ความสามารถ ‘มัลแวร์ตัวใหม่’ ร้ายแรงกว่าที่คิด
แม้ว่าเราจะก้าวเข้าสู่ปี 2025 แล้ว แต่ภัยคุกคามทางไซเบอร์ก็ไม่ได้หายจากเราไปไหน ยังคงพัฒนารูปแบบการโจมตีและสร้างผลกระทบที่รุนแรงเกือบจะทุกอุตสาหกรรมอย่างต่อเนื่องเลยก็ว่าได้
มีการวิเคราะห์เกี่ยวกับการโจมตีของมัลแวร์จากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า การโจมตีแบบใหม่จะมุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) เพื่อทำลายกระบวนการทางวิศวกรรม
เช่น มีการกำหนดเป้าหมายไปที่เวิร์กสเตชันวิศวกรรมของ Mitsubishi และ Siemens และปรากฏชื่ออยู่ในพื้นที่เก็บข้อมูล VirusTotal ตั้งแต่เดือนสิงหาคมถึงพฤศจิกายน 2024 ที่ผ่านมาด้วย
ทำให้ผู้เชี่ยวชาญโฟกัสสิ่งที่ถูกอัพโหลดไปยัง VirusTotal เพื่อการสืบสวน ได้แก่ ซอฟต์แวร์ทางวิศวกรรมที่ตรวจพบการติดไวรัสผ่านเครื่องมือตรวจจับมัลแวร์ และไฟล์ที่อาจเป็นอันตรายซึ่งออกแบบมาเพื่อโต้ตอบกับซอฟต์แวร์ทางวิศวกรรม
Ramnit มุ่งเป้าไปที่เวิร์คสเตชั่นของ Mitsubishi
Ramnit เกิดขึ้นครั้งแรกในปี 2010 เป็นโทรจันธนาคารที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว ต่อมาได้รับการพัฒนาเป็นแพลตฟอร์มโมดูลาร์ที่สามารถดาวน์โหลดปลั๊กอินจากเซิร์ฟเวอร์ C2 ได้และสามารถแพร่กระจายผ่านอุปกรณ์ที่ติดไวรัส
เช่น USB ไดรฟ์ หรือผ่านเครือข่ายที่ถูกบุกรุกโดยระบบไอทีที่ไม่มีประสิทธิภาพ นอกจากนี้ มัลแวร์อาจเพิ่มโค้ดที่เป็นอันตรายลงในไฟล์ปฏิบัติการ Windows ที่ถูกต้องซึ่งสอดคล้องกับการติดไวรัส Ramnit อื่นๆ บนซอฟต์แวร์ OT ที่ตรวจพบมาก่อนหน้านี้แล้ว
Chaya_003 มุ่งเป้าไปที่เวิร์คสเตชั่นของ Siemens
มีการตรวจพบไบนารีชื่อ Isass.exe และ elsass.exe ที่ปลอมแปลงให้ถูกกฎหมายเพื่อหลอกลวงผู้ใช้หรือหลบเลี่ยงโซลูชันป้องกันไวรัส โดยใช้ประโยชน์จาก Discord webhooks และมีความสามารถในการสำรวจระบบและการทำให้หยุดชะงักของกระบวนการดำเนินงาน ซึ่งนับเป็นรูปแบบการพัฒนาที่ชัดเจนของมัลแวร์ที่แก้ไขและเตรียมพร้อมสำหรับการใช้งานในวงกว้าง
นอกจากนี้ Chaya_003 ยังทดสอบความสามารถในการหยุดกระบวนการทางวิศวกรรม โดยแฮกเกอร์ใช้บริการที่ถูกกฎหมายเพื่อสั่งการและควบคุมระบบ ทำให้การตรวจจับภัยคุกคามเป็นเรื่องที่ท้าทายอย่างมาก ซึ่งโดยทั่วไปแล้วเวิร์กสเตชันทางวิศวกรรมใช้ระบบปฏิบัติการแบบเดิม
เช่น Windows ควบคู่ไปกับซอฟต์แวร์ทางวิศวกรรมเฉพาะทางที่จัดทำโดยผู้ผลิตอุปกรณ์ ซึ่งซอฟต์แวร์นี้จำเป็นสำหรับการทดสอบการใช้งานและการเขียนโปรแกรมอุปกรณ์ปฏิบัติการ
เช่น อุปกรณ์ PLC ในสภาพแวดล้อม OT และ ICS อีกทั้งยังพบบัญชีผู้ใช้งานปลอมของเวิร์กสเตชันทางวิศวกรรมมากกว่า 20% ของเหตุการณ์การโจมตีระบบ OT/ICS อีกด้วย
ดังนั้นการสร้างความยืดหยุ่นในเวิร์กสเตชันทางวิศวกรรมจึงเป็นสิ่งสำคัญ โดยองค์กรต้องจัดการปรับปรุงเรื่องความปลอดภัยจากการโจมตีที่กำหนดเป้าหมายไปที่เวิร์กสเตชันทางวิศวกรรมได้แก่
- ระบุเวิร์กสเตชันทั้งหมดที่เชื่อมต่อกับเครือข่าย OT และประเมินเวอร์ชันซอฟต์แวร์ พอร์ตที่เปิด ข้อมูลรับรอง และซอฟต์แวร์ป้องกันอุปกรณ์ปลายทาง
- ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดได้รับการอัพเดทเป็นเวอร์ชันล่าสุด และตรวจสอบให้แน่ใจว่าโซลูชันการป้องกันปลายทางเปิดใช้งานเป็นปัจจุบัน
- หลีกเลี่ยงการเปิดเผยเวิร์กสเตชันทางวิศวกรรมกับอินเทอร์เน็ตโดยตรง
- แบ่งกลุ่มเครือข่ายอย่างเหมาะสมเพื่อแยกอุปกรณ์ IT, IoT และ OT
- จำกัดการเชื่อมต่อเครือข่ายเฉพาะเวิร์กสเตชั่นการจัดการและวิศวกรรมที่ได้รับอนุญาตเท่านั้น
- ปรับใช้โซลูชันการตรวจสอบที่สามารถตรวจจับตัวบ่งชี้ที่เป็นอันตรายอย่าง มัลแวร์
สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget
ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 7 มกราคม 2568)
https://www.bangkokbiznews.com/tech/gadget/1160844
