มัลแวร์กลุ่มใหม่แพร่ระบาดในอุปกรณ์ในยูเครนและโปแลนด์ มีการเชื่อมโยงทางเทคนิคกับ BlackEnergy, Industroyer และ NotPetya ซึ่งเคยทำให้เกิดไฟฟ้าดับและการก่อวินาศกรรมทางคอมพิวเตอร์ในอดีต
ณ สิ้นปี 2558 แฮกเกอร์จากกลุ่ม BlackEnergy เป็นคนแรกที่ก่อวินาศกรรมโครงสร้างพื้นฐานสาธารณะโดยการดำน้ำชาวยูเครนมากกว่าหนึ่งล้านคนในความมืด- เมื่อปลายปี 2559 พวกเขาทำมันอีกครั้งโดยใช้มัลแวร์อุตสาหกรรมซึ่งแชร์โค้ดกับเครื่องมือ BlackEnergy แฮกเกอร์เหล่านี้ซึ่งผู้เชี่ยวชาญหลายคนเชื่อมโยงกับบริการของรัสเซีย ยังคงสานต่อเว็บของพวกเขาด้วยเครื่องมือใหม่ที่ซับซ้อนยิ่งขึ้น
นักวิจัยด้านความปลอดภัยของ Eset เพิ่งเปิดเผยการมีอยู่ของสีเทาพลังงานซึ่งเป็นชุดมัลแวร์และเทคนิคที่ใช้ในการสอดแนมอุปกรณ์ทางอุตสาหกรรม โดยเฉพาะอย่างยิ่งในภาคพลังงาน -ในช่วงสามปีที่ผ่านมา เราได้เห็นแฮกเกอร์ของ GreyEnergy โจมตีบริษัทพลังงานและเป้าหมายที่มีความอ่อนไหวสูงอื่นๆ ในยูเครนและโปแลนด์“ Anton Cherepanov นักวิจัยด้านความปลอดภัยของ Eset อธิบาย
ตอนนี้ GreyEnergy เป็นแคมเปญสายลับ มัลแวร์ที่ใช้ทำให้แฮกเกอร์สามารถแยกไฟล์ จับภาพหน้าจอ สกัดกั้นการกดแป้นพิมพ์ ขโมยรหัสผ่าน ฯลฯ ระบบเป้าหมายคือสถานีควบคุมที่ควบคุมซอฟต์แวร์และเซิร์ฟเวอร์ SCADA ที่ใช้โดยโครงสร้างพื้นฐานทางอุตสาหกรรม
เพื่อแพร่ระบาดไปยังเทอร์มินัลเหล่านี้ แฮกเกอร์จะส่งอีเมลที่เป็นอันตรายแบบกำหนดเป้าหมาย (สเปียร์ฟิชชิ่ง) หรือแฮ็กเซิร์ฟเวอร์ เวกเตอร์การโจมตีช่วยให้พวกเขาตั้งหลักในเครือข่ายเป้าหมายได้ ผู้โจมตีจึงเคลื่อนตัวไปทางด้านข้างเพื่อค้นหาจุดที่น่าสนใจ จากนั้นพวกเขาจะปรับใช้เครือข่ายพร็อกซีเซิร์ฟเวอร์เพื่อกรองข้อมูลทีละขั้นตอน
ตามที่นักวิจัย GreyEnergy มีความคล้ายคลึงกับ BlackEnergy มากมาย มัลแวร์ทั้งสองกลุ่มมีโครงสร้างโมดูลาร์เหมือนกันและอาศัยแบ็คดอร์น้ำหนักเบาเพื่อแพร่เชื้อเทอร์มินัลเป้าหมายและปรับใช้โมดูลที่แตกต่างกัน (เพย์โหลด) ทั้งสองกลุ่มยังใช้รีเลย์ Tor เป็นเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C)
ความแตกต่างที่สำคัญคือ GreyEnergy มีความรอบคอบมากกว่ามาก แฮกเกอร์ระมัดระวังในการดาวน์โหลดเฉพาะโมดูลที่จำเป็นเท่านั้น โมดูลเหล่านี้บางส่วนได้รับการเข้ารหัสใน AES 256 บิต ส่วนโมดูลอื่นๆ ยังคงโหลดลงใน RAM เท่านั้น ซึ่งช่วยให้ไม่ทิ้งร่องรอยไว้บนดิสก์ของคอมพิวเตอร์เป้าหมาย (“ไร้ไฟล์”) การใช้พร็อกซีเซิร์ฟเวอร์ยังทำให้สามารถจำกัดการติดตามที่น่าสงสัยได้ เนื่องจากสถานีควบคุมที่ถูกแฮ็กจะสื่อสารกับอุปกรณ์ภายในตั้งแต่แรก ซึ่งอาจดูเป็นเรื่องปกติ
การโจรกรรมข้อมูลประจำตัว
แฮกเกอร์ GreyEnergy ยังพรางมัลแวร์บางตัวด้วยลายเซ็นอิเล็กทรอนิกส์จาก Advantech ซัพพลายเออร์ชาวไต้หวันซึ่งมีอยู่มากในภาคอุตสาหกรรม -นี่เป็นวิธีการที่คล้ายคลึงกับวิธีที่ใช้ในการโจมตี Stuxnet อันโด่งดัง» ขีดเส้นใต้ Robert Lipovsky นักวิจัยของ Eset อีกคนที่เข้าร่วมในการค้นพบนี้
รายละเอียดที่น่าสนใจอีกประการหนึ่ง: นับตั้งแต่วินาทีที่ GreyEnergy ปรากฏบนเรดาร์ของ Eset ก็เกิดความเงียบของวิทยุทางฝั่งของ BlackEnergy ซึ่งทำให้นักวิจัยกล่าวว่า GreyEnergy เป็นผู้สืบทอดของ BlackEnergy ในทางหนึ่งด้วยเครื่องมือใหม่ที่ซับซ้อนยิ่งขึ้น
กลุ่ม GreyEnergy ยังเชื่อมโยงกับกลุ่ม Telebots ซึ่งรับผิดชอบในการจำหน่ายเวิร์ม NotPeya ซึ่งเป็นแรนซัมแวร์หลอกซึ่งมีจุดมุ่งหมายเพื่อก่อวินาศกรรมบริษัทที่ดำเนินงานในยูเครน แท้จริงแล้ว ตัวอย่างมัลแวร์ GreyEnergy ที่พบในเดือนธันวาคม 2559 มีโค้ดที่ใช้สร้าง NotPetya
GreyEnergy จึงเข้าร่วมกลุ่มมัลแวร์ที่มีความโดดเด่นในด้านการโจมตีที่เป็นอันตรายและเป็นอันตรายเป็นพิเศษ ปัจจุบันเราไม่ทราบว่าเหตุใดอุปกรณ์อุตสาหกรรมทั้งหมดนี้จึงถูกสอดแนม แต่การกระทำที่ผ่านมากลับไม่อุ่นใจ
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
