นักวิจัยด้านความปลอดภัยของ Mandiant พบมัลแวร์ตัวใหม่ที่ชื่อว่า CosmicEnergy ซึ่งถูกออกแบบมาเพื่อโจมตีระบบอุตสาหกรรม และเชื่อมโยงกับบริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซียที่ชื่อ Rostelecom-Solar (ชื่อเดิมคือ Solar Security)
โดยมัลแวร์ดังกล่าวมุ่งเป้าหมายไปที่ IEC-104-compliant remote terminal units (RTUs) ที่ใช้ในการดำเนินการส่ง และจ่ายไฟฟ้าทั่วยุโรป ตะวันออกกลาง และเอเชีย ซึ่งถูกค้นพบหลังจากมีการอัปโหลดตัวอย่างไปยังแพลตฟอร์มวิเคราะห์มัลแวร์ VirusTotal ในเดือนธันวาคม 2021 โดยบุคคลที่มี IP address จากรัสเซีย
จากการวิเคราะห์การทำงานของ CosmicEnergy พบว่า มัลแวร์มีความคล้ายคลึงกันกับมัลแวร์ OT ก่อนหน้านี้ เช่น Industroyer และ Industroyer.V2 ซึ่งทั้งคู่ใช้ในการโจมตีที่กำหนดเป้าหมายเป็นผู้ให้บริการพลังงานของยูเครนในเดือนธันวาคม 2016 และเมษายน 2022 นอกจากนี้ยังใช้ Python และใช้ไลบรารีโอเพ่นซอร์สสำหรับการติดตั้งโปรโตคอล OT เช่นเดียวกับมัลแวร์สายพันธุ์อื่น ๆ ที่กำหนดเป้าหมายเป็นระบบควบคุมอุตสาหกรรม รวมถึง IronGate, Triton และ Incontroller
โดย CosmicEnergy จะทำการโจมตีเพื่อเข้าถึงระบบ OT ของเป้าหมายผ่านเซิร์ฟเวอร์ MSSQL โดยใช้เครื่องมือ Piehop disruption tool หลังจากนั้นเมื่อเข้าสู่ระบบของเป้าหมายสำเร็จแล้ว ก็จะทำการเข้าควบคุม RTU จากระยะไกลได้โดยการออกคำสั่ง IEC-104 "เปิด" หรือ "ปิด" ผ่านเครื่องมือ Lightwork tool
Mandiant คาดว่ามัลแวร์ดังกล่าวได้รับการพัฒนาให้เป็นเครื่องมือ Red teaming ที่ออกแบบมาเพื่อจำลองการหยุดชะงักจากการถูกโจมตี โดย Rostelecom-Solar บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย โดยจากข้อมูลพบว่า Rostelecom-Solar ได้รับเงินทุนจากรัฐบาลรัสเซียสำหรับการฝึกอบรมด้านความปลอดภัยในโลกไซเบอร์ และการจำลองการหยุดชะงักของพลังงานไฟฟ้า จึงคาดการณ์ว่า CosmicEnergy ได้รับการพัฒนาขึ้นจาก Rostelecom-Solar หรือฝ่ายที่เกี่ยวข้องเพื่อสร้างสถานการณ์การโจมตีจริงต่อทรัพย์สินของโครงข่ายพลังงาน
ตามที่ Microsoft ได้ออกรายงานในเดือนเมษายน 2022 หลังจากรัสเซียบุกยูเครน กลุ่มHacker ชาวรัสเซียได้นำมัลแวร์หลายตัว (บางตัวไม่เคยพบเห็นมาก่อน) มาใช้ในการโจมตีแบบทำลายล้างต่อเป้าหมายในยูเครน รวมถึงโครงสร้างพื้นฐานที่สำคัญ (CI)
ซึ่งมัลแวร์ต่าง ๆ ที่ถูกนำมาใช้ เช่น WhisperGate/WhisperKill, FoxBlade (หรือที่รู้จักกันในชื่อ HermeticWiper), SonicVote (หรือที่รู้จักกันในชื่อ HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (หรือที่รู้จักกันในชื่อ IsaacWiper) และ FiberLake (หรือที่รู้จักกันในชื่อ DoubleZero)
รวมไปถึงกลุ่ม Sandworm ได้ใช้มัลแวร์ Industroyer2 ในการกำหนดเป้าหมายการโจมตีไปยังเครือข่าย ICS ของผู้ให้บริการพลังงานรายใหญ่ของยูเครน เพื่อทำลายสถานีไฟฟ้าแรงสูง และขัดขวางการส่งพลังงานทั่วประเทศ แต่ไม่สำเร็จ
ที่มา : bleepingcomputer
You must be logged in to post a comment.