FrostyGoop
Malware បានក្លាយជាឧបករណ៍កណ្តាលនៅក្នុងជម្លោះសម័យទំនើប ដែលជារឿយៗបម្រើជាវិធីសាស្រ្តមួយដើម្បីបង្កការរំខានយ៉ាងសំខាន់ដោយមិនមានការចូលរួមដោយផ្ទាល់។ ក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ ការវាយប្រហារតាមអ៊ីនធឺណិតដែលផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗបានគូសបញ្ជាក់ពីសារៈសំខាន់នៃវិធានការសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងបែបនេះ។
តារាងមាតិកា
ការណែនាំអំពី FrostyGoop
នៅក្នុងខែមករា មេរោគដែលកំណត់គោលដៅលើពិធីការទំនាក់ទំនងឧស្សាហកម្ម Modbus ដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយបានបង្កឱ្យមានការរំខានដ៏ធំមួយនៅក្នុងអ៊ុយក្រែន ដែលបណ្តាលឱ្យអគារផ្ទះល្វែងជាង 600 បាត់បង់កំដៅក្នុងរយៈពេលពីរថ្ងៃ។ មេរោគនេះមានឈ្មោះថា FrostyGoop ដោយអ្នកស្រាវជ្រាវ កេងប្រវ័ញ្ចលើពិធីការ Modbus ដើម្បីឱ្យអ្នកវាយប្រហារអាចសម្របសម្រួលប្រព័ន្ធគ្រប់គ្រងដោយឧស្សាហកម្ម (ICS)។
ការរកឃើញ និងការបញ្ជាក់
មជ្ឈមណ្ឌលស្ថានការណ៍សន្តិសុខតាមអ៊ីនធឺណិត (CSSC) ដែលជាផ្នែកមួយនៃសេវាសន្តិសុខនៃប្រទេសអ៊ុយក្រែនបានផ្តល់ព័ត៌មានសំខាន់ៗដែលជួយអ្នកជំនាញ infosec ដើម្បីកំណត់ថា FrostyGoop ទទួលខុសត្រូវចំពោះការដាច់ភ្លើង។ ទោះបីជាមានការកំណត់អត្តសញ្ញាណមេរោគក៏ដោយ ក៏អ្នកបង្កើតនៅតែមិនស្គាល់ ហើយគ្មានអ្នកគំរាមកំហែងជាក់លាក់ណាមួយត្រូវបានសន្មតថាជាការអភិវឌ្ឍន៍របស់វានោះទេ។ អ្នកបង្កើតដែលមិនស្គាល់កំពុងត្រូវបានតាមដាននៅក្រោមឧបករណ៍កំណត់អត្តសញ្ញាណ TAT2024-24 ដោយសម្គាល់ FrostyGoop ជាបំណែកតែមួយគត់ទីប្រាំបួននៃមេរោគដែលផ្តោតលើ ICS ដែលត្រូវបានប្រើក្នុងការវាយប្រហារ ឬការរំខាន។
ព័ត៌មានលម្អិតបច្ចេកទេស និងផលប៉ះពាល់
FrostyGoop ត្រូវបានគេជឿថាជាមេរោគដំបូងគេដែលកំណត់គោលដៅ ICS ដែលប្រើប្រាស់ពិធីការ Modbus ដើម្បីបង្កឱ្យមានការរំខានដល់រូបវ័ន្តក្នុងបច្ចេកវិទ្យាប្រតិបត្តិការ (OT)។ ទោះបីជាមិនមានភាពស្មុគ្រស្មាញជាពិសេសក៏ដោយ សមត្ថភាពរបស់មេរោគក្នុងការកំណត់គោលដៅហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗបង្ហាញពីការផ្តោតអារម្មណ៍កាន់តែខ្លាំងឡើងរបស់អ្នកវាយប្រហារទៅលើប្រព័ន្ធ និងពិធីការដែលមិនច្បាស់លាស់ដែលចាំបាច់សម្រាប់ដំណើរការឧបករណ៍ប្រើប្រាស់ដូចជាអគ្គិសនី និងទឹក។
វ៉ិចទ័រវាយប្រហារ និងការប្រតិបត្តិ
ដំបូងឡើយ អ្នកវាយប្រហារបានសម្របសម្រួលបណ្តាញរបស់អ្នកផ្តល់ថាមពលក្រុង ដោយទាញយកភាពងាយរងគ្រោះនៅក្នុងរ៉ោតទ័រ Microtik ប្រហែលដប់ខែមុនពេលការវាយប្រហារ។ ក្នុងរយៈពេលប៉ុន្មានខែបន្ទាប់ ពួកគេបានធ្វើសកម្មភាពរៀបចំផ្សេងៗ រួមទាំងការទទួលបានព័ត៌មានសម្គាល់អ្នកប្រើប្រាស់ផងដែរ។ ប៉ុន្មានម៉ោងមុនពេលកើតហេតុ ការតភ្ជាប់ពីអាសយដ្ឋាន IP ដែលមានមូលដ្ឋាននៅទីក្រុងម៉ូស្គូ ត្រូវបានរកឃើញ ដែលបង្ហាញពីវត្តមានរបស់អ្នកវាយប្រហារនៅក្នុងបណ្តាញ។
បរិបទទូលំទូលាយនៃការវាយប្រហារតាមអ៊ីនធឺណិត
ការវាយប្រហារ FrostyGoop បានកើតឡើងស្របពេលជាមួយនឹងការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំក្នុងប្រទេសអ៊ុយក្រែន ដែលបានប៉ះពាល់ដល់អង្គភាពសំខាន់ៗមួយចំនួន រួមទាំងក្រុមហ៊ុនប្រេង និងឧស្ម័នដ៏ធំបំផុតរបស់ប្រទេស និងសេវាប្រៃសណីយ៍ជាតិរបស់ខ្លួន។ កិច្ចខិតខំប្រឹងប្រែងដែលបានសម្របសម្រួលនេះបង្ហាញពីយុទ្ធសាស្ត្រចិត្តសាស្ត្រក្នុងការធ្វើឱ្យមានអស្ថិរភាព និងធ្វើឱ្យប្រជាជនបាត់បង់ស្មារតី ដោយប្រើប្រាស់មធ្យោបាយអ៊ីនធឺណេតជំនួសឱ្យប្រតិបត្តិការ kinetic ប្រពៃណី។
ការប្រៀបធៀប និងសារៈសំខាន់
ខណៈពេលដែល FrostyGoop មានលក្ខណៈសាមញ្ញបើប្រៀបធៀបទៅនឹងឧបករណ៍ស្មុគ្រស្មាញផ្សេងទៀតដូចជា Pipedream ប្រសិទ្ធភាពរបស់វាក្នុងការបង្កឱ្យមានការរអាក់រអួលបង្ហាញថាសូម្បីតែការវាយប្រហារដែលមានតម្លៃទាបក៏អាចមានផលប៉ះពាល់យ៉ាងសំខាន់ទៅលើប្រព័ន្ធឧស្សាហកម្មផងដែរ។ មិនដូច Pipedream ដែលស្រដៀងទៅនឹង Cobalt Strike នៅក្នុងភាពស្មុគស្មាញរបស់វា ភាពសាមញ្ញរបស់ FrostyGoop មិនបន្ថយគ្រោះថ្នាក់របស់វាឡើយ។
បុព្វបទប្រវត្តិសាស្ត្រ
អង្គភាព hacking តែមួយគត់ដែលគេស្គាល់ថាមានឥទ្ធិពលបែបនេះលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់របស់អ៊ុយក្រែនគឺ Sandworm ដែលជាក្រុមដែលជាប់ទាក់ទងជាមួយនាយកស៊ើបការណ៍សំខាន់របស់រុស្ស៊ី។ Sandworm បានកំណត់គោលដៅម្តងហើយម្តងទៀតលើបណ្តាញថាមពលរបស់អ៊ុយក្រែន ដែលភាគច្រើនបំផុតនៅក្នុងខែតុលា ឆ្នាំ 2022។ បរិបទនេះគូសបញ្ជាក់អំពីទិដ្ឋភាពគំរាមកំហែងជាប់លាប់ និងវិវត្តន៍ដែលអ៊ុយក្រែនប្រឈមមុខ។
វិធានការសុវត្ថិភាពសម្រាប់ការការពារ
ដើម្បីការពារប្រឆាំងនឹងការឆ្លងមេរោគដូចជា FrostyGoop អ្នកប្រើប្រាស់ និងអង្គការគួរអនុវត្តវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏ទូលំទូលាយ៖
- ការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធទៀងទាត់ ៖ ត្រូវប្រាកដថាកម្មវិធីទាំងអស់ រួមទាំងប្រព័ន្ធ ICS មានភាពទាន់សម័យជាមួយនឹងបំណះសុវត្ថិភាពចុងក្រោយបំផុត។
- ការបែងចែកបណ្តាញ ៖ ញែកបណ្តាញ ICS សំខាន់ៗចេញពីបណ្តាញ IT ទូទៅដើម្បីកំណត់ការរីករាលដាលនៃមេរោគ។
- ការគ្រប់គ្រងភាពងាយរងគ្រោះ ៖ ធ្វើការវាយតម្លៃសុវត្ថិភាពជាប្រចាំ និងដោះស្រាយភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណភ្លាមៗ។
- ការផ្ទៀងផ្ទាត់ខ្លាំង ៖ ប្រើការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ដើម្បីធានាការចូលប្រើប្រព័ន្ធរសើប។
- ប្រព័ន្ធរកឃើញការឈ្លានពាន (IDS) : ដាក់ពង្រាយ IDS ដើម្បីតាមដានចរាចរណ៍បណ្តាញសម្រាប់សញ្ញានៃសកម្មភាពគួរឱ្យសង្ស័យ។
- ការបណ្តុះបណ្តាលអ្នកប្រើប្រាស់ ៖ អប់រំបុគ្គលិកអំពីសារៈសំខាន់នៃសន្តិសុខតាមអ៊ីនធឺណិត និងហានិភ័យដែលទាក់ទងនឹងការបន្លំ និងការវាយប្រហារផ្នែកវិស្វកម្មសង្គមផ្សេងទៀត។
សេចក្តីសន្និដ្ឋាន
ការលេចឡើងនៃមេរោគដូចជា FrostyGoop បង្ហាញពីតម្រូវការសំខាន់សម្រាប់ការប្រុងប្រយ័ត្ន និងការអនុវត្តសុវត្ថិភាពអ៊ីនធឺណិតដ៏រឹងមាំដើម្បីការពារប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម។ តាមរយៈការយល់ដឹងពីការគម្រាមកំហែង និងការអនុវត្តវិធានការសុវត្ថិភាពប្រកបដោយប្រសិទ្ធភាព អ្នកប្រើប្រាស់អាចការពារហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេបានប្រសើរជាងមុនពីការវាយប្រហារតាមអ៊ីនធឺណិតដែលមានសក្តានុពលក្នុងការបង្កឱ្យមានការរំខានយ៉ាងទូលំទូលាយ។
