ผู้โจมตีจากประเทศจีนได้เจาะระบบจัดการอัตโนมัติของอาคาร (โดยส่วนใหญ่ใช้เพื่อควบคุม HVAC, ระบบดับเพลิง และฟังก์ชั่นความปลอดภัยของอาคาร) ขององค์กรในเอเชียหลายแห่งเพื่อเข้าถึงภายในเครือข่าย
กลุ่ม APT ที่เป็นผู้โจมตีถูกพบโดยนักวิจัยจาก Kaspersky ICS CERT โดยเป็นการมุ่งเป้าโจมตีไปที่ช่องโหว่ CVE-2021-26855 ของ Microsoft Exchange ที่เรียกกันว่า ProxyLogon บนระบบที่ยังไม่ได้มีการอัปเดตแพตช์ โดยอาจมีเหยื่อจำนวนมากที่ตกเป็นเป้าหมาย เนื่องจากเคยมีรายงานจากสถาบัน Dutch Institute for Vulnerability Disclosure (DIVD) ว่าหนึ่งสัปดาห์หลังจากที่ Microsoft ได้ปล่อยแพตช์ออกมา ยังคงพบว่าเซิร์ฟเวอร์ Microsoft Exchange กว่า 46,000 แห่ง ไม่ได้มีการอัปเดตแพตช์ช่องโหว่ ProxyLogon ดังกล่าว
ในปีที่แล้ว ESET บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ตของสโลวาเกียระบุว่า ในเดือนมีนาคม 2021 กลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มกำลังใช้ช่องโหว่ ProxyLogon ในการโจมตี โดยเริ่มการโจมตีมาตั้งแต่ช่วงวันที่ 3 มกราคม 2021 ก่อนที่ Microsoft จะปล่อยแพตช์อัปเดตออกมาในวันที่ 2 มีนาคม 2021 หลังจากเจาะระบบอัตโนมัติภายในอาคารของเป้าหมายแล้ว ผู้โจมตีอาจโจมตีส่วนอื่น ๆ ของระบบซึ่งรวมถึงระบบที่เก็บรักษาข้อมูลสำคัญของพวกเขา
ปกติอัตโนมัติภายในอาคารไม่ค่อยตกเป็นเป้าหมายในการโจมตี แต่อย่างไรก็ตามระบบเหล่านี้อาจมีข้อมูลที่สำคัญที่ทำให้ผู้โจมตีสามารถใช้เพื่อเข้าถึงระบบสำคัญอื่นๆ ในเครือข่ายต่อไปได้ ซึ่งขณะวิเคราะห์การโจมตีนักวิจัยยังพบข้อมูลที่นำไปยังกลุ่ม APT ของจีนอีกกลุ่มหนึ่งชื่อ Hafnium ซึ่งทราบกันว่าเคยใช้ช่องโหว่ Exchange ProxyLogon ในการโจมตีด้วยเช่นกัน
ค้นหาข้อมูลที่มีความสำคัญ
Kaspersky ICS CERT พบว่าการโจมตีระบบดังกล่าวเริ่มขึ้นตั้งแต่เดือนมีนาคม 2021 แต่ถูกพบและมีข้อมูลว่าเป็นกลุ่ม APT จากประเทศจีนในช่วงกลางเดือนตุลาคม 2021 หลังจากการพบ ShadowPad backdoor (ซึ่งมักถูกใช้โดยกลุ่ม APT จากจีน)
Backdoor ซึ่งปลอมตัวเป็นซอฟต์แวร์ที่มีความปลอดภัยดังกล่าว เคยถูกพบในระบบควบคุมอุตสาหกรรมของบริษัทโทรคมนาคมแห่งหนึ่งในปากีสถาน ซึ่งตลอดแคมเปญการโจมตีครั้งนี้ ผู้โจมตีได้ติดตั้งมัลแวร์ และเครื่องมืออื่นๆ รวมถึง CobaltStrike, backdoor PlugX, Web shells, สคริปต์สำหรับการขโมยข้อมูล และเครื่องมือ open-source สำหรับสแกนเครือข่าย Nextnet โดยเป้าหมายที่แท้จริงของกลุ่มยังไม่ทราบแน่ชัด แต่นักวิจัยของ Kaspersky ICS CERT เชื่อว่าผู้โจมตีมีแนวโน้มในการพยายามค้นหาข้อมูลที่มีความสำคัญบนระบบของเหยื่อ ซึ่งมีความเป็นไปได้สูงที่ผู้โจมตีกลุ่มนี้จะโจมตีอีกครั้ง และจะหาเหยื่อรายใหม่ในประเทศต่างๆ เพิ่มเติม
ที่มา : bleepingcomputer
You must be logged in to post a comment.