ForeScout เผยรายละเอียดการโจมตีของมัลแวร์ TRITON เน้นมุ้งเป้าโจมตีระบบ Critical Infrastructure

ForeScout ผู้นำทางด้านระบบ Automated Security Control เผยรายละเอียดการทำงานมัลแวร์ TRITON เพิ่มเติม แนะผู้ดูแลระบบควรออกแบบระบบรักษาความมั่นคงปลอดภัยให้ครอบคลุมทั้ง OT, IT และ IoT ในคราวเดียว


ก่อนหน้านี้ ได้มีรายงานการพบมัลแวร์ TRITON ที่มุ่งเป้าโจมตีระบบควบคุมโรงงาน Industrial Control System (ICS) โดยเฉพาะ ซึ่งการโจมตีในครั้งนี้ไม่ต่างจากมัลแวร์ที่เคยพบในอดีต เช่น Stuxnet, Dragonfly/Havex, BlackEnergy หรือ CrashOverride ที่ต้องการให้ระบบ Critical Infrastructure หยุดทำงาน โดยลักษณะการโจมตีของ TRITON มีรายละเอียดดังนี้

  • มุ่งเป้าโจมตีระบบ Critical Infrastructure แห่งหนึ่งที่ยังไม่มีการเปิดเผยชื่อ ในภูมิภาคตะวันออกกลาง
  • มีการโจมตีมาจากเครือข่าย Internet
  • มัลแวร์เริ่มต้นเข้าสู่เครือข่ายจากเครื่อง Workstation ที่ใช้ควบคุมระบบ
  • มัลแวร์มุ่งเป้าในการโจมตีระบบ Schneider Electric Triconex Safety Instrumented System (SIS) ที่ถูกตั้งค่าไว้ในโหมด “program”
  • มัลแวร์ทำให้ระบบ SIS Controller เสียหาย จนระบบปิดตัวเอง
  • จากการวิเคราะห์แล้ว มัลแวร์ต้องการทำให้เกิดความเสียหายกับอุปกรณ์ในระบบ ICS

โดยส่วนสำคัญที่ทำให้ TRITON ประสบความสำเร็จในการเข้าโจมตี มีดังนี้

  1. ระบบ ICS มีการเชื่อมต่อเข้าสู่เครือข่าย Internet ทำให้สามารถถูกเข้าถึงจากภายนอกได้ หากเกิดช่องโหว่และขาดการป้องกันที่ดี
  2. เครื่อง Workstation ที่ใช้ในระบบไม่ได้รับการป้องกันที่เหมาะสม ซึ่งเกิดจากการใช้งาน Microsoft Windows ที่ขาดการ Patch และไม่มีซอฟต์แวร์ตรวจจับภัยคุกคามที่ดีพอ
  3. SIS Controller ถูกตั้งค่าไว้เป็นโหมด “program” ทำให้มัลแวร์สามารถเขียนคำสั่งลงในระบบได้ทันที ซึ่งโดยปกติแล้วการปรับเปลี่ยนโหมดจะต้องใช้กุญแจที่เป็น physical ในการเข้าปรับที่เครื่องโดยตรง ซึ่งในระบบอาจไม่ได้มีการควบคุมการเข้าถึงเครื่องในระดับ Physical หรืออาจถูกละเลยให้ตั้งค่าไว้ในโหมดนี้

ปัจจุบันระบบ Operational Technology (OT) กลายเป็นเป้าหมายในการโจมตีมากขึ้น เช่น ระบบ Supervisory Control and Data Acquistion (SCADA), Process Control Networks (PCN), Distributed Control Networks (DCS), Manufacturing Execution Systems (MES) และระบบ Robotics ซึ่งล้วนแล้วแต่มีความสำคัญเป็นอย่างยิ่งในภาคอุตสาหกรรม และปัจจุบันระบบเหล่านี้มีการเชื่อมต่อเข้าสู่เครือข่ายรวมกับระบบ Infortmation Technology (IT) มากขึ้น ทำให้ผู้ดูแลระบบจึงควรออกแบบระบบรักษาความมั่นงคงปลอดภัยให้ครอบคลุมทั้งระบบ OT, IT และ IoT ได้พร้อมๆกัน

ผู้ที่สนใจสามารถศึกษารายละเอียดการรักษาความมั่นคงปลอดภัยให้กับระบบ Opertaional Technology (OT) จาก ForeScout เพิ่มเติมได้ที่: https://www.forescout.com/solutions/operational-technology/

เกี่ยวกับ Throughwave Thailand

Throughwave Thailand เป็นตัวแทนจำหน่าย (Distributor) สำหรับผลิตภัณฑ์ Enterprise IT ครบวงจรทั้ง Server, Storage, Network และ Security พร้อมโซลูชัน VMware และ Microsoft ที่มีลูกค้าเป็นองค์กรชั้นนำระดับหลายหมื่นผู้ใช้งานมากมาย โดยทีมงาน Throughwave Thailand ได้รับความไว้วางใจจากลูกค้าจากทีมงาน Engineer มากประสบการณ์ ที่คอยสนับสนุนการใช้งานของลูกค้าตลอด 24×7 ร่วมกับ Partner ต่างๆ ทั่วประเทศไทย https://www.throughwave.co.th

ที่มา: https://www.forescout.com/company/blog/triton-malware-highlights-need-tighter-otit-collaboration/