Cybersecurity Malware

7 ปีหลังจาก Stuxnet: ระบบอุตสาหกรรมตกเป็นเป้าโจมตีอีกครั้ง

ย้อนรอยการโจมตีที่เกิดขึ้นกับระบบในโรงงานอุตสาหกรรม

ย้อนกลับไปเมื่อวันที่ 17 มิถุนายน 2010 วันที่พบ Stuxnet ครั้งแรก Stuxnet เป็นมัลแวร์หรือโปรแกรมอันตรายที่ใช้เพื่อโจมตีระบบในอุตสาหกรรม และในเดือนมิถุนายน 2014 เป็นทีของ Havex ที่ใช้โจมตีหลายองค์กร ด้วยโทรจันรีโมทที่สามารถรวบรวมข้อมูลผ่านระบบ ICS/SCADA (Industrial Control System/Supervisory Control and Data Acquisition)

และล่าสุดเดือน มิถุนายน 2017 ESET วิคราะห์ Industroyer อีกหนึ่งภัยคุกคามระบบ ICS

Stuxnet: ครั้งแรกของความซับซ้อนขั้นสุด

Stuxnet เป็นภัยคุกคามประเภทเวิร์ม (Worm) พบโดย Belarus IT security company VirusBlokAda ณ ตอนนั้นไม่ได้ชื่อว่า Stuxnet

จุดเด่นของมัลแวร์ตัวนี้ก็คือความซับซ้อนที่สุดเท่าที่เคยมีมา Stuxnet ใช้โจมตีโรงงานนิวเคลียร์ของอิหร่าน ถึงแม้ว่าตัว Stuxnet จะเกิดความผิดพลาดหลายครั้งแต่ก็ทำให้กระบวนการเพิ่มประสิทธิภาพให้แร่ยูเรเนียมของโรงงาน Natanz ของอิหร่านทำงานช้าลง จนในที่สุดก็ทำให้การสร้างอาวุธนิวเคลียร์ของอิหร่านล่าช้าไป

Stuxnet นับเป็นมัลแวร์ตัวแรกที่ถูกออกมาแบบมาเพื่อโจมตีอุตสาหกรรม และมี Rootkit ไว้เพื่อปลอมแปลงข้อมูลให้สามารถเข้าระบบและซ่อนตัวได้

การโจมตีของ Stuxnet มีหลายระยะ ในระยะแรก Stuxnet จะแพร่กระจายในเครือข่ายด้วยความสามารถของเวิร์ม และเจาะระบบ SCADA

อย่างที่ทราบกันดีว่า Stuxnet ถูกออกแบบมาเพื่อชะลอการทำงานของเครื่องจักรในโรงงานนิวเคลียร์ โดยการรบกวนการทำงานของอุปกรณ์สับเปลี่ยนของเครื่องจักรเป็น 1,000 ตัว และทางอิหร่านไม่สามารถแก้ไขได้ในเวลาอันสั้น

ความดันเป็นปัจจัยสำคัญของการเพิ่มประสิทธิภายยูเรเนี่ยม โดยปกติจะทำกันในสภาวะที่ใกล้เคียงสูญญากาศ และแฮกเกอร์รู้ดีจึงใช้จุดนี้ในการรบกวนการทำงานของเครื่องจักร แฮกเกอร์จึงจัดการตั้งค่าผ่านแผงควบคุมเพื่อหลอกให้ค่าความดันมากกว่าค่ามาตรฐาน

แต่แฮกเกอร์ยังไม่พอใจกับผลลัพธ์ของการโจมตีเท่าไหร่ แต่ Stuxnet ก็ถือว่าประสบความสำเร็จในทางการเมือง

Stuxnet เป็นเหมือนการแจ้งเตือนให้กับผู้รับผิดชอบด้านความปลอดภัยของอุตสาหกรรม อย่างที่คุณ Ralph Langner เขียนไว้ในบทความ “To Kill a Centrifuges”

Havex: กับการลักลอบรวบรวมข้อมูล

4 ปีต่อมาหลังจาก Stuxnet มัลแวร์อีกตัวที่มีชื่อว่า “Havex” ถือกำเนิดขึ้นเพื่อโจมตีอุตสาหกรรมในยุโรป ผู้ผลิตแอปพลิเคชั่นและเครื่องจักรทั้งฝั่ง อเมริกา และยุโรป ต่างถูก Havex โจมตี

การโจมตีของ Havex คือการลักลอบรวบรวมข้อมูล เพื่อนำไปประกอบการโจมตีฮาร์ดแวร์ครั้งต่อไป แต่ต่อมาก็ไม่มีการโจมตีเกิดขึ้น หรืออาจเป็นคำสั่งจากภาครัฐอย่าง Stuxnet หรือทำเพื่อนำข้อมูลไปขาย แต่สิ่งที่เกิดขึ้นแล้วก็คือพวกเขามีข้อมูลที่จะใช้โจมตีครั้งต่อไป

Industroyer: กับการตัดไฟฟ้าด้วยมัลแวร์

ในปี 2017 นี้ ESET ได้วิเคราะห์มัลแวร์ที่ชื่อว่า Industroyer หรือ Crash Override ภัยคุกคามอุตสาหกรรมรุนแรงต่อจาก Stuxnet

Industroyer อาจเป็นสาเหตุของเหตุการณ์ไฟดับที่เมืองหลวง Kiev ของยูเครนเมื่อเดือนธันวาคมปี 2016 แต่สิ่งที่สำคัญกว่าก็คือ Industroyer มีความสามารถในการควบคุมโรงงานไฟฟ้า เหมือนกับ BlackEnergy แต่ต่างกับที่ว่า Industroyer ไม่จำเป็นต้องเข้าไปที่ตัวโรงงานเพื่อติดตั้งมัลแวร์ก็สามารถควบคุมวงจรในโรงงานได้ นั่นหมายความว่าแฮกเกอร์สามารถเลือกโจมตีโรงงานไหนก็ได้

อุตสาหกรรมจำเป็นต้องได้รับการป้องกัน

พวกเราจำเป็นต้องทราบความเสี่ยงของระบบอุตสาหกรรม ภัยคุกคามที่เผชิญอยู่ ความปลอดภัยเป็นสิ่งแรกที่ต้องคำนึงถึงอยู่เสมอ มาตรการลดความเสี่ยงอย่าง Air-Gaps ,โปรแกรมแอนตี้ไวรัส และการอัพเดตความปลอดภัยเป็นทางเลือกที่ดี

Author: Robert Lipovsky
Source:
https://www.welivesecurity.com/2017/06/16/seven-years-stuxnet-industrial-systems-security-spotlight/
Translated by: Worapon H.

%d bloggers like this: