โจรไซเบอร์เพิ่ม ‘อาวุธลับ’ โจมตีเครือข่ายองค์กร

อาชญากรไซเบอร์ ได้สร้างอาวุธลับเพื่อทำการโจมตีกองค์กรแบบใหม่ผ่าน "โปรแกรมเมเบิลลอจิกคอลโทรลเลอร์ (Programmable logic Control หรือ PLC)" ซึ่งเป็นอุปกรณ์ควบคุมการทำงานของเครื่องจักรหรือกระบวนการทำงานต่างๆ เพื่อใช้ประโยชน์จากเวิร์กสเตชันทางวิศวกรรม และทำการบุกรุกเทคโนโลยีเชิงปฏิบัติงาน (Operational Technology หรือ OT) และเครือข่ายองค์กร

โดยการโจมตีจะมีเป้าหมายคือวิศวกรที่ทำงานในเครือข่ายอุตสาหกรรม ซึ่งการกำหนดค่าและการแก้ไขปัญหา PLC ได้รับการพัฒนาโดยกลุ่ม Team82 โดย Claroty ซึ่งเราเรียกมันว่า “Evil PLC Attack”

ผู้เชี่ยวชาญด้านความปลอดภัย แจ้งผลการวิจัยซึ่งส่งผลให้เกิดการทดสอบระบบ (proof-of-concept หรือ POC) จากบริษัท automation ชั้นนำของตลาด 7 แห่ง ได้แก่ Rockwell Automation, Schneider Electric, GE, B&R, XINJE, OVARRO และ Emerson 

ในความเป็นจริงแล้ว PLC เป็นส่วนสำคัญของอุปกรณ์ทางด้านอุตสาหกรรม ซึ่งมีหน้าที่ควบคุมกระบวนการผลิตในโครงสร้างพื้นฐานที่สำคัญ เนื่องจากมีบทบาทสำคัญต่อระบบ OT จึงทำให้ได้รับความสนใจจากการโจมตีขั้นสูงของเหล่าอาชญากรมาเป็นเวลานานแล้ว ตั้งแต่ Stuxnet ไปจนถึงแพลตฟอร์ม Incontroller/Pipedream 

เหล่าบรรดาแฮกเกอร์จึงพยายามที่จะเข้าถึงและควบคุม PLC เพื่อปรับเปลี่ยนกระบวนการและทำให้เกิดการหยุดชะงัก เกิดความเสียหายทางกายภาพ และคุกคามความปลอดภัยส่วนบุคคล 

ขณะนี้ นักวิจัยด้านความปลอดภัยได้แสดงให้เห็นว่า มีความเป็นไปได้ที่จะพลิกสถานการณ์และเปลี่ยน PLC ให้กลายเป็นผู้ล่ามากกว่าที่จะเป็นเหยื่อ โดยในการทำเช่นนั้น Team82 พบช่องโหว่ในแพลตฟอร์มเวิร์กสเตชันทางวิศวกรรมทั้ง 7 แพลตฟอร์มที่อนุญาตให้พวกเขาสร้างอาวุธลับให้กับ PLC

เมื่อเริ่มทำตามขั้นตอนการอัปโหลด การถ่ายโอนข้อมูลเมตา (metadata) การกำหนดค่า และรหัสข้อความจาก PLC ไปยังเวิร์กสเตชันทางวิศวกรรม ส่วนข้อมูลเสริมเพิ่มเติมจะทำให้เวิร์กสเตชันทางวิศวกรรมทำการโจมตีด้วยโค้ดอันตราย (malicious code) 

กล่าวอีกนัยหนึ่งคือ เทคนิคนี้คือการทำให้ PLC เลือกใช้อาวุธอย่างข้อมูลที่ไม่จำเป็นต้องเป็นส่วนหนึ่งของไฟล์โปรเจ็กต์แบบ static/offline และเปิดใช้งานการรันโค้ดตามขั้นตอนการเชื่อมต่อทางวิศวกรรม/อัปโหลด และสิ่งสำคัญคือต้องสังเกตว่าช่องโหว่ทั้งหมดที่เราพบนั้นอยู่ที่ด้านซอฟต์แวร์เวิร์กสเตชันทางวิศวกรรม และไม่ใช่ในเฟิร์มแวร์ของ PLC เพราะส่วนใหญ่แล้ว ช่องโหว่มีอยู่เนื่องจากซอฟต์แวร์จะเชื่อถือข้อมูลที่มาจาก PLC โดยไม่ทำการตรวจสอบความปลอดภัยอย่างละเอียด

Team82 ยืนยันว่า การค้นพบทั้งหมดได้รายงานไปยังผู้ขายที่ได้รับผลกระทบทั้ง 7 บริษัทตามนโยบายการเปิดเผยข้อมูลที่ประสานงานกันของบริษัท บริษัทกล่าวว่าคู่ค้าส่วนใหญ่จะออกโปรแกรมแก้ไข แพตช์ หรือแผนบรรเทาผลกระทบต่อ Evil PLC Attack และที่กล่าวกันว่าการไปถึงระดับการแพตช์ (patch) 100% 

โดยเฉพาะอย่างยิ่งในโครงสร้างพื้นฐานที่สำคัญนั้นไม่ใช่เรื่องง่าย ดังนั้นจึงจำเป็นต้องมีขั้นตอนการบรรเทาผลกระทบเพิ่มเติมเพื่อลดความเสี่ยงของการโจมตี Evil PLC

ในการจำกัดผลกระทบของ Evil PLC Attack มีการแนะนำให้บริษัทแบ่งส่วนเครือข่ายอย่างชัดเจนและรัดกุม กำหนดค่า PLC ให้ใช้กลไกการยืนยันตัวตนของลูกค้า โดยควรให้เป็นระบบ Public Key Infrastructure (PKI) และตรวจสอบการรับส่งข้อมูลเครือข่าย OT และดูแลอัพเดทระบบทั้งหมดอยู่ตลอดเวลาครับ