‘มัลแวร์’ รัสเซียตัวใหม่ ทำลายระบบเครือข่ายไฟฟ้า

มีการตรวจพบมัลแวร์ตัวใหม่ซึ่งมีความเชื่อมโยงกับรัสเซีย โดยฟังก์ชั่นการทำงานหลักคือ “การใช้ทำลายระบบเครือข่ายไฟฟ้า” โดยมัลแวร์ในเทคโนโลยีเชิงปฏิบัติการ หรือ Operational Technology (OT) อย่าง COSMICENERGY ที่ได้รับการออกแบบมาเพื่อขัดขวางระบบการทำงานด้านพลังงานไฟฟ้า

โดยการใช้คำสั่งตาม IEC 60870-5-104 (IEC-104) กับอุปกรณ์สแตนดาร์ด เช่น ระบบควบคุมและหน่วยทำงานระยะไกล (RTU) และแน่นอนว่า เหล่าแฮกเกอร์ก็จะสามารถส่งคำสั่งจากระยะไกลในการสั่งงานไปยัง Switch และ Circuit Breaker ให้ระบบไฟฟ้าเริ่มหรือหยุดทำงานได้อย่างง่ายดาย และที่น่าสนใจก็คืออุปกรณ์เหล่านี้ส่วนใหญ่นิยมใช้ในการส่งและจ่ายไฟฟ้าในยุโรป ตะวันออกกลาง และเอเชีย

จากการตรวจสอบของนักวิจัยพบว่า การโจมตีครั้งนี้มีความคล้ายกับการโจมตีที่ยูเครนในปี 2559 ที่มัลแวร์เข้าโจมตีโครงข่ายไฟฟ้าเป็นเหตุการณ์ Industroyer ซึ่งมีผลทำให้ไฟฟ้าดับที่กรุงเคียฟทันทีและเชื่อกันว่า Sandworm กลุ่ม APT ของรัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีครั้งนั้น

มัลแวร์สามารถควบคุมสวิตช์ของสถานีไฟฟ้าย่อยและเบรคเกอร์ของวงจรได้โดยตรงรวมทั้งจัดการออกคำสั่งเปิด-ปิด IEC-104 เพื่อเป็นการโต้ตอบกับ RTU และใช้เซิร์ฟเวอร์ MSSQL เป็นตัวจัดการระบบเพื่อการเข้าถึงเทคโนโลยีเชิงปฏิบัติการ นอกจากนี้ทีมนักล่าภัยคุกคามชาวยูเครนได้ตรวจพบว่ามี Industroyer v2 ที่ได้รับการพัฒนาของรัสเชียเพื่อใช้เปิดการโจมตียูเครนเมื่อปีที่แล้วอีกด้วย

นอกจากนี้ มีการอัพโหลด COSMICENERGY ไปยังยูทิลิตี้การสแกนมัลแวร์สาธารณะในประเทศรัสเซียช่วงเดือน ธ.ค. 64 ที่ผ่านมา แต่ที่น่าสนใจกว่านั้นคือ นักวิจัยมีการวิเคราะห์ข้อมูล

โดยเชื่อว่า บริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียอย่าง Rostelecom-Solar อาจมีการพัฒนามัลแวร์ในขั้นต้นเพื่อใช้ในการฝึกอบรมและเป็นการสร้างสถานการณ์การโจมตีจริงกับสินทรัพย์โครงข่ายพลังงานไฟฟ้า และเหล่าบรรดาแฮกเกอร์จึงได้ฉวยนำเอารหัสในช่วงที่ Rostelecom-Solar กำลังพัฒนาอยู่มาใช้ต่อยอดในการสร้างมัลแวร์ตัวนี้

สิ่งนี้เองที่ทำให้ COSMICENERGY มีความแตกต่างจากมัลแวร์แบบ OT เวอร์ชั่นก่อนซึ่งถูกออกแบบมาเพื่อทำลายโครงข่ายพลังงาน เนื่องจากแฮกเกอร์จะใช้ประโยชน์จากความรู้ในการโจมตีครั้งก่อนเพื่อสร้างเครื่องมือแบบใหม่ที่อันตรายมากขึ้นเพื่อช่วยลดอุปสรรค์ในการบุกเข้าโจมตีระบบ OT

นักวิจัยหลายท่านจึงลงความเห็นและเรียกร้องให้องค์กรที่มีส่วนเกี่ยวข้องเข้ามาดูแลเรื่องนี้เป็นกรณีพิเศษ พร้อมทั้งกระตุ้นให้บริษัทพลังงานหาวิธีจัดการลดภัยคุกคามที่อาจเกิดขึ้นอย่างฉับพลัน 

เนื่องจากความสามารถในการพัฒนาประเภทนี้ต้องจำกัดเฉพาะผู้ที่มีทรัพยากรที่ดีและเพียงพอหรือได้รับการสนับสนุนจากรัฐเท่านั้น เนื่องจากแฮกเกอร์นำเครื่องมือของกลุ่มผู้เชี่ยวชาญที่ใช้จำลองการบุกโจมตีเพื่อทดสอบประสิทธิภาพการป้องกันระบบและใช้เฟรมเวิร์กในการแสวงหาประโยชน์สาธารณะสำหรับการก่อภัยคุกคามที่ได้กำหนดเป้าหมายไว้แล้ว

มีการตั้งข้อสังเกตว่า COSMICENERGY ยังขาดความสามารถในการค้นหาทำให้แฮกเกอร์ต้องใช้เวลาลานตะเวนภายในระบบเพื่อเก็บรวบรวมข้อมูลแวดล้อมก่อนเริ่มลงมือปฏิบัติการ

สำหรับประเทศของเรานั้น OT security ยังเป็นเรื่องที่ค่อนข้างใหม่เลยก็ว่าได้ บุคลากรหลายองค์กรยังขาดความรู้ความเชี่ยวชาญทางด้านไซเบอร์ซีเคียวริตี้ อีกทั้งยังมีปัญหาเกี่ยวกับ OT Security ที่เกิดกับระบบสาธารณูปโภคในต่างประเทศหลายเหตุการณ์ตั้งแต่ปีที่ผ่านมาและลากยาวต่อเนื่องมา

นอกจากนี้ OT ยังเข้าไปมีบทบาทในโรงงานอุตสาหกรรมต่างๆ อีกด้วย ซึ่งแน่นอนว่าปัญหาเรื่องอุปกรณ์ OT ซึ่งไม่ได้อัพเดท patch อย่างต่อเนื่องเพื่อรับมือกับไซเบอร์ซีเคียวริตี้นั้น ทำให้เกิดช่องโหว่อยู่มากมาย ผมจึงมองว่า

ถึงเวลาแล้วที่เราจะต้องเตรียมเผชิญหน้ากับปัญหา OT Security อย่างจริงจังกันซักทีนะครับ...