FrostyGoop

มัลแวร์กลายเป็นเครื่องมือสำคัญในความขัดแย้งสมัยใหม่ โดยมักทำหน้าที่เป็นวิธีการทำให้เกิดการหยุดชะงักครั้งใหญ่โดยไม่ต้องมีส่วนร่วมโดยตรง ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญได้เน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อป้องกันภัยคุกคามดังกล่าว

ข้อมูลเบื้องต้นเกี่ยวกับ FrostyGoop

ในเดือนมกราคม มัลแวร์ที่กำหนดเป้าหมายโปรโตคอลการสื่อสารอุตสาหกรรม Modbus ที่ใช้กันอย่างแพร่หลายทำให้เกิดการหยุดชะงักครั้งใหญ่ในยูเครน ส่งผลให้อาคารอพาร์ตเมนต์มากกว่า 600 แห่งสูญเสียความร้อนเป็นเวลาสองวัน นักวิจัยมัลแวร์นี้ชื่อ FrostyGoop โดยใช้ประโยชน์จากโปรโตคอล Modbus เพื่อให้ผู้โจมตีสามารถโจมตีระบบที่ควบคุมโดยอุตสาหกรรม (ICS) ได้

การค้นพบและการระบุแหล่งที่มา

Cyber Security Situation Center (CSSC) ซึ่งเป็นส่วนหนึ่งของบริการรักษาความปลอดภัยของประเทศยูเครน ได้ให้ข้อมูลสำคัญที่ช่วยให้ผู้เชี่ยวชาญของ infosec พิจารณาว่า FrostyGoop เป็นผู้รับผิดชอบต่อเหตุขัดข้องดังกล่าว แม้จะมีการระบุมัลแวร์แล้ว แต่ผู้สร้างยังคงไม่ทราบแน่ชัด และไม่มีผู้ก่อภัยคุกคามรายใดที่เกี่ยวข้องกับการพัฒนา ผู้สร้างที่ไม่รู้จักกำลังถูกติดตามภายใต้ตัวระบุ TAT2024-24 โดยกำหนดให้ FrostyGoop เป็นมัลแวร์ที่เน้นไปที่ ICS ชิ้นที่เก้าซึ่งใช้ในการโจมตีหรือการหยุดชะงัก

รายละเอียดทางเทคนิคและผลกระทบ

เชื่อกันว่า FrostyGoop เป็นมัลแวร์ตัวแรกที่กำหนดเป้าหมาย ICS ที่ใช้โปรโตคอล Modbus เพื่อทำให้เกิดการหยุดชะงักทางกายภาพในเทคโนโลยีการดำเนินงาน (OT) แม้ว่าจะไม่ซับซ้อนเป็นพิเศษ แต่ความสามารถของมัลแวร์ในการกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญนั้นเน้นย้ำถึงการที่ผู้โจมตีมุ่งความสนใจไปที่ระบบและโปรโตคอลที่ครั้งหนึ่งเคยคลุมเครือมากขึ้นซึ่งจำเป็นสำหรับการทำงานของสาธารณูปโภค เช่น ไฟฟ้าและน้ำ

โจมตีเวกเตอร์และการประหารชีวิต

ผู้โจมตีได้เจาะเครือข่ายของผู้ให้บริการพลังงานของเทศบาลโดยใช้ประโยชน์จากช่องโหว่ในเราเตอร์ Microtik ประมาณสิบเดือนก่อนการโจมตี ในช่วงหลายเดือนต่อมา พวกเขาได้ดำเนินกิจกรรมเตรียมความพร้อมต่างๆ รวมถึงการได้รับข้อมูลรับรองผู้ใช้ ไม่กี่ชั่วโมงก่อนเกิดเหตุ ตรวจพบการเชื่อมต่อจากที่อยู่ IP ในมอสโก ซึ่งบ่งชี้ว่าผู้โจมตีอยู่ในเครือข่าย

บริบทที่กว้างขึ้นของการโจมตีทางไซเบอร์

การโจมตี FrostyGoop เกิดขึ้นพร้อมกับการโจมตีทางไซเบอร์ขนาดใหญ่ในยูเครนซึ่งส่งผลกระทบต่อหน่วยงานสำคัญหลายแห่ง รวมถึงบริษัทน้ำมันและก๊าซที่ใหญ่ที่สุดของประเทศ และบริการไปรษณีย์แห่งชาติ ความพยายามในการประสานงานนี้ชี้ให้เห็นถึงกลยุทธ์ทางจิตวิทยาเพื่อทำให้ประชากรไม่มั่นคงและทำให้ขวัญเสีย โดยใช้ประโยชน์จากวิธีการทางไซเบอร์แทนการดำเนินการทางจลนศาสตร์แบบดั้งเดิม

การเปรียบเทียบและความสำคัญ

แม้ว่า FrostyGoop จะค่อนข้างเรียบง่ายเมื่อเทียบกับเครื่องมือที่ซับซ้อนอื่นๆ เช่น Pipedream แต่ประสิทธิภาพในการทำให้เกิดการหยุดชะงักแสดงให้เห็นว่าแม้แต่การโจมตีที่มีต้นทุนต่ำก็สามารถส่งผลกระทบอย่างมีนัยสำคัญต่อระบบอุตสาหกรรมได้ แตกต่างจาก Pipedream ซึ่งคล้ายกับ Cobalt Strike ในด้านความซับซ้อน ความเรียบง่ายของ FrostyGoop ไม่ได้ลดอันตรายลง

แบบอย่างทางประวัติศาสตร์

หน่วยแฮ็กอีกหน่วยเดียวที่ทราบว่ามีผลกระทบต่อโครงสร้างพื้นฐานที่สำคัญของยูเครนคือ Sandworm ซึ่งเป็นกลุ่มที่เกี่ยวข้องกับ Main Intelligence Directorate ของรัสเซีย หนอนทรายมุ่งเป้าไปที่โครงข่ายไฟฟ้าของยูเครนซ้ำแล้วซ้ำเล่า ล่าสุดในเดือนตุลาคม 2022 บริบทนี้เน้นย้ำถึงภาพรวมภัยคุกคามที่ยูเครนเผชิญอยู่อย่างต่อเนื่องและพัฒนาอยู่ตลอดเวลา

มาตรการรักษาความปลอดภัยเพื่อการป้องกัน

เพื่อป้องกันการติดมัลแวร์เช่น FrostyGoop ผู้ใช้และองค์กรควรใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่ครอบคลุม:

• การอัปเดตระบบเป็นประจำ : ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมด รวมถึงระบบ ICS อัปเดตด้วยแพตช์ความปลอดภัยล่าสุด
• การแบ่งส่วนเครือข่าย : แยกเครือข่าย ICS ที่สำคัญออกจากเครือข่ายไอทีทั่วไปเพื่อจำกัดการแพร่กระจายของมัลแวร์
• การจัดการช่องโหว่ : ดำเนินการประเมินความปลอดภัยเป็นประจำและแก้ไขช่องโหว่ที่ระบุโดยทันที
• การตรวจสอบสิทธิ์ที่รัดกุม : ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เพื่อรักษาความปลอดภัยการเข้าถึงระบบที่ละเอียดอ่อน
• ระบบตรวจจับการบุกรุก (IDS) : ปรับใช้ IDS เพื่อตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหาสัญญาณของกิจกรรมที่น่าสงสัย
• การฝึกอบรมผู้ใช้ : ให้ความรู้แก่พนักงานเกี่ยวกับความสำคัญของความปลอดภัยทางไซเบอร์และความเสี่ยงที่เกี่ยวข้องกับฟิชชิ่งและการโจมตีทางวิศวกรรมสังคมอื่นๆ

บทสรุป

การเกิดขึ้นของมัลแวร์อย่าง FrostyGoop เน้นย้ำถึงความจำเป็นที่สำคัญสำหรับการเฝ้าระวังและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อปกป้องระบบควบคุมอุตสาหกรรม ด้วยการทำความเข้าใจภัยคุกคามและการใช้มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ ผู้ใช้สามารถปกป้องโครงสร้างพื้นฐานของตนจากการโจมตีทางไซเบอร์ที่อาจก่อให้เกิดการหยุดชะงักในวงกว้างได้ดียิ่งขึ้น