ผู้คุกคามได้พัฒนาโมดูลที่กำหนดเองเพื่อประนีประนอมอุปกรณ์ ICS ต่างๆ รวมทั้งเวิร์กสเตชัน Windows ที่เป็นภัยคุกคามที่ใกล้เข้ามา โดยเฉพาะกับผู้ให้บริการด้านพลังงาน
ผู้ก่อภัยคุกคามได้สร้างและพร้อมที่จะปรับใช้เครื่องมือที่สามารถใช้ควบคุมอุปกรณ์ระบบควบคุมอุตสาหกรรม (ICS) ที่ใช้กันอย่างแพร่หลาย ซึ่งสร้างปัญหาให้กับผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญ โดยเฉพาะอย่างยิ่งผู้ที่อยู่ในภาคพลังงาน หน่วยงานของรัฐบาลกลางได้เตือน
In ที่ปรึกษาร่วมกันกระทรวงพลังงาน (DoE) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) สำนักงานความมั่นคงแห่งชาติ (NSA) และเอฟบีไอเตือนว่า “ผู้กระทำการคุกคามแบบต่อเนื่องขั้นสูง (APT) บางราย” ได้แสดงให้เห็นแล้วว่าสามารถ “ได้รับเต็มรูปแบบ” การเข้าถึงระบบไปยังระบบควบคุมอุตสาหกรรม (ICS)/อุปกรณ์ควบคุมดูแลและการเก็บข้อมูล (SCADA) หลายระบบ” ตามการแจ้งเตือน
เครื่องมือที่สร้างขึ้นเองซึ่งพัฒนาขึ้นโดย APT ช่วยให้พวกเขาสามารถสแกนหา ประนีประนอม และควบคุมอุปกรณ์ที่ได้รับผลกระทบ เมื่อเข้าถึงเครือข่ายเทคโนโลยีปฏิบัติการ (OT) ได้แล้ว สิ่งนี้สามารถนำไปสู่การกระทำที่ชั่วร้ายหลายอย่าง รวมถึงการยกระดับสิทธิ์ การเคลื่อนไหวด้านข้างภายในสภาพแวดล้อม OT และการหยุดชะงักของอุปกรณ์หรือการทำงานที่สำคัญ พวกเขากล่าว
อุปกรณ์ที่มีความเสี่ยง ได้แก่ Schneider Electric MODICON และ MODICON Nano ตัวควบคุมลอจิกแบบตั้งโปรแกรมได้ (PLC) ซึ่งรวมถึง (แต่ไม่จำกัดเพียง) TM251, TM241, M258, M238, LMC058 และ LMC078; OMRON Sysmac NEX PLCs; และเซิร์ฟเวอร์ Open Platform Communications Unified Architecture (OPC UA) หน่วยงานดังกล่าว
APT ยังสามารถประนีประนอมเวิร์กสเตชันทางวิศวกรรมบน Windows ที่มีอยู่ในสภาพแวดล้อม IT หรือ OT โดยใช้ช่องโหว่สำหรับช่องโหว่ที่รู้จักใน ASRock เมนบอร์ด คนขับ เขาพูดว่า
คำเตือนควรเอาใจใส่
แม้ว่าหน่วยงานของรัฐบาลกลางมักจะออกคำแนะนำเกี่ยวกับภัยคุกคามทางไซเบอร์ แต่ผู้เชี่ยวชาญด้านความปลอดภัยคนหนึ่งก็เรียกร้องให้ ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญ อย่าถือเอาคำเตือนนี้อย่างไม่ใส่ใจ
“อย่าพลาด นี่เป็นการแจ้งเตือนที่สำคัญจาก CISA” Tim Erlin รองประธานฝ่ายกลยุทธ์ของ Tripwire ระบุในอีเมลถึง Threatpost “องค์กรอุตสาหกรรมควรใส่ใจกับภัยคุกคามนี้”
เขาตั้งข้อสังเกตว่าในขณะที่การแจ้งเตือนกำลังมุ่งเน้นไปที่เครื่องมือสำหรับการเข้าถึงอุปกรณ์ ICS เฉพาะ ภาพรวมที่ใหญ่กว่าคือสภาพแวดล้อมการควบคุมอุตสาหกรรมทั้งหมดมีความเสี่ยงเมื่อผู้คุกคามตั้งหลักได้
“ผู้โจมตีจำเป็นต้องมีจุดเริ่มต้นในการประนีประนอมเพื่อเข้าถึงระบบควบคุมอุตสาหกรรมที่เกี่ยวข้อง และองค์กรควรสร้างการป้องกันตามนั้น” Erlin แนะนำ
ชุดเครื่องมือแบบแยกส่วน
หน่วยงานได้จัดเตรียมรายละเอียดของเครื่องมือโมดูลาร์ที่พัฒนาโดย APT ซึ่งช่วยให้พวกเขาสามารถดำเนินการ "การหาประโยชน์จากอุปกรณ์เป้าหมายโดยอัตโนมัติอย่างสูง" พวกเขากล่าว
พวกเขาอธิบายเครื่องมือดังกล่าวว่ามีคอนโซลเสมือนพร้อมอินเทอร์เฟซคำสั่งที่จำลองอินเทอร์เฟซของอุปกรณ์ ICS/SCADA เป้าหมาย โมดูลโต้ตอบกับอุปกรณ์เป้าหมาย ทำให้แม้แต่ผู้คุกคามที่มีทักษะต่ำก็สามารถเลียนแบบความสามารถที่มีทักษะสูงกว่าได้ หน่วยงานเตือน
การดำเนินการที่ APT สามารถทำได้โดยใช้โมดูล ได้แก่ การสแกนหาอุปกรณ์เป้าหมาย การตรวจสอบรายละเอียดอุปกรณ์ การอัปโหลดการกำหนดค่า/รหัสที่เป็นอันตรายไปยังอุปกรณ์เป้าหมาย การสำรองหรือกู้คืนเนื้อหาอุปกรณ์ และการแก้ไขพารามิเตอร์ของอุปกรณ์
นอกจากนี้ นักแสดง APT สามารถใช้เครื่องมือที่ติดตั้งและใช้ประโยชน์จากช่องโหว่ในไดรเวอร์เมนบอร์ด ASRock AsrDrv103.sys ที่ติดตามเป็น CVE-2020-15368. ข้อบกพร่องนี้ช่วยให้สามารถเรียกใช้โค้ดที่เป็นอันตรายในเคอร์เนลของ Windows อำนวยความสะดวกในการเคลื่อนย้ายด้านข้างของสภาพแวดล้อม IT หรือ OT ตลอดจนการหยุดชะงักของอุปกรณ์หรือฟังก์ชันที่สำคัญ
การกำหนดเป้าหมายอุปกรณ์เฉพาะ
นักแสดงยังมีโมดูลเฉพาะสำหรับโจมตีอีกฝ่าย อุปกรณ์ ICS. โมดูลสำหรับชไนเดอร์ อิเล็คทริคโต้ตอบกับอุปกรณ์ผ่านโปรโตคอลการจัดการปกติและ Modbus (TCP 502)
โมดูลนี้อาจอนุญาตให้นักแสดงดำเนินการต่างๆ ที่เป็นอันตราย รวมถึงการเรียกใช้การสแกนอย่างรวดเร็วเพื่อระบุ Schneider PLC ทั้งหมดบนเครือข่ายท้องถิ่น รหัสผ่าน PLC ที่ดุร้าย ดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DoS) เพื่อบล็อก PLC ไม่ให้รับการสื่อสารเครือข่าย หรือดำเนินการโจมตี "แพ็คเก็ตแห่งความตาย" เพื่อให้ PLC พังและอื่น ๆ ตามคำแนะนำ
โมดูลอื่น ๆ ในเครื่องมือ APT กำหนดเป้าหมายอุปกรณ์ OMRON และสามารถสแกนหาพวกเขาบนเครือข่ายรวมทั้งทำหน้าที่ประนีประนอมอื่น ๆ หน่วยงานกล่าว
นอกจากนี้ โมดูล OMRON ยังสามารถอัปโหลดเอเจนต์ที่ช่วยให้ผู้คุกคามสามารถเชื่อมต่อและเริ่มคำสั่งต่างๆ เช่น การจัดการไฟล์ การจับแพ็กเก็ต และการดำเนินการโค้ด ผ่าน HTTP และ/หรือ Hypertext Transfer Protocol Secure (HTTPS) ตามการแจ้งเตือน
สุดท้าย โมดูลที่ช่วยให้สามารถประนีประนอมอุปกรณ์ OPC UA มีฟังก์ชันพื้นฐานในการระบุเซิร์ฟเวอร์ OPC UA และเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ OPC UA โดยใช้ข้อมูลประจำตัวที่เป็นค่าเริ่มต้นหรือถูกบุกรุกก่อนหน้านี้ หน่วยงานเตือน
มาตรการบรรเทาสาธารณภัยที่แนะนำ
หน่วยงานได้เสนอรายการการบรรเทาผลกระทบมากมายสำหรับผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญเพื่อหลีกเลี่ยงการประนีประนอมของระบบด้วยเครื่องมือ APT
“สิ่งนี้ไม่ง่ายเหมือนการใช้โปรแกรมแก้ไข” Erwin จาก Tripwire กล่าว ในรายการ เขาอ้างถึงการแยกระบบที่ได้รับผลกระทบ ใช้การตรวจจับปลายทาง การกำหนดค่า และการตรวจสอบความสมบูรณ์ และการวิเคราะห์บันทึกเป็นการดำเนินการหลักที่องค์กรควรดำเนินการทันทีเพื่อปกป้องระบบของตน
เฟดยังแนะนำว่าผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญมีแผนรับมือเหตุการณ์ในโลกไซเบอร์ที่ผู้มีส่วนได้ส่วนเสียทั้งหมดในด้านไอที การรักษาความปลอดภัยทางไซเบอร์ และการปฏิบัติการรู้และสามารถนำไปใช้ได้อย่างรวดเร็วหากจำเป็น ตลอดจนรักษาการสำรองข้อมูลออฟไลน์ที่ถูกต้องเพื่อการกู้คืนที่รวดเร็วยิ่งขึ้นจากการโจมตีที่ก่อกวน ท่ามกลางการบรรเทาผลกระทบอื่นๆ .
ย้ายไปที่คลาวด์? ค้นพบภัยคุกคามความปลอดภัยบนคลาวด์ที่เกิดขึ้นใหม่พร้อมกับคำแนะนำที่มั่นคงเกี่ยวกับวิธีปกป้องทรัพย์สินของคุณด้วย ดาวน์โหลดฟรี eBook, “ความปลอดภัยของระบบคลาวด์: การคาดการณ์สำหรับปี 2022” เราสำรวจความเสี่ยงและความท้าทายอันดับต้น ๆ ขององค์กร แนวทางปฏิบัติที่ดีที่สุดสำหรับการป้องกัน และคำแนะนำสำหรับความสำเร็จด้านความปลอดภัยในสภาพแวดล้อมการประมวลผลแบบไดนามิก รวมถึงรายการตรวจสอบที่มีประโยชน์
- blockchain
- เหรียญอัจฉริยะ
- โครงสร้างพื้นฐานที่สำคัญ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
