Breaking News

DHS และ FBI เตือน ระวังการโจมตีระบบควบคุมด้านพลังงานและการบิน

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) และ FBI ร่วมมือกันเตรียมพร้อมรับมือกับการโจมตีแบบ Advanced Persistent Threats (APTs) ที่มุ่งโจมตีรัฐบาลและองค์กรด้านพลังงาน เช่น อุตสาหกรรมพลังงานนิวเคลียร์ อุตสาหกรรมพลังงานน้ำและภาคอุตสหกรรมการผลิต

Credit: Ditty about summer/ShutterStock

Paul Martini กรรมการและผู้ก่อตั้ง iBoss Cybersecurity แสดงความเห็นผ่านทางอีเมลกับ SC Media “การออกมาเตือนของภาครัฐครั้งนี้ไม่น่าแปลกใจเพราะแฮ็กเกอร์จ้องเล่นงานโครงสร้างพื้นฐานที่สำคัญมาหลายปีแล้ว หลายอุตสาหกรรมเช่น พลังงาน อุตสหกรรมการผลิตและการบิน มีโครงสร้างเครือข่ายขนาดใหญ่ซึ่งมีอายุการใช้งานมานานมากแล้ว สภาพแวดล้อมของอุตสาหกรรมเหล่านี้ก็เหมือนสนามเด็กเล่นของพวกแฮ็กเกอร์ มันมีทางเข้าได้มากมายจากเพียงแค่แฮ็กเกอร์หาซอฟต์แวร์ที่ไม่ได้รับการอัพเดตเจอสักที่หนึ่งเพื่อเป็นทางเจาะเข้าไปในเครือข่าย

DHS ได้ศึกษาวิเคราะห์ตรวจสอบจากโมเดล Cyber Kill Chain ของกิจกรรมที่เป็นอันตรายด้านไซเบอร์และมีลำดับขั้นตอนดังนี้ คือ  สังเกตการณ์และหาข้อมูลเป้าหมาย หาเครื่องมือดำเนินการ ส่งถึงผู้ใช้ เจาะช่องโหว่ ติดตั้ง เข้าโหมดรอคำสั่งและสุดท้ายปฏิบัติภารกิจให้ลุล่วง จากการตรวจสอบถึงเทคนิคและขั้นตอนเผยให้เห็นถึงวิธีการที่แฮ็กเกอร์ใช้มีหลากหลายวิธีการ เช่น Spear phishing, Watering Hole Domain, Host-based Exploitation และการมุ่งโจมตีระบบควบคุมโครงสร้างพื้นฐานเพื่อให้ได้รับข้อมูล Credential ทางเลือกอีกทางหนึ่งในการเคลื่อนไหวเริ่มแรก คือการโจมตี Third Party Vendor ที่ร่วมงานกับเหยื่อและมีมาตรการด้านความมั่นคงปลอดภัยต่ำเพื่อเป็นทางผ่านไปยังเหยื่อต่อไป

จากการศึกษาเบื้องต้นการคุกคามจะเริ่มต้นด้วยการศึกษาข้อมูลเกี่ยวกับเหยื่อทางอินเตอร์เน็ต แล้วจึงจะเลือกเหยื่อกลุ่มหนึ่งของเป้าหมายเพื่อทำการโจมตีแบบ Spear phishing โดยใช้อีเมลเพื่อหลอกล่อเหยื่อโดยอาจเขียนชื่อเรื่องอีเมลว่า “AGREEMENT & CONFIDENTIAL” หรือโทรศัพท์ไปหลอกล่อเหยื่อเพื่อให้เปิดไฟล์ PDF ที่ภายในมีลิ้งอันตรายอยู่ โดเมนที่ถูกแฮ็กเกอร์ใช้นั้นไม่ถูกจัดอยู่ในโดเมนที่อันตรายเพราะกว่าครึ่งเป็นโดเมนของเว็บไซต์ค้าขายสาธารณะและเว็บไซต์ข้อมูลพวกกระบวนการควบคุม, ICS หรือ โครงสร้างพื้นฐานที่มีความสำคัญ โดย DHS กล่าวว่า “เว็บไซต์ที่ถูกแทรกซึมนั้นมีทั้งเว็บแอปพลิเคชันที่ถูกปรับแต่งขึ้นมาและแบบที่สร้างจาก Template แฮ็กเกอร์จะเพิ่มโค้ดเข้าไปยังหน้า header.php เพื่อทำให้ PHP ไฟล์เกิดการเปลี่ยนทิศทางข้อมูลไปยังที่แฮ็กเกอร์ต้องการ ทั้งนี้จากการศึกษายังไม่มีสัญญานของการโจมตีแบบ Zero-day ดูเหมือนว่าแฮ็กเกอร์จะเข้าถึงเว็บไซต์ด้วย Credential ที่ถูกต้องมากกว่า

การตื่นตัวครั้งนี้หน่วยงานรัฐบาลได้รับคำแนะนำให้มีระบบด้านการตรวจสอบและป้องกันประกอบด้วย
  • Log ของ IDS/IPS บนเครือข่าย
  • Log ของเนื้อหาเว็บ
  • Log ของเซิร์ฟเวอร์ Proxy
  • Log ของเซิร์ฟเวอร์ DNS
  • ที่จัดเก็บ Packet Capture

แต่ก็ไม่ใช่ทุกคนที่เห็นด้วยกับนโยบายนี้เช่น Satya Gupta ผู้ก่อตั้ง Visec Systems กล่าวกับ SC Media ว่า “แนวคิดการนั่งดูพฤติกรรมที่น่าสงสัยผ่านระบบเครือข่ายเพียงอย่างเดียวก็เหมือนกับการที่รอให้วัวหายแล้วค่อยล้อมคอกนั่นแหละ การเพิ่มความสำคัญด้านความมั่นคงปลอดภัยควรจะใส่ใจไปที่แอปพลิเคชันเองด้วย

ที่มา : https://www.scmagazine.com/dhs-fbi-issue-warning-and-details-concerning-on-going-ics-attacks-on-power-aviation-sectors/article/702170/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่