Cybercrime

สหรัฐฯเตือนการโจมตีไซเบอร์ในแหล่งผลิตพลังงานและโครงสร้างพื้นฐาน

สหรัฐฯเตือนการโจมตีไซเบอร์ที่กำลังจะเกิดขึ้นกับธุรกิจพลังงาน โดยอาจเป็นฝีมือของทั้งภาครัฐและเอกชน

กระทรวงความมั่นคงภายในประเทศของสหรัฐ (DHS) และ FBI เตือนเกี่ยวกับแฮกเกอร์ที่มีเป้าหมายเป็นองค์กรของรัฐบาล และองค์กรที่ทำงานอยู่ในอุตสาหกรรมพลังงาน น้ำ การบิน และการผลิต

คำเตือนดังกล่าวถูกส่งผ่านอีเมล์ไปยังอุตสาหกรรมต่างๆ โดยมีเนื้อหาเกี่ยวกับกลุ่มแฮกเกอร์ที่กำลังจะโจมตีอุตสาหกรรมโครงสร้างพื้นฐานที่สำคัญ และในบางกรณีแฮกเกอร์ได้แทรกซึมเข้าไปในเครือข่าย

เหตุการณ์ที่องค์กรที่ไว้ใจให้องค์กรอื่น (Outsource) ทำงานให้กลายเป็นเหยื่อของการโจมตีไซเบอร์บ่อยครั้งยิ่งขึ้น

การ “จำลองการโจมตีเป้าหมาย” อาจทำให้แฮกเกอร์ได้ข้อมูลที่พวกเขาสามารถนำไปใช้กับเป้าหมายของพวกเขาขึ้นมาจริงๆก็เป็นได้

จากกระทรวงความมั่นคงบอกว่า พวกเขายังคงจะดำเนินแผนการเหล่านี้ต่อไป เพื่อบรรจุจุดประสงค์ของพวกเขา ไม่ว่าจะเป็นสอดแนม ตรวจตรา หรือขัดจังหวะการทำงาน

การโจมตีล่าสุดที่เชื่อว่าเป็นฝีมือของกลุ่มแฮกเกอร์ Dragonfly ที่ส่งผลกระทบต่อองค์กรเกี่ยวกับพลังงานกว่า 1,000 องค์กรในยุโรป และอเมริกาเหนือตกเป็นเหยื่อ

หนึ่งในเทคนิคที่แฮกเกอร์ใช้ในงานนี้คืออีเมล์ Spear-phishing เพื่อให้ได้ข้อมูลสำคัญอย่างรหัสผ่านมา:

Throughout the spear-phishing campaign, threat actors used email attachments to leverage legitimate Microsoft Office functions to retrieve a document from a remote server using the Server Message Block (SMB) protocol. (An example of this request is: file[:]///Normal.dotm). As a part of the standard processes executed by Microsoft Word, this request authenticates the client with the server, sending the user’s credential hash to the remote server prior to retrieving the requested file. (Note: It is not necessary for the file to be retrieved for the transfer of credentials to occur.) The threat actors then likely used password-cracking techniques to obtain the plaintext password. Once actors obtain valid credentials, they are able to masquerade as authorized users.

ในการโจมตีครั้งอื่นๆ แฮกเกอร์อาจใช้การส่งไฟล์ที่มีหน้าตาเหมือนข้อตกลงในรูปแบบของไฟล์ PDF ที่ดูเหมือนไม่มีพิษภัย แต่จริงแล้วมีลิงก์อันตรายซ่อนอยู่ภายในก็เป็นได้

และเพื่อที่จะเพิ่มโอกาสที่ไฟล์ PDF ดังกล่าวจะถูกเปิด ชื่อไฟล์ที่ส่งมาอาจมีความเกี่ยวข้องกับองค์กร หรือเอกสารเชิญต่างๆ ที่ทำให้จำเป็นต้องเปิดไฟล์

สำหรับข้อมูลเพิ่มเติมสามารถหาได้ใน US-CERT

Author: Graham Cluley
Source:
https://www.welivesecurity.com/2017/10/22/us-warns-ongoing-attacks-energy-firms-critical-infrastructure/
Translated by: Worapon H.

%d bloggers like this: