พบมัลแวร์ลึกลับตัวใหม่ ใช้เทคนิคคล้าย Stuxnet พุ่งเป้าระบบ SCADA

fireeye_logo

นักวิจัยจาก FireEye ผู้ให้บริการโซลูชัน Threat Intelligence ชั้นนำของโลก ออกมาเปิดเผยถึงมัลแวร์แคมเปญใหม่ ที่ถูกออกแบบมาเพื่อโจมตีระบบควบคุมกระบวนการของ Critical Infrastructure หรือ SCADA โดยเฉพาะ ซึ่งใช้เทคนิคเดียวกับ Stuxnet มัลแวร์ชื่อดังที่เข้าโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่านเมื่อหลายปีก่อน

Credit: tanewpix/ShutterStock
Credit: tanewpix/ShutterStock

ไม่ถูกค้นพบโดย VirusTotal

มัลแวร์ลึกลับตัวนี้ FireEye ตั้งชื่อว่า IRONGATE ถูกค้นพบเมื่อช่วงครึ่งหลังของปี 2015 ที่ผ่านมาในฐานข้อมูลของ VirusTotal เว็บไซต์ชื่อดังที่รวม Antivirus Engines จาก Vendors ต่างๆ ทั่วโลกสำหรับตรวจสอบไฟล์ว่ามีมัลแวร์แฝงตัวอยู่หรือไม่ ซึ่ง FireEye พบว่า มัลแวร์ดังกล่าวถูกอัพโหลดขึ้นไปตั้งแต่ปี 2014 แต่ในขณะนั้นยังไม่มี Antivirus ยี่ห้อไหนเลยที่ระบุว่าเป็นสิ่งผิดปกติ

เป็นมัลแวร์ทดสอบ มุ่งโจมตีระบบ PLC

FireEye ค้นพบ IRONGATE ผ่านทางการค้นหาตัวอย่างผิดปกติต่างๆ ที่มีแนวโน้มว่าจะเป็นมัลแวร์ โดยดูว่ามีการใช้ PyInstaller (เทคนิคชื่อดังที่แฮ็คเกอร์นิยมใช้) หรือไม่ ผลปรากฏว่า Payload 2 รายการของ IRONGATE มีการใช้เทคนิคดังกล่าว และมีการอ้างอิงถึงระบบ SCADA และฟังก์ชันการทำงานที่เกี่ยวข้อง ซึ่งหลังจากที่ FireEye ทำการตรวจสอบมัลแวร์โดยละเอียดแล้ว พบว่า IRONGATE น่าจะเป็นเพียงมัลแวร์ตัวทดสอบที่ถูกออกแบบมาให้สามารถค้นหาไฟล์ DDL ที่ทำหน้าที่ติดต่อกับ Siements SIMATIC S7-PLCSIM ซอฟต์แวร์สำหรับช่วยให้ผู้ใช้สามารถรันโปรแกรมบน S7-300 และ S7-400 Programable Logic Controllers (PLCs) และสามารถเขียนทับไฟล์นั้นได้

**PLC เป็นอุปกรณ์ฮาร์ดแวร์แบบพิเศษที่ทำหน้าที่ติดตามและควบคุมกระบวนการทางอุตสาหกรรม เช่น การหมุนของมอเตอร์ การเปิดปิดวาล์ว ซึ่งกระบวนการเหล่านี้จะมีการส่งผ่านค่าที่อุปกรณ์วัดและข้อมูลอื่นๆ มายังซอฟต์แวร์สำหรับเฝ้าระวัง หรือที่เรียกว่า Human-machine Interface (HMI) ซึ่งรันอยู่บนคอมพิวเตอร์ของวิศวกร

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

เช่นเดียวกับ Stuxnet เป้าหมายของมัลแวร์ IRONGATE คือการสอดแทรกตัวเองเข้าไปยังระบบเฝ้าระวังของ SCADA และทำการดักจับข้อมูลที่ได้มาจาก PCL จากนั้นจะทำการเล่นข้อมูลนั้นซ้ำๆ เพื่อให้วิศวกรเห็นว่าระบบยังคงทำงานเหมือนเดิม ไม่มีการเปลี่ยนแปลง ซึ่งแท้ที่จริงแล้วอาจมีสิ่งผิดปกติหรือเหตุฉุกเฉินเกิดขึ้นได้

ใช้งานไม่ได้ในปัจจุบัน แต่อาจมีมัลแวร์อื่นรับช่วงต่อ

ทางฝั่ง ProductCERT ของ Siemens ออกมายืนยันเป็นที่เรียบร้อยแล้วว่า มัลแวร์ดังกล่าวไม่สามารถทำงานบนระบบ SCADA ภายใต้สภาวะแวดล้อมมาตรฐานของ Siemens ได้ อย่างไรก็ตาม FireEye สงสัยว่า IRONGATE เป็นเพียงมัลแวร์ที่แฮ็คเกอร์ใช้ทดลอง หรือ POC เพื่อพิสูจน์ว่า สามารถออกแบบอาวุธที่มีลักษณะเหมือน Stuxnet แต่ใช้โจมตีระบบ PLC แทน ซึ่งถ้าเป็นจริง นั่นหมายความว่าในปัจจุบันแฮ็คเกอร์ต้องมีการพัฒนามัลแวร์แคมเปญใหม่ ซึ่งสามารถใช้โจมตีระบบ SCADA ได้อย่างแน่นอน

ที่มา: http://www.csoonline.com/article/3078520/security/mysterious-malware-targets-industrial-control-systems-borrows-stuxnet-techniques.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dell Technologies เปิดตัวผลิตภัณฑ์ใหม่ ‘PowerEdge Gen 16’ พร้อมตอบโจทย์ทุกความต้องการ

ในช่วงที่ธุรกิจกำลังเผชิญกับยุคแห่งความท้าทายใหม่ ทั้งการทำ Digital Transformation, Data Insights, Supply Chain และ Security ปฏิเสธไม่ได้ว่าระบบไอทีคือหัวใจสำคัญในการขับเคลื่อนธุรกิจให้ผ่านพ้นจากความท้าทายเหล่านี้ ดังนั้น ธุรกิจจึงต้องมีโครงสร้างพื้นฐานแบบใหม่ตอบโจทย์สถานการณ์ปัจจุบัน โดยในงาน “POWEREDGE. …

พาชม True IDC Experience Center ศูนย์การเรียนรู้ด้าน Data Center & Cloud ณ True Digital Park

True IDC Experience Center เป็นศูนย์การเรียนรู้ที่เปิดโอกาสให้ผู้ประกอบการธุรกิจ ผู้ดูแลระบบ Data Center และ Cloud เหล่านักพัฒนา รวมถึงบุคคลทั่วไป ได้เข้ามาสัมผัสประสบการณ์การทำงานของระบบ Data Center …