พบมัลแวร์ลึกลับตัวใหม่ ใช้เทคนิคคล้าย Stuxnet พุ่งเป้าระบบ SCADA

fireeye_logo

นักวิจัยจาก FireEye ผู้ให้บริการโซลูชัน Threat Intelligence ชั้นนำของโลก ออกมาเปิดเผยถึงมัลแวร์แคมเปญใหม่ ที่ถูกออกแบบมาเพื่อโจมตีระบบควบคุมกระบวนการของ Critical Infrastructure หรือ SCADA โดยเฉพาะ ซึ่งใช้เทคนิคเดียวกับ Stuxnet มัลแวร์ชื่อดังที่เข้าโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่านเมื่อหลายปีก่อน

Credit: tanewpix/ShutterStock
Credit: tanewpix/ShutterStock

ไม่ถูกค้นพบโดย VirusTotal

มัลแวร์ลึกลับตัวนี้ FireEye ตั้งชื่อว่า IRONGATE ถูกค้นพบเมื่อช่วงครึ่งหลังของปี 2015 ที่ผ่านมาในฐานข้อมูลของ VirusTotal เว็บไซต์ชื่อดังที่รวม Antivirus Engines จาก Vendors ต่างๆ ทั่วโลกสำหรับตรวจสอบไฟล์ว่ามีมัลแวร์แฝงตัวอยู่หรือไม่ ซึ่ง FireEye พบว่า มัลแวร์ดังกล่าวถูกอัพโหลดขึ้นไปตั้งแต่ปี 2014 แต่ในขณะนั้นยังไม่มี Antivirus ยี่ห้อไหนเลยที่ระบุว่าเป็นสิ่งผิดปกติ

เป็นมัลแวร์ทดสอบ มุ่งโจมตีระบบ PLC

FireEye ค้นพบ IRONGATE ผ่านทางการค้นหาตัวอย่างผิดปกติต่างๆ ที่มีแนวโน้มว่าจะเป็นมัลแวร์ โดยดูว่ามีการใช้ PyInstaller (เทคนิคชื่อดังที่แฮ็คเกอร์นิยมใช้) หรือไม่ ผลปรากฏว่า Payload 2 รายการของ IRONGATE มีการใช้เทคนิคดังกล่าว และมีการอ้างอิงถึงระบบ SCADA และฟังก์ชันการทำงานที่เกี่ยวข้อง ซึ่งหลังจากที่ FireEye ทำการตรวจสอบมัลแวร์โดยละเอียดแล้ว พบว่า IRONGATE น่าจะเป็นเพียงมัลแวร์ตัวทดสอบที่ถูกออกแบบมาให้สามารถค้นหาไฟล์ DDL ที่ทำหน้าที่ติดต่อกับ Siements SIMATIC S7-PLCSIM ซอฟต์แวร์สำหรับช่วยให้ผู้ใช้สามารถรันโปรแกรมบน S7-300 และ S7-400 Programable Logic Controllers (PLCs) และสามารถเขียนทับไฟล์นั้นได้

**PLC เป็นอุปกรณ์ฮาร์ดแวร์แบบพิเศษที่ทำหน้าที่ติดตามและควบคุมกระบวนการทางอุตสาหกรรม เช่น การหมุนของมอเตอร์ การเปิดปิดวาล์ว ซึ่งกระบวนการเหล่านี้จะมีการส่งผ่านค่าที่อุปกรณ์วัดและข้อมูลอื่นๆ มายังซอฟต์แวร์สำหรับเฝ้าระวัง หรือที่เรียกว่า Human-machine Interface (HMI) ซึ่งรันอยู่บนคอมพิวเตอร์ของวิศวกร

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

เช่นเดียวกับ Stuxnet เป้าหมายของมัลแวร์ IRONGATE คือการสอดแทรกตัวเองเข้าไปยังระบบเฝ้าระวังของ SCADA และทำการดักจับข้อมูลที่ได้มาจาก PCL จากนั้นจะทำการเล่นข้อมูลนั้นซ้ำๆ เพื่อให้วิศวกรเห็นว่าระบบยังคงทำงานเหมือนเดิม ไม่มีการเปลี่ยนแปลง ซึ่งแท้ที่จริงแล้วอาจมีสิ่งผิดปกติหรือเหตุฉุกเฉินเกิดขึ้นได้

ใช้งานไม่ได้ในปัจจุบัน แต่อาจมีมัลแวร์อื่นรับช่วงต่อ

ทางฝั่ง ProductCERT ของ Siemens ออกมายืนยันเป็นที่เรียบร้อยแล้วว่า มัลแวร์ดังกล่าวไม่สามารถทำงานบนระบบ SCADA ภายใต้สภาวะแวดล้อมมาตรฐานของ Siemens ได้ อย่างไรก็ตาม FireEye สงสัยว่า IRONGATE เป็นเพียงมัลแวร์ที่แฮ็คเกอร์ใช้ทดลอง หรือ POC เพื่อพิสูจน์ว่า สามารถออกแบบอาวุธที่มีลักษณะเหมือน Stuxnet แต่ใช้โจมตีระบบ PLC แทน ซึ่งถ้าเป็นจริง นั่นหมายความว่าในปัจจุบันแฮ็คเกอร์ต้องมีการพัฒนามัลแวร์แคมเปญใหม่ ซึ่งสามารถใช้โจมตีระบบ SCADA ได้อย่างแน่นอน

ที่มา: http://www.csoonline.com/article/3078520/security/mysterious-malware-targets-industrial-control-systems-borrows-stuxnet-techniques.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Efficiency: การใช้ Pure Storage มีประสิทธิภาพและคุ้มค่าเหนือกว่าการใช้ Enterprise Storage อื่นอย่างไร

เพราะระบบ Enterprise Storage มักเป็นระบบที่สำคัญต่อธุรกิจองค์กร การลงทุนในระบบเหล่านี้แต่ละครั้งจึงต้องคำนึงถึงประเด็นด้านประสิทธิภาพและความคุ้มค่ามากเป็นพิเศษ เพื่อให้ระบบดังกล่าวสามารถรองรับการใช้งานของธุรกิจได้อย่างต่อเนื่องยาวนาน และคุ้มค่าสูงที่สุด Pure Storage ในฐานะของผู้นำด้านเทคโนโลยี All Flash Array พร้อมตอบโจทย์ดังกล่าวให้กับธุรกิจองค์กร ด้วย …

Dynatrace Webinar: Enabling DevOps/SRE to Build Better Quality Software with Dynatrace

DPM (Thailand) ร่วมกับ Dynatrace ขอเรียนเชิญ Developers, DevOps Engineer และ SRE เข้าร่วมงานสัมมนาออนไลน์เรื่อง "Enabling DevOps/SRE to Build Better Quality Software with Dynatrace" เพื่อเรียนรู้ว่า Dynatrace Cloud Automation จะช่วยแก้ปัญหาและเพิ่มความเร็วและเสถียรภาพของ DevOps ได้อย่างไร ในวันพฤหัสบดีที่ 25 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี