ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ตั้งข้อสงสัยเกี่ยวกับการอ้างสิทธิ์ ICS Ransomware ของแฮกเกอร์


31 January 2566
15
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ตั้งข้อสงสัยเกี่ยวกับการอ้างสิทธิ์ ICS Ransomware ของแฮกเกอร์

กลุ่มแฮกเกอร์ได้ออกแถลงการณ์เกี่ยวกับการโจมตีอุปกรณ์ระบบควบคุมอุตสาหกรรม (ICS) แต่ทางผู้เชี่ยวชาญด้านอุตสาหกรรมได้ตั้งข้อสงสัยต่อคำกล่าวอ้างของพวกเขา กลุ่มแฮกเกอร์ที่รู้จักกันในนามว่า GhostSec ซึ่งการโจมตีล่าสุดมุ่งเน้นไปที่ ‘punishing’ รัสเซียที่ทำการรุกรานยูเครน ได้อ้างว่าทำการโจมตีแรนซัมแวร์ครั้งแรกที่ remote terminal unit (RTU) บนอุปกรณ์ ICS ประเภทหนึ่งที่ใช้สำหรับการสื่อสารระหว่าง อุปกรณ์ภาคสนาม และ ระบบส่งข้อมูลระยะไกล ในการควบคุมกระบวนการทำงาน (SCADA) “เราเพิ่งเข้ารหัส RTU แรกในประวัติศาสตร์! อุปกรณ์ขนาดเล็กที่ออกแบบมาสำหรับ ICS เท่านั้น” แฮ็กเกอร์กล่าว “ยุคของแรนซัมแวร์ที่ถูกเขียนโค้ดเพื่อโจมตีอุปกรณ์ ICS ได้กลายเป็นเรื่องจริง และเราเป็นเจ้าแรก” ทางกลุ่มแฮกเกอร์อ้างว่าอุปกรณ์ที่ถูกแฮ็กตั้งอยู่ในเบลารุส ซึ่งเป็นหนึ่งในพันธมิตรที่ใหญ่ที่สุดของรัสเซีย แม้ว่าการโจมตีจะถูกอธิบายว่าเป็นแรนซัมแวร์เนื่องจากไฟล์ในอุปกรณ์ได้รับการเข้ารหัส แต่ก็ไม่มีความต้องการค่าไถ่จริง ๆ ผู้เชี่ยวชาญหลายคนรวมถึงจาก ICS Security Corporation ได้วิเคราะห์นักเคลื่อนไหวแฮ็กเกอร์ตามภาพหน้าจอที่พวกเขานำเสนอ ภาพหน้าจอแสดงให้เห็นว่าผู้โจมตีสามารถเข้ารหัสไฟล์บางส่วนที่โฮสต์บนอุปกรณ์เช่นเดียวกับการโจมตีแรนซัมแวร์

ประเด็นแรกที่ผู้เชี่ยวชาญส่วนใหญ่กล่าวคืออุปกรณ์เป้าหมายคือ Teleofis RTU968 ซึ่งเป็นผลิตภัณฑ์ที่ผู้จำหน่ายในรัสเซียอธิบายว่าเป็นเราเตอร์ 3G ที่ออกแบบมาเพื่อเชื่อมต่อกับโรงงานอุตสาหกรรมและเชิงพาณิชย์และอินเทอร์เน็ต แม้ว่าอุปกรณ์จะระบุว่าเป็น RTU และทางเทคนิคสามารถใช้เป็น RTU ได้เนื่องจากรองรับอินเทอร์เฟซทางอุตสาหกรรม แต่ก็ไม่ได้ออกแบบมาเพื่อจุดประสงค์นี้โดยเฉพาะ นอกจากนี้ข้อแตกต่างของ RTU ที่ผลิตโดยซัพพลายเออร์รายใหญ่เช่น ซีเมนส์อุปกรณ์ Teleofis ใช้ระบบปฏิบัติการที่ปรับแต่งสําหรับการใช้งานในอุตสาหกรรม OpenWrt เป็นระบบปฏิบัติการ Linux ที่ใช้กันอย่างแพร่หลายซึ่งออกแบบมาสําหรับอุปกรณ์ฝังตัว แรนซัมแวร์ที่สามารถเข้ารหัสไฟล์บนอุปกรณ์ Linux ไม่ใช่เรื่องใหม่ และไม่มีตัวบ่งชี้ว่าการเข้ารหัสไฟล์บนอุปกรณ์ Teleofis นั้นยากกว่า นอกจากนี้การแฮ็กเกตเวย์การสื่อสารประเภทนี้ที่ทำให้การเชื่อมต่อระยะไกลกับอุปกรณ์ซีเรียลก็ไม่ใช่เรื่องใหม่ SynSaber บริษัทด้านความปลอดภัยในโลกไซเบอร์ชี้ให้เห็นว่า “อุปกรณ์เหล่านี้ใช้เคอร์เนลลินุกซ์ทั่วไปที่มีการเชื่อมต่อกับอุปกรณ์ซีเรียล ไม่มีหลักฐานใดที่ GhostSec จัดว่าอุตสาหกรรมถูกโจมตีโดยเฉพาะหรือการโจมตีนี้แสดงถึงเป็นการโจมตีครั้งใหม่ กระบวนการที่เปลี่ยนไปในการแฮ็กเชิงอุตสาหกรรม” Ron Fabela, CTO ของ SynSaber ได้อธิบายไว้

Otorio เป็นบริษัทด้านความปลอดภัยทางไซเบอร์ในอุตสาหกรรมได้วิเคราะห์จากคำกล่าวอ้างของแฮ็กเกอร์และตั้งข้อสังเกตว่า “ในการสร้างแรนซัมแวร์ประเภทการโจมตีบน RTU ทั่วไปนั้น GhostSec จะต้องมีความรู้และทรัพยากรด้าน OT เป็นอย่างมาก เช่น การทดลองกับเครื่องมือวิศวกรรม OT และ อุปกรณ์ Teleofis นั้นใช้ OpenWrt ซึ่งโดยพื้นฐานแล้วเป็น Linux และไม่ได้แนะนำความสามารถ OT ใหม่ที่แท้จริง” Otorio เชื่อว่าผู้โจมตีสามารถเข้าถึงเร้าเตอร์ได้เบื้องต้นโดยใช้ประโยชน์จากการตรวจสอบสิทธิ์ที่เป็นจุดอ่อน การสอบสวนของทางบริษัทด้านความปลอดภัยทางไซเบอร์ Claroty ก็ได้ข้อสรุปเดียวกัน เหมือนกับนักวิจัยพบว่าอุปกรณ์ดังกล่าวมีบริการ SSH ที่กำหนดค่าไว้ล่วงหน้าซึ่งสามารถเข้าถึงได้โดยใช้รหัสผ่านที่กำหนดค่าไว้ล่วงหน้าซึ่งสามารถที่จะถอดรหัสได้ง่ายขึ้น Claroty ระบุเร้าเตอร์ Teleofis RTU968 ที่เปิดเผยอินเทอร์เน็ตได้เกือบ 200 เครื่องในรัสเซีย คาซัคสถาน และเบลารุส โดยในจำนวนนี้ 117 เครื่องเปิดใช้งานบริการ SSH

นักวิจัย Joe Slowik ยังได้วิเคราะห์คำกล่าวอ้างของ GhostSec และพบว่าแรนซั่มแวร์ของแฮ็กเกอร์ดูเหมือนจะไม่สามารถเข้ารหัสไฟล์ทั้งหมดที่ทำงานบนอุปกรณ์ได้ ไฟล์ที่ใช้งานไม่ได้ถูกเข้ารหัส ซึ่งจำกัดผลกระทบของการโจมตี นี่ไม่ใช่ครั้งแรกที่ GhostSec อ้างว่าได้แฮ็กอุปกรณ์ ICS ในเดือนกันยายน พวกเขาอ้างว่าได้จัดการตัวควบคุมลอจิกที่ตั้งโปรแกรมได้ (PLC) และส่วนต่อประสานระหว่างมนุษย์กับเครื่องจักร (HMI) ในอิสราเอล แต่การอ้างสิทธิ์ของพวกเขากลับดูเกินจริง แม้คำกล่าวอ้างของ GhostSec ไม่ถูกต้องทั้งหมด แต่การโจมตีด้วยแรนซัมแวร์สามารถก่อให้เกิดปัญหาร้ายแรงสำหรับองค์กรอุตสาหกรรม และระบบอุตสาหกรรมที่พวกเขาใช้ ทาง ICS จะไม่ได้กำหนดเป้าหมายโดยตรงในหลายกรณีก็ตาม และนอกจากนี้ นักวิจัยยังแสดงให้เห็นว่าผู้คุกคามสามารถเปิดการโจมตีแรนซัมแวร์ที่มุ่งเป้าไปที่อุปกรณ์ ICS โดยตรง Red Balloon Security แสดงให้เห็นเมื่อหนึ่งปีก่อนว่าผู้ประสงค์ร้ายสามารถใช้แรนซัมแวร์กับรีเลย์ป้องกันได้ แต่ในทางกลับกัน การวิจัยเหตุการณ์ล่าสุดนี้ ไม่ได้หมายความว่าการโจมตีของแรนซัมแวร์ที่กำหนดเป้าหมายโดยตรงไปยังอุปกรณ์ ICSจะกลายเป็นเรื่องปกติ และแพร่หลายในอนาคตอันใกล้นี้