Malware Top Stories

Industroyer: ภัยคุกคามที่สามารถควบคุมระบบไฟฟ้าในโรงงานอุตสาหกรรมได้

มัลแวร์ที่สามารถควบคุมการจ่ายไฟของโรงงานอุตสาหกรรม และสามารถดัดแปลงให้ใช้กับโครงสร้างชนิดอื่นๆ

เมื่อปีที่ผ่านมาเกิดเหตุการณ์โจมตีโรงไฟฟ้าในยูเครนทำให้ไฟฟ้าดับเป็นเวลาหลายชั่วโมง เมื่อนักวิจัยจาก ESET เข้าไปตรวจสอบพบว่าการโจมตีดังกล่าวเป็นการโจมตีไซเบอร์ โดยมีความเป็นไปได้ที่แฮกเกอร์จะใช้มัลแวร์ที่ทาง ESET เคยตรวจจับได้ที่มีชื่อว่า Win32/Industroyer เนื่องจากมีความสามารถโจมตีในลักษณะแบบนี้

แต่ไม่ว่าอย่างไรก็ตามก็ยังไม่มีการยืนยันว่ามัลแวร์ตัวนี้เป็นอุปกรณ์ที่ใช้ในการโจมตี ถึงแม้มัลแวร์ตัวนี้จะสามารถสร้างความเสียหายให้ระบบไฟฟ้า และสามารถดัดแปลงไปใช้กับโครงสร้างชนิดอื่นๆได้

Industroyer_operation-1-768x189

เหตุผลที่ Industroyer อันตรายเพราะความสามารถในการออกคำสั่งปิดสวิตช์และแผงวงจรได้โดยตรง โดยผ่านโปรโตคอลที่แหล่งจ่ายไฟ ระบบคมนาคม และโครงสร้างอื่นๆอย่างน้ำ และน้ำมันนิยมใช้กัน

สวิตช์และวงจรดิจิตอลเหล่านี้ทำงานเหมือนกับสวิตช์และวงจรทั่วๆไป จึงสามารถใช้เพื่อหยุดการจ่ายกระแสไฟฟ้าและอาจสร้างความเสียหายให้กับเครื่องจักรและอุปกรณ์ หรือหยุดการทำงานของโรงงานอุตสาหกรรมในส่วนใดส่วนหนึ่ง

โปรโตคอลดังกล่าวถูกออกแบบมาเป็นเวลา 10 ปีแล้วเพื่อรับรองการใช้งานลักษณะนี้ แต่ ณ ตอนที่พัฒนาระบบอุตสาหกรรมยังไม่มีการเชื่อมต่อกับโลกภายนอก ดังนั้นจึงไม่มีการคำนึงถึงประเด็นความปลอดภัยนี้มาก่อน ซึ่งทำให้แฮกเกอร์สามารถสั่งการได้โดยไม่จำเป็นต้องแฮกหรือหาช่องโหว่ แค่ตรงเข้าไปออกคำสั่งเท่านั้นเอง

โครงสร้างและฟังก์ชันของมัลแวร์

Indestoryer เป็มัลแวร์ที่สามารถแยกส่วนประกอบได้ โดนมีส่วนประกอบหลักเป็น Backdoor ที่แฮกเกอร์ใช้ออกคำสั่ง: ติดตั้ง และควบคุมส่วนประกอบอื่นๆให้เชื่อมต่อกับรีโมตเซิร์ฟเวอร์เพื่อออกคำสั่งและส่งรายงานให้กับแฮกเกอร์

สิ่งที่ Industroyer มีไม่เหมือนกับมัลแวร์ในประเภทเดียวกันก็คือ Payload 4 ตัว ที่ออกแบบมาเพื่อควบคุมสวิตช์และวงจรโดยตรง

ส่วนประกอบแต่ละตัวของ Industroyer ออกแบบมาให้เชื่อมต่อกับโปรโตคอลเฉพาะ: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, และ OLE สำหรับ Process Control Data Access (OPC DA)

ตัว Payload จะทำงานโดยมีเป้าหมายเฉพาะภายในเครือข่าย และออกคำสั่งให้กับอุปกรณ์ภายในอุตสาหกรรม ซึ่งแสดงถึงความชำนาญเกี่ยวกับโครงสร้างพื้นฐานของผู้พัฒนา

Industroyer_scheme-1-768x581

นอกจากนี้มัลแวร์ตังนี้ยังมีความสามารถในการหลบหนีการตรวจจับ และลบร่องรอยหลังจากภารกิจของมันเสร็จสิ้น

ข้อสรุป

Industroyer เป็นมัลแวร์ที่สามารถดัดแปลงและใช้ได้หลากหลายสภาพแวดล้อม ผ่านโปรโตคอลที่มัลแวร์รองรับ ส่วนประกอบของมันถูกออกแบบมาสำหรับฮาร์ดแวร์บางตัว

โดยทฤษฎีแล้วการใช้มัลแวร์โจมตีโดยไม่ต้องเข้าไปในสถานที่ถือเป็นเรื่องยากมาก แต่ก็มีความเป็นไปได้ที่ Industroyer จะเป็นเครื่องมือที่ใช้ในเหตุการณ์ไฟฟ้ากับเมื่อปี 2016 เนื่องจากความสามารถเฉพาะตัวของมัน และร่องรอยการทำงานเมื่อวันที่ 17 ธันวาคม 2016 วันเดียวที่เกิดเหตุการณ์ไฟฟ้าดับ

แฮกเกอร์สามารถประยุกต์มัลแวร์ตัวนี้ได้ในหลากหลายสภาพแวดล้อม และเหตุการณ์ที่เกิดขึ้นในยูเครนเป็นตัวอย่างที่ดีที่จะเป็นฉนวนให้ภาคส่วนความปลอดภัยอื่นทั่งโลก ตื่นตัวและให้ความสำคัญกับระบบของตัวเอง

Author: ANTON CHEREPANOV
Source:
https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/
Translated by: Worapon H.

%d bloggers like this: