เครื่องมือมัลแวร์อันตรายสองตัวที่มุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) และเทคโนโลยีปฏิบัติการ (OT) ในยุโรป ถือเป็นสัญญาณล่าสุดของผลกระทบทางไซเบอร์จากสงครามในยูเครน
หนึ่งในเครื่องมือที่มีชื่อว่า “คาเปก้า” ดูเหมือนจะเชื่อมโยงกับ Sandworm ซึ่งเป็นผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐรัสเซียซึ่งกลุ่มรักษาความปลอดภัย Mandiant ของ Google ในสัปดาห์นี้อธิบายว่าเป็นภัยคุกคามของประเทศ หน่วยโจมตีทางไซเบอร์หลักในยูเครน- นักวิจัยด้านความปลอดภัยจาก WithSecure จากฟินแลนด์ พบว่าประตูหลังดังกล่าวมีการโจมตีบริษัทโลจิสติกส์ในเอสโตเนียและเป้าหมายอื่นๆ ในยุโรปตะวันออกในปี 2023 และมองว่ามันเป็นภัยคุกคามที่ยังคงดำเนินอยู่
มัลแวร์ทำลายล้าง
มัลแวร์ตัวอื่น — มีชื่อเรียกที่ค่อนข้างมีสีสัน ฟิกซ์เน็ต — เป็นเครื่องมือที่กลุ่มภัยคุกคาม Blackjack ที่ได้รับการสนับสนุนจากรัฐบาลยูเครน น่าจะใช้ในการโจมตีเชิงทำลายล้างต่อ Moskollector ซึ่งเป็นบริษัทที่ดูแลเครือข่ายเซ็นเซอร์ขนาดใหญ่สำหรับตรวจสอบระบบบำบัดน้ำเสียของมอสโก ผู้โจมตีใช้ Fuxnet เพื่อปิดกั้นสิ่งที่พวกเขาอ้างว่าเป็นเกตเวย์เซ็นเซอร์ทั้งหมด 1,700 ตัวบนเครือข่ายของ Moskollector และในกระบวนการนี้ได้ปิดการใช้งานเซ็นเซอร์ประมาณ 87,000 ตัวที่เชื่อมต่อกับเกตเวย์เหล่านี้
“ฟังก์ชันหลักของมัลแวร์ Fuxnet ICS กำลังสร้างความเสียหายและบล็อกการเข้าถึงเกตเวย์เซ็นเซอร์ และพยายามทำให้เซ็นเซอร์ทางกายภาพเสียหายเช่นกัน” Sharon Brizinov ผู้อำนวยการฝ่ายวิจัยช่องโหว่ของบริษัทรักษาความปลอดภัย Claroty ของ ICS กล่าว ซึ่งเพิ่งตรวจสอบการโจมตีของ Blackjack จากการโจมตีดังกล่าว Moskollector จะต้องเข้าถึงอุปกรณ์ที่ได้รับผลกระทบแต่ละเครื่องจากหลายพันเครื่องและเปลี่ยนอุปกรณ์ทีละเครื่อง Brizinov กล่าว “เพื่อฟื้นฟูความสามารถของ [Moskollector] ในการตรวจสอบและใช้งานระบบบำบัดน้ำเสียทั่วมอสโก พวกเขาจะต้องจัดหาและรีเซ็ตระบบทั้งหมด”
Kapeka และ Fuxnet เป็นตัวอย่างของผลกระทบทางไซเบอร์ในวงกว้างจากความขัดแย้งระหว่างรัสเซียและยูเครน นับตั้งแต่สงครามระหว่างทั้งสองประเทศเริ่มต้นในเดือนกุมภาพันธ์ 2022 — และก่อนหน้านั้น — กลุ่มแฮ็กเกอร์จากทั้งสองฝ่ายได้พัฒนาและใช้เครื่องมือมัลแวร์หลายอย่างต่อสู้กัน เครื่องมือมากมาย รวมถึงที่ปัดน้ำฝนและแรนซัมแวร์ มีลักษณะเป็นการทำลายหรือก่อกวน และกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญ, ICS และสภาพแวดล้อม OT ในทั้งสองประเทศเป็นหลัก
แต่หลายครั้งที่การโจมตีที่เกี่ยวข้องกับเครื่องมือที่เกิดจากความขัดแย้งอันยาวนานระหว่างทั้งสองประเทศเกิดขึ้น กระทบต่อเหยื่อเป็นวงกว้าง- ตัวอย่างที่โดดเด่นที่สุดคือ NotPetya ซึ่งเป็นเครื่องมือมัลแวร์ที่กลุ่ม Sandworm พัฒนาขึ้นเพื่อใช้ในยูเครน แต่สุดท้ายก็ส่งผลกระทบต่อระบบนับหมื่นทั่วโลกในปี 2017 ในปี 2023 ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักร (กปช.) และ US National Security Agency (NSA) เตือนชุดเครื่องมือมัลแวร์ Sandworm ที่มีชื่อว่า “Infamous Chisel” ที่เป็นภัยคุกคามต่อผู้ใช้ Android ทุกที่
Kapeka: การแทนที่หนอนทรายสำหรับ GreyEnergy?
จากข้อมูลของ WithSecure นั้น Kapeka เป็นแบ็คดอร์ตัวใหม่ที่ผู้โจมตีสามารถใช้เป็นชุดเครื่องมือในระยะเริ่มแรกและช่วยให้สามารถคงอยู่ในระบบของเหยื่อได้ในระยะยาว มัลแวร์มีองค์ประกอบหยดสำหรับวางแบ็คดอร์บนเครื่องเป้าหมายแล้วลบตัวเองออก “Kapeka รองรับฟังก์ชันพื้นฐานทั้งหมดที่ช่วยให้ทำงานเป็นประตูหลังที่ยืดหยุ่นในที่ดินของเหยื่อได้” Mohammad Kazem Hassan Nejad นักวิจัยจาก WithSecure กล่าว
ความสามารถของมันรวมถึงการอ่านและเขียนไฟล์จากและลงดิสก์ การรันคำสั่งเชลล์ และการเปิดตัวเพย์โหลดและกระบวนการที่เป็นอันตราย รวมถึงไบนารีที่อาศัยอยู่นอกโลก “หลังจากได้รับการเข้าถึงครั้งแรก ผู้ปฏิบัติงานของ Kapeka สามารถใช้แบ็คดอร์เพื่อทำงานที่หลากหลายบนเครื่องของเหยื่อ เช่น การค้นหา การติดตั้งมัลแวร์เพิ่มเติม และการโจมตีขั้นต่อไป” Nejad กล่าว
จากข้อมูลของ Nejad นั้น WithSecure สามารถค้นหาหลักฐานที่บ่งบอกถึงความเชื่อมโยงกับ Sandworm และกลุ่มได้ มัลแวร์ GreyEnergy ใช้ในการโจมตีโครงข่ายไฟฟ้าของยูเครนในปี 2018 “เราเชื่อว่า Kapeka อาจเข้ามาแทนที่ GreyEnergy ในคลังแสงของ Sandworm” Nejad กล่าว แม้ว่าตัวอย่างมัลแวร์ทั้งสองตัวอย่างจะไม่ได้มาจากซอร์สโค้ดเดียวกัน แต่ก็มีแนวคิดที่ทับซ้อนกันระหว่าง Kapeka และ GreyEnergy เช่นเดียวกับที่มีการทับซ้อนกันระหว่าง GreyEnergy และรุ่นก่อน BlackEnergy- “สิ่งนี้บ่งชี้ว่า Sandworm อาจอัปเกรดคลังแสงด้วยเครื่องมือใหม่เมื่อเวลาผ่านไป เพื่อปรับตัวให้เข้ากับภาพรวมภัยคุกคามที่เปลี่ยนแปลงไป” Nejad กล่าว
Fuxnet: เครื่องมือในการก่อกวนและทำลาย
ในขณะเดียวกัน Brizinov จาก Clarity ระบุว่า Fuxnet เป็นมัลแวร์ ICS ที่มีจุดประสงค์เพื่อสร้างความเสียหายให้กับอุปกรณ์เซ็นเซอร์ที่ผลิตในรัสเซีย มัลแวร์นี้มีจุดมุ่งหมายเพื่อปรับใช้บนเกตเวย์ที่ตรวจสอบและรวบรวมข้อมูลจากเซ็นเซอร์ทางกายภาพสำหรับสัญญาณเตือนไฟไหม้ การตรวจสอบก๊าซ ไฟส่องสว่าง และกรณีการใช้งานที่คล้ายกัน
“เมื่อมัลแวร์ถูกใช้งาน มันจะปิดกั้นเกตเวย์ด้วยการเขียนทับชิป NAND และปิดการใช้งานความสามารถการเข้าถึงระยะไกลจากภายนอก เพื่อป้องกันไม่ให้ผู้ปฏิบัติงานควบคุมอุปกรณ์จากระยะไกล” Brizinov กล่าว
จากนั้นโมดูลที่แยกออกมาจะพยายามทำให้เซ็นเซอร์กายภาพท่วมท้นด้วยการรับส่งข้อมูล M-Bus ที่ไร้ประโยชน์ M-Bus เป็นโปรโตคอลการสื่อสารของยุโรปสำหรับการอ่านมิเตอร์ก๊าซ น้ำ ไฟฟ้า และมิเตอร์อื่นๆ จากระยะไกล “หนึ่งในวัตถุประสงค์หลักของมัลแวร์ Fuxnet ICS ของ Blackjack [คือ] เพื่อโจมตีและทำลายเซ็นเซอร์ทางกายภาพด้วยตนเองหลังจากเข้าถึงเกตเวย์เซ็นเซอร์” Brizinov กล่าว ในการทำเช่นนั้น Blackjack เลือกที่จะคลุมเครือเซ็นเซอร์โดยส่งแพ็กเก็ต M-Bus ให้พวกเขาโดยไม่จำกัดจำนวน “โดยพื้นฐานแล้ว BlackJack หวังว่าการส่งแพ็กเก็ต M-Bus แบบสุ่มของเซ็นเซอร์อย่างไม่สิ้นสุด แพ็กเก็ตจะล้นพวกมันและอาจทำให้เกิดช่องโหว่ที่จะทำให้เซ็นเซอร์เสียหายและทำให้พวกเขาอยู่ในสถานะที่ไม่สามารถใช้งานได้” เขากล่าว
สิ่งสำคัญสำหรับองค์กรจากการโจมตีดังกล่าวคือการให้ความสนใจกับพื้นฐานด้านความปลอดภัย ตัวอย่างเช่น Blackjack ดูเหมือนจะได้รับการเข้าถึงรูทไปยังเกตเวย์เซ็นเซอร์เป้าหมายโดยการใช้ข้อมูลประจำตัวที่อ่อนแอบนอุปกรณ์ในทางที่ผิด การโจมตีเน้นย้ำว่าทำไม “การรักษานโยบายรหัสผ่านที่ดีจึงเป็นเรื่องสำคัญ ตรวจสอบให้แน่ใจว่าอุปกรณ์ไม่ได้ใช้ข้อมูลประจำตัวเดียวกันหรือใช้ค่าเริ่มต้น” เขากล่าว “สิ่งสำคัญคือต้องปรับใช้การฆ่าเชื้อและการแบ่งส่วนเครือข่ายที่ดี เพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถเคลื่อนที่ภายในเครือข่ายด้านข้างได้ และปรับใช้มัลแวร์กับอุปกรณ์ Edge ทั้งหมด”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
- :เป็น
- :ไม่
- $ ขึ้น
- 000
- 1
- 2017
- 2018
- 2022
- 2023
- 7
- 700
- 87
- a
- ความสามารถ
- สามารถ
- เข้า
- คล่องแคล่ว
- เพิ่มเติม
- ได้รับผล
- หลังจาก
- กับ
- ทั้งหมด
- อนุญาต
- ด้วย
- an
- และ
- หุ่นยนต์
- ปรากฏ
- เป็น
- รอบ
- คลังแสง
- AS
- At
- โจมตี
- การโจมตี
- ความพยายามในการ
- ความสนใจ
- ประตูหลัง
- ขั้นพื้นฐาน
- ข้อมูลพื้นฐานเกี่ยวกับ
- BE
- รับ
- ก่อน
- เชื่อ
- ระหว่าง
- การปิดกั้น
- ทั้งสอง
- ทั้งสองด้าน
- ที่กว้างขึ้น
- แต่
- by
- CAN
- ความสามารถในการ
- กรณี
- ก่อให้เกิด
- เปลี่ยนแปลง
- ชิป
- เลือก
- อ้างว่า
- ความชัดเจน
- รหัส
- รวบรวม
- คมนาคม
- บริษัท
- ส่วนประกอบ
- เกี่ยวกับความคิดเห็น
- ขัดกัน
- งานที่เชื่อมต่อ
- การเชื่อมต่อ
- ควบคุม
- การควบคุม
- ทุจริต
- ประเทศ
- ประเทศ
- หนังสือรับรอง
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ไซเบอร์
- การรักษาความปลอดภัยในโลกไซเบอร์
- cyberattack
- ความเสียหาย
- Dangerous
- ข้อมูล
- ค่าเริ่มต้น
- ป้องกัน
- ปรับใช้
- นำไปใช้
- ปรับใช้
- อธิบาย
- ทำลาย
- พัฒนา
- อุปกรณ์
- ผู้อำนวยการ
- พิการ
- การค้นพบ
- ทำลาย
- ซึ่งทำให้ยุ่ง
- do
- ลดลง
- ขนานนามว่า
- แต่ละ
- ก่อน
- ช่วงแรก ๆ
- ทางตะวันออก
- ยุโรปตะวันออก
- ขอบ
- ติดตั้งระบบไฟฟ้า
- การเปิดใช้งาน
- สิ้นสุดวันที่
- ไม่รู้จบ
- ทั้งหมด
- สภาพแวดล้อม
- อุปกรณ์
- แก่นแท้
- ที่ดิน
- เอสโตเนีย
- ยุโรป
- ในทวีปยุโรป
- แม้
- ทุกที่
- หลักฐาน
- ตัวอย่าง
- ตัวอย่าง
- การดำเนินงาน
- ภายนอก
- ออกมาเสีย
- ที่โดดเด่น
- กุมภาพันธ์
- ไฟล์
- หา
- ธรรมชาติ
- บริษัท
- มีความยืดหยุ่น
- น้ำท่วม
- สำหรับ
- ราคาเริ่มต้นที่
- ฟังก์ชันการทำงาน
- ฟังก์ชั่น
- ที่ได้รับ
- ดึงดูด
- GAS
- เกตเวย์
- เกตเวย์
- ดี
- ตะแกรง
- บัญชีกลุ่ม
- กลุ่ม
- แฮ็กเกอร์
- มี
- he
- ไฮไลท์
- HTTPS
- ระบุ
- ส่งผลกระทบต่อ
- สำคัญ
- in
- ประกอบด้วย
- รวมถึง
- รวมทั้ง
- บ่งชี้ว่า
- เป็นรายบุคคล
- อุตสาหกรรม
- น่าอับอาย
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- ภายใน
- ตัวอย่าง
- ตั้งใจว่า
- ที่เกี่ยวข้องกับ
- IT
- ITS
- ตัวเอง
- jpg
- เพียงแค่
- คีย์
- ภูมิประเทศ
- ใหญ่
- ล่าสุด
- การเปิดตัว
- โคมไฟ
- น่าจะ
- ที่เชื่อมโยง
- โลจิสติก
- ยาวนาน
- ระยะยาว
- เครื่อง
- หลัก
- ส่วนใหญ่
- รักษา
- การทำ
- ที่เป็นอันตราย
- มัลแวร์
- หลาย
- อาจ..
- หมายความว่า
- โมดูล
- การตรวจสอบ
- การตรวจสอบ
- กรุงมอสโก
- มากที่สุด
- ย้าย
- แห่งชาติ
- ความมั่นคงของชาติ
- NCSC
- จำเป็นต้อง
- เครือข่าย
- ใหม่
- ถัดไป
- โดดเด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- นวนิยาย
- เอ็นเอสเอ
- จำนวน
- โอกาส
- of
- on
- ครั้งเดียว
- ONE
- คน
- ต่อเนื่อง
- ทำงาน
- การดำเนินงาน
- ผู้ประกอบการ
- ผู้ประกอบการ
- or
- องค์กร
- แต่เดิม
- ot
- อื่นๆ
- เกิน
- แพ็คเก็ต
- รหัสผ่าน
- ชำระ
- รูปแบบไฟล์ PDF
- ดำเนินการ
- วิริยะ
- กายภาพ
- ทางร่างกาย
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- การวางตัว
- ที่อาจเกิดขึ้น
- อำนาจ
- กริดไฟฟ้า
- บรรพบุรุษ
- การป้องกัน
- กระบวนการ
- กระบวนการ
- ให้
- อุดมสมบูรณ์
- โปรโตคอล
- วัตถุประสงค์
- สุ่ม
- พิสัย
- ransomware
- มาถึง
- การอ่าน
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- ซากศพ
- รีโมท
- การเข้าถึงระยะไกล
- จากระยะไกล
- ลบ
- แทนที่
- การแทนที่
- การวิจัย
- นักวิจัย
- นักวิจัย
- ฟื้นฟู
- ผล
- ราก
- รัสเซีย
- รัสเซีย
- s
- เดียวกัน
- พูดว่า
- ความปลอดภัย
- การแบ่งส่วน
- การส่ง
- เซ็นเซอร์
- เซ็นเซอร์
- แยก
- หลาย
- Share
- เปลือก
- ด้านข้าง
- คล้ายคลึงกัน
- ตั้งแต่
- So
- บาง
- ค่อนข้าง
- แหล่ง
- รหัสแหล่งที่มา
- โดยเฉพาะ
- ระยะ
- ขั้นตอน
- การแสดงละคร
- ข้อความที่เริ่ม
- สถานะ
- ประสบความสำเร็จ
- อย่างเช่น
- รองรับ
- แน่ใจ
- ระบบ
- ระบบ
- เป้า
- เป้าหมาย
- เป้าหมาย
- งาน
- เทคโนโลยี
- เมตริกซ์
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในสัปดาห์นี้
- แต่?
- พัน
- การคุกคาม
- เวลา
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- เครื่องมือ
- รวม
- การจราจร
- เรียก
- พยายาม
- สอง
- ประเทศยูเครน
- หน่วย
- ไม่ จำกัด
- อัพเกรด
- ส่งเสริม
- ใช้
- มือสอง
- ไร้ประโยชน์
- ผู้ใช้
- นำไปใช้
- ความหลากหลาย
- เหยื่อ
- ความอ่อนแอ
- สงคราม
- สงครามในยูเครน
- เตือน
- คือ
- น้ำดื่ม
- we
- อ่อนแอ
- สัปดาห์
- ดี
- คือ
- อะไร
- ที่
- ทำไม
- กว้าง
- จะ
- กับ
- ทั่วโลก
- จะ
- การเขียน
- ลมทะเล