พบมัลแวร์ลึกลับตัวใหม่ ใช้เทคนิคคล้าย Stuxnet พุ่งเป้าระบบ SCADA

fireeye_logo

นักวิจัยจาก FireEye ผู้ให้บริการโซลูชัน Threat Intelligence ชั้นนำของโลก ออกมาเปิดเผยถึงมัลแวร์แคมเปญใหม่ ที่ถูกออกแบบมาเพื่อโจมตีระบบควบคุมกระบวนการของ Critical Infrastructure หรือ SCADA โดยเฉพาะ ซึ่งใช้เทคนิคเดียวกับ Stuxnet มัลแวร์ชื่อดังที่เข้าโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่านเมื่อหลายปีก่อน

Credit: tanewpix/ShutterStock
Credit: tanewpix/ShutterStock

ไม่ถูกค้นพบโดย VirusTotal

มัลแวร์ลึกลับตัวนี้ FireEye ตั้งชื่อว่า IRONGATE ถูกค้นพบเมื่อช่วงครึ่งหลังของปี 2015 ที่ผ่านมาในฐานข้อมูลของ VirusTotal เว็บไซต์ชื่อดังที่รวม Antivirus Engines จาก Vendors ต่างๆ ทั่วโลกสำหรับตรวจสอบไฟล์ว่ามีมัลแวร์แฝงตัวอยู่หรือไม่ ซึ่ง FireEye พบว่า มัลแวร์ดังกล่าวถูกอัพโหลดขึ้นไปตั้งแต่ปี 2014 แต่ในขณะนั้นยังไม่มี Antivirus ยี่ห้อไหนเลยที่ระบุว่าเป็นสิ่งผิดปกติ

เป็นมัลแวร์ทดสอบ มุ่งโจมตีระบบ PLC

FireEye ค้นพบ IRONGATE ผ่านทางการค้นหาตัวอย่างผิดปกติต่างๆ ที่มีแนวโน้มว่าจะเป็นมัลแวร์ โดยดูว่ามีการใช้ PyInstaller (เทคนิคชื่อดังที่แฮ็คเกอร์นิยมใช้) หรือไม่ ผลปรากฏว่า Payload 2 รายการของ IRONGATE มีการใช้เทคนิคดังกล่าว และมีการอ้างอิงถึงระบบ SCADA และฟังก์ชันการทำงานที่เกี่ยวข้อง ซึ่งหลังจากที่ FireEye ทำการตรวจสอบมัลแวร์โดยละเอียดแล้ว พบว่า IRONGATE น่าจะเป็นเพียงมัลแวร์ตัวทดสอบที่ถูกออกแบบมาให้สามารถค้นหาไฟล์ DDL ที่ทำหน้าที่ติดต่อกับ Siements SIMATIC S7-PLCSIM ซอฟต์แวร์สำหรับช่วยให้ผู้ใช้สามารถรันโปรแกรมบน S7-300 และ S7-400 Programable Logic Controllers (PLCs) และสามารถเขียนทับไฟล์นั้นได้

**PLC เป็นอุปกรณ์ฮาร์ดแวร์แบบพิเศษที่ทำหน้าที่ติดตามและควบคุมกระบวนการทางอุตสาหกรรม เช่น การหมุนของมอเตอร์ การเปิดปิดวาล์ว ซึ่งกระบวนการเหล่านี้จะมีการส่งผ่านค่าที่อุปกรณ์วัดและข้อมูลอื่นๆ มายังซอฟต์แวร์สำหรับเฝ้าระวัง หรือที่เรียกว่า Human-machine Interface (HMI) ซึ่งรันอยู่บนคอมพิวเตอร์ของวิศวกร

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

เช่นเดียวกับ Stuxnet เป้าหมายของมัลแวร์ IRONGATE คือการสอดแทรกตัวเองเข้าไปยังระบบเฝ้าระวังของ SCADA และทำการดักจับข้อมูลที่ได้มาจาก PCL จากนั้นจะทำการเล่นข้อมูลนั้นซ้ำๆ เพื่อให้วิศวกรเห็นว่าระบบยังคงทำงานเหมือนเดิม ไม่มีการเปลี่ยนแปลง ซึ่งแท้ที่จริงแล้วอาจมีสิ่งผิดปกติหรือเหตุฉุกเฉินเกิดขึ้นได้

ใช้งานไม่ได้ในปัจจุบัน แต่อาจมีมัลแวร์อื่นรับช่วงต่อ

ทางฝั่ง ProductCERT ของ Siemens ออกมายืนยันเป็นที่เรียบร้อยแล้วว่า มัลแวร์ดังกล่าวไม่สามารถทำงานบนระบบ SCADA ภายใต้สภาวะแวดล้อมมาตรฐานของ Siemens ได้ อย่างไรก็ตาม FireEye สงสัยว่า IRONGATE เป็นเพียงมัลแวร์ที่แฮ็คเกอร์ใช้ทดลอง หรือ POC เพื่อพิสูจน์ว่า สามารถออกแบบอาวุธที่มีลักษณะเหมือน Stuxnet แต่ใช้โจมตีระบบ PLC แทน ซึ่งถ้าเป็นจริง นั่นหมายความว่าในปัจจุบันแฮ็คเกอร์ต้องมีการพัฒนามัลแวร์แคมเปญใหม่ ซึ่งสามารถใช้โจมตีระบบ SCADA ได้อย่างแน่นอน

ที่มา: http://www.csoonline.com/article/3078520/security/mysterious-malware-targets-industrial-control-systems-borrows-stuxnet-techniques.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เจาะลึก Dell EMC PowerStore ระบบ Enterprise Storage ความสามารถรอบด้าน ตอบโจทย์หลากหลายรูปแบบ

การเลือกระบบ Enterprise Storage ที่ดีในทุกวันนี้ ก็คงหนีไม่พ้นการเลือกระบบที่มีประสิทธิภาพสูง สามารถตอบสนองทุกๆข้อมูลและแอปพลิเคชั่นในยุคดิจิตัล รองรับการขยายโดยไม่มีผลกระทบ, มีฟังก์ชั่นครบครันช่วยให้คุ้มค่า เพิ่มประสิทธิภาพ และสามารถดูแลรักษาได้ง่าย Dell EMC ในฐานะของผู้นำนวัตกรรมทางด้านระบบจัดเก็บข้อมูลสำหรับธุรกิจองค์กร ได้มองไกลยิ่งไปกว่านั้น ด้วยการออกแบบระบบ …

[Guest Post] 3 แพ็กเกจจาก Synology ที่ช่วยลดต้นทุนด้าน IT และเพิ่มประสิทธิภาพขององค์กรสำหรับเทรนด์ Hybrid Work Model

เมื่อแนวโน้มการทำงานรูปแบบ Hybrid Work หรือมีการผสมผสานระหว่างการทำงานทางไกล (Remote Work) และการทำงานที่ออฟฟิศ กำลังจะกลายเป็น New Normal ในอนาคต องค์กรธุรกิจไม่ว่าจะขนาดเล็กหรือใหญ่ที่กำลังปรับใช้แผน IT ชั่วคราวสำหรับ Remote …