sectors/article/702170/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แก๊งแฮ็กเกอร์จีนถูกจับนับสิบ หลังลอบวาง Cryptominer บนอินเทอร์เน็ตคาเฟ่กว่า 30 แห่ง

เว็บไซต์หนังสือพิมพ์จีน Hangzhou ออกมาเปิดเผย สัปดาห์ที่ผ่านมา ตำรวจจีนได้จับกุมตัวแก๊งแฮ็กเกอร์จำนวน 16 คนซึ่งทำงานในบริษัท IT แห่งหนึ่ง หลังลอบวาง Cryptocurrency Miner ในร้านอินเทอร์เน็ตคาเฟ่รวมแล้วถึง 30 แห่งทั่วประเทศจีน

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้