Irongate ជាមេរោគដែលវាយប្រហារទៅលើប្រព័ន្ធ Industrial Control Systems

0

ប្រភពដើម៖ secudemy.com
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានបានរកឃើញនូវមេរោគស្មុគស្មាញមួយប្រភេទ ដែលប្រើប្រាស់បច្ចេកទេសបោកបញ្ជោតដូចទៅនឹងមេរោគ Stuxnet ហើយត្រូវបានគេបង្កើតឡើងក្នុងគោលដៅវាយប្រហារទៅលើ industrial control system (ICS) ហើយនឹង supervisory control and data acquisition (SCADA) systems ។

អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន FireEye បាននិយាយកាលពីថ្ងៃព្រហស្បត៍កន្លងទៅនេះថា មេរោគដែលត្រូវបានដាក់ឈ្មោះថា “IRONGATE” បានវាយប្រហារទៅលើ Siemens Industrial Control Systems ។

មេរោគនេះដំណើរការតែនៅក្នុងប្រព័ន្ធត្រាប់តាមប៉ុណ្ណោះ (simulated environemtn) ហើយវាប្រហែលជាគ្រាន់តែជាភស្តុតាងជាក់ស្តែងមួយតែប៉ុណ្ណោះ (proof-of-concepts) ហើយប្រហែលជាមិនត្រូវបានប្រើប្រាស់ទូលំទូលាយឡើយ ហេតុដូច្នេះហើយ វាមិនទាន់មានសមត្ថភាពគ្រប់គ្រាន់ប៉ៈពាល់ទៅដល់ប្រព័ន្ធដែលដំណើរការក្នុងឧស្សាហកម្មជាក់ស្តែងនៅឡើយទេ ។

អ្នកស្រាវជ្រាវបានរកឃើញនូវមេរោគនេះ ដោយសារតែយន្តការប្រតិបត្តិការរបស់វារួមមានសកម្មភាពមួយចំនួនដូចគ្នាទៅនឹង Stuxnet ។

មេរោគ Stuxnet គឺត្រូវបានគេចោទប្រកាន់ថាត្រូវបានបង្កើតឡើងដោយសហរដ្ឋអាមេរិក និងអ៊ីស្រាអែ៊ល ក្នុងគោលបំណងដើម្បីបង្អក់ដំណើរការ នៃការចំរាញ់ថាមពលនុយក្លេអែ៊ររបស់អីុរ៉ង់ ហើយដែលបានកំទេចនូវឧបករណ៍ចំរាញ់អ៊ុយរ៉ាញ៉ូមជាច្រើនផងដែរ។

ដូចគ្នាទៅនឹង Stuxnet ផងដែរ មេរោគ Irongate នេះបានប្រើប្រាស់នូវបច្ចេកទេស Man-in-the-Middle (MitM) ដើម្បីធ្វើការបញ្ចូលខ្លួនវានៅចន្លោះរវាងនឹង PLC (Programmable Logic Controller) ហើយនឹងសូហ្វវែ៉រត្រួតពិនិត្យដំណើរការ (process monitoring) ក៏ដូចជាការលាក់នូវដានផងដែរ។

បន្ថែមជាមួយគ្នានេះផងដែរ ដើម្បីសម្រេចបាននូវ MitM ដូចទៅនឹង Stuxnet មេរោគ Irongate បានធ្វើការដាក់បញ្ជាន់នូវ (replace) Dynamic Link Library (DLL) file ផ្ទុកទៅដោយមេរោគ ដែលអាចឲ្យមានការវាយប្រហាទៅលើគោលដៅណាមួយជាក់លាក់ នៃ control system configuration ។ DLL គឺជាចំណែកកូដតូចមួយដែលអាចត្រូវបានប្រើប្រាស់ដោយកម្មវិធីកុំព្យូទ័រផ្សេងៗគ្នាក្នុងពេលតែមួយ។

ទោះបីជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានធ្វើការកត់សំគាល់ថា មេរោគ Irongate នេះមិនអាចប្រៀបធៀបជាមួយនឹងមេរោគ Stuxnet ឡើយក្នុងន័យភាពស្មុគស្មាញ, សមត្ថភាពក្នុងការរីករាលដាល ឬក៏ទីតាំងភូមិសាស្ត្រ ។ បន្ថែមជាមួយគ្នានេះផងដែរ នៅពេលដែល Stuxnet បានធ្វើការកំណត់នូវវត្តមាននៃកម្មវិធីកំចាត់មេរោគនានានៅក្នុងប្រព័ន្ធគោលដៅ មេរោគ Irongate បែរជាស្វែងរកនូវ sandobx environment មានដូចជា VMWare ឬ Cuckoo sandbox ជាដើម។

ក្រុមហ៊ុន FireEye បាននិយាយថា មេរោគ Irongate នេះអាចគ្រាន់តែជាការសាកល្បងនូវ proof-of-concept, ការស្រាវជ្រាវ ឬក៏ជាការធ្វើតេស្តសាកល្បងតែប៉ុណ្ណោះ ដែលនេះជាេហតុផលធ្វើឲ្យក្រុមហ៊ុនបញ្ចេញព័ត៌មានលំអិតជាសាធារណៈក្នុងគោលបំណងដើម្បីស្វែងរកព័ត៌មាន បន្ថែមទៀតអំពីវា។ ប៉ុន្តែសំណួរដែលត្រូវចោទសួរបន្តនោះគឺ តើនរណាជាអ្នកបង្កើតនូវ Irongate នេះឡើយ ៕

ប្រភពរូបភាព៖ http://www.slideshare.net/aqarta/defending-against-industrial-malware

You might also like More from author

Leave A Reply

Your email address will not be published.