ความสามารถ ‘มัลแวร์ตัวใหม่’ ร้ายแรงกว่าที่คิด

มีการวิเคราะห์เกี่ยวกับการโจมตีของมัลแวร์จากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า การโจมตีแบบใหม่จะมุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) เพื่อทำลายกระบวนการทางวิศวกรรม

เช่น มีการกำหนดเป้าหมายไปที่เวิร์กสเตชันวิศวกรรมของ Mitsubishi และ Siemens และปรากฏชื่ออยู่ในพื้นที่เก็บข้อมูล VirusTotal ตั้งแต่เดือนสิงหาคมถึงพฤศจิกายน 2024 ที่ผ่านมาด้วย

ทำให้ผู้เชี่ยวชาญโฟกัสสิ่งที่ถูกอัพโหลดไปยัง VirusTotal เพื่อการสืบสวน ได้แก่ ซอฟต์แวร์ทางวิศวกรรมที่ตรวจพบการติดไวรัสผ่านเครื่องมือตรวจจับมัลแวร์ และไฟล์ที่อาจเป็นอันตรายซึ่งออกแบบมาเพื่อโต้ตอบกับซอฟต์แวร์ทางวิศวกรรม

 

Ramnit มุ่งเป้าไปที่เวิร์คสเตชั่นของ Mitsubishi

Ramnit เกิดขึ้นครั้งแรกในปี 2010 เป็นโทรจันธนาคารที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว ต่อมาได้รับการพัฒนาเป็นแพลตฟอร์มโมดูลาร์ที่สามารถดาวน์โหลดปลั๊กอินจากเซิร์ฟเวอร์ C2 ได้และสามารถแพร่กระจายผ่านอุปกรณ์ที่ติดไวรัส

เช่น USB ไดรฟ์ หรือผ่านเครือข่ายที่ถูกบุกรุกโดยระบบไอทีที่ไม่มีประสิทธิภาพ นอกจากนี้ มัลแวร์อาจเพิ่มโค้ดที่เป็นอันตรายลงในไฟล์ปฏิบัติการ Windows ที่ถูกต้องซึ่งสอดคล้องกับการติดไวรัส Ramnit อื่นๆ บนซอฟต์แวร์ OT ที่ตรวจพบมาก่อนหน้านี้แล้ว

Chaya_003 มุ่งเป้าไปที่เวิร์คสเตชั่นของ Siemens

มีการตรวจพบไบนารีชื่อ “Isass.exe” และ “elsass.exe” ที่ปลอมแปลงให้ถูกกฎหมายเพื่อหลอกลวงผู้ใช้หรือหลบเลี่ยงโซลูชันป้องกันไวรัส โดยใช้ประโยชน์จาก Discord webhooks และมีความสามารถในการสำรวจระบบและการทำให้หยุดชะงักของกระบวนการดำเนินงาน ซึ่งนับเป็นรูปแบบการพัฒนาที่ชัดเจนของมัลแวร์ที่แก้ไขและเตรียมพร้อมสำหรับการใช้งานในวงกว้าง

นอกจากนี้ Chaya_003 ยังทดสอบความสามารถในการหยุดกระบวนการทางวิศวกรรม โดยแฮกเกอร์ใช้บริการที่ถูกกฎหมายเพื่อสั่งการและควบคุมระบบ ทำให้การตรวจจับภัยคุกคามเป็นเรื่องที่ท้าทายอย่างมาก ซึ่งโดยทั่วไปแล้วเวิร์กสเตชันทางวิศวกรรมใช้ระบบปฏิบัติการแบบเดิม

เช่น Windows ควบคู่ไปกับซอฟต์แวร์ทางวิศวกรรมเฉพาะทางที่จัดทำโดยผู้ผลิตอุปกรณ์ ซึ่งซอฟต์แวร์นี้จำเป็นสำหรับการทดสอบการใช้งานและการเขียนโปรแกรมอุปกรณ์ปฏิบัติการ

เช่น อุปกรณ์ PLC ในสภาพแวดล้อม OT และ ICS อีกทั้งยังพบบัญชีผู้ใช้งานปลอมของเวิร์กสเตชันทางวิศวกรรมมากกว่า 20% ของเหตุการณ์การโจมตีระบบ OT/ICS อีกด้วย

ดังนั้นการสร้างความยืดหยุ่นในเวิร์กสเตชันทางวิศวกรรมจึงเป็นสิ่งสำคัญ โดยองค์กรต้องจัดการปรับปรุงเรื่องความปลอดภัยจากการโจมตีที่กำหนดเป้าหมายไปที่เวิร์กสเตชันทางวิศวกรรมได้แก่

• ระบุเวิร์กสเตชันทั้งหมดที่เชื่อมต่อกับเครือข่าย OT และประเมินเวอร์ชันซอฟต์แวร์ พอร์ตที่เปิด ข้อมูลรับรอง และซอฟต์แวร์ป้องกันอุปกรณ์ปลายทาง
• ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดได้รับการอัพเดทเป็นเวอร์ชันล่าสุด และตรวจสอบให้แน่ใจว่าโซลูชันการป้องกันปลายทางเปิดใช้งานเป็นปัจจุบัน
• หลีกเลี่ยงการเปิดเผยเวิร์กสเตชันทางวิศวกรรมกับอินเทอร์เน็ตโดยตรง
• แบ่งกลุ่มเครือข่ายอย่างเหมาะสมเพื่อแยกอุปกรณ์ IT, IoT และ OT
• จำกัดการเชื่อมต่อเครือข่ายเฉพาะเวิร์กสเตชั่นการจัดการและวิศวกรรมที่ได้รับอนุญาตเท่านั้น
• ปรับใช้โซลูชันการตรวจสอบที่สามารถตรวจจับตัวบ่งชี้ที่เป็นอันตรายอย่าง มัลแวร์