CDIC 2023

พบมัลแวร์ลึกลับตัวใหม่ ใช้เทคนิคคล้าย Stuxnet พุ่งเป้าระบบ SCADA

fireeye_logo

นักวิจัยจาก FireEye ผู้ให้บริการโซลูชัน Threat Intelligence ชั้นนำของโลก ออกมาเปิดเผยถึงมัลแวร์แคมเปญใหม่ ที่ถูกออกแบบมาเพื่อโจมตีระบบควบคุมกระบวนการของ Critical Infrastructure หรือ SCADA โดยเฉพาะ ซึ่งใช้เทคนิคเดียวกับ Stuxnet มัลแวร์ชื่อดังที่เข้าโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่านเมื่อหลายปีก่อน

Credit: tanewpix/ShutterStock
Credit: tanewpix/ShutterStock

ไม่ถูกค้นพบโดย VirusTotal

มัลแวร์ลึกลับตัวนี้ FireEye ตั้งชื่อว่า IRONGATE ถูกค้นพบเมื่อช่วงครึ่งหลังของปี 2015 ที่ผ่านมาในฐานข้อมูลของ VirusTotal เว็บไซต์ชื่อดังที่รวม Antivirus Engines จาก Vendors ต่างๆ ทั่วโลกสำหรับตรวจสอบไฟล์ว่ามีมัลแวร์แฝงตัวอยู่หรือไม่ ซึ่ง FireEye พบว่า มัลแวร์ดังกล่าวถูกอัพโหลดขึ้นไปตั้งแต่ปี 2014 แต่ในขณะนั้นยังไม่มี Antivirus ยี่ห้อไหนเลยที่ระบุว่าเป็นสิ่งผิดปกติ

เป็นมัลแวร์ทดสอบ มุ่งโจมตีระบบ PLC

FireEye ค้นพบ IRONGATE ผ่านทางการค้นหาตัวอย่างผิดปกติต่างๆ ที่มีแนวโน้มว่าจะเป็นมัลแวร์ โดยดูว่ามีการใช้ PyInstaller (เทคนิคชื่อดังที่แฮ็คเกอร์นิยมใช้) หรือไม่ ผลปรากฏว่า Payload 2 รายการของ IRONGATE มีการใช้เทคนิคดังกล่าว และมีการอ้างอิงถึงระบบ SCADA และฟังก์ชันการทำงานที่เกี่ยวข้อง ซึ่งหลังจากที่ FireEye ทำการตรวจสอบมัลแวร์โดยละเอียดแล้ว พบว่า IRONGATE น่าจะเป็นเพียงมัลแวร์ตัวทดสอบที่ถูกออกแบบมาให้สามารถค้นหาไฟล์ DDL ที่ทำหน้าที่ติดต่อกับ Siements SIMATIC S7-PLCSIM ซอฟต์แวร์สำหรับช่วยให้ผู้ใช้สามารถรันโปรแกรมบน S7-300 และ S7-400 Programable Logic Controllers (PLCs) และสามารถเขียนทับไฟล์นั้นได้

**PLC เป็นอุปกรณ์ฮาร์ดแวร์แบบพิเศษที่ทำหน้าที่ติดตามและควบคุมกระบวนการทางอุตสาหกรรม เช่น การหมุนของมอเตอร์ การเปิดปิดวาล์ว ซึ่งกระบวนการเหล่านี้จะมีการส่งผ่านค่าที่อุปกรณ์วัดและข้อมูลอื่นๆ มายังซอฟต์แวร์สำหรับเฝ้าระวัง หรือที่เรียกว่า Human-machine Interface (HMI) ซึ่งรันอยู่บนคอมพิวเตอร์ของวิศวกร

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

เช่นเดียวกับ Stuxnet เป้าหมายของมัลแวร์ IRONGATE คือการสอดแทรกตัวเองเข้าไปยังระบบเฝ้าระวังของ SCADA และทำการดักจับข้อมูลที่ได้มาจาก PCL จากนั้นจะทำการเล่นข้อมูลนั้นซ้ำๆ เพื่อให้วิศวกรเห็นว่าระบบยังคงทำงานเหมือนเดิม ไม่มีการเปลี่ยนแปลง ซึ่งแท้ที่จริงแล้วอาจมีสิ่งผิดปกติหรือเหตุฉุกเฉินเกิดขึ้นได้

ใช้งานไม่ได้ในปัจจุบัน แต่อาจมีมัลแวร์อื่นรับช่วงต่อ

ทางฝั่ง ProductCERT ของ Siemens ออกมายืนยันเป็นที่เรียบร้อยแล้วว่า มัลแวร์ดังกล่าวไม่สามารถทำงานบนระบบ SCADA ภายใต้สภาวะแวดล้อมมาตรฐานของ Siemens ได้ อย่างไรก็ตาม FireEye สงสัยว่า IRONGATE เป็นเพียงมัลแวร์ที่แฮ็คเกอร์ใช้ทดลอง หรือ POC เพื่อพิสูจน์ว่า สามารถออกแบบอาวุธที่มีลักษณะเหมือน Stuxnet แต่ใช้โจมตีระบบ PLC แทน ซึ่งถ้าเป็นจริง นั่นหมายความว่าในปัจจุบันแฮ็คเกอร์ต้องมีการพัฒนามัลแวร์แคมเปญใหม่ ซึ่งสามารถใช้โจมตีระบบ SCADA ได้อย่างแน่นอน

ที่มา: http://www.csoonline.com/article/3078520/security/mysterious-malware-targets-industrial-control-systems-borrows-stuxnet-techniques.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS ปล่อยชิปใหม่ Trainium 2 สำหรับงาน AI และ Gravition4 ปลดล็อกจำกัดของงานแบบเดิม

สำหรับงาน re:invent ของ AWS ฝั่งของชิปที่ขาดตลาดเป็นอย่างมากก็น่าสนใจไม่น้อย ซึ่ง AWS ได้เปิดตัวเตรียมส่ง Trainium 2 ลงสนามพร้อมวัดผลกับงาน AI ที่กำลังมาแรง นอกจากนี้ยังเปิดตัว Gravition …

AWS ออก S3 Express One Zone ประสิทธิภาพดีกว่าเดิม 10 เท่า

ที่งาน re:Invent เมื่อไม่กี่วันที่ผ่านมาได้มีการปล่อยบริการใหม่ออกมาจำนวนมา ซึ่งหนึ่งในหมวดที่น่าสนใจตัวหนึ่งก็คือ S3 Express One Zone โดยเมื่อเทียบกับ S3 แบบเดิมแล้วทาง AWS ชี้ว่าสามารถให้ประสิทธิภาพได้สูงขึ้นถึง 10 เท่า …