“BlackEnergy” cyberespionage group targets Linux systems and Cisco routers
ក្រុមចារកម្មតាមប្រព័ន្ធអ៊ិនធឺណេត មានគោលដៅវាយប្រហារទៅលើប្រព័ន្ធ Linux និង Cisco Router
ក្រុមចារកម្មតាមប្រព័ន្ធអ៊ិនធឺណេត ដែលបានបង្កើតនូវប្រតិបត្តិការរបស់ខ្លួន ដោយប្រើប្រាស់នូវមេរោគ (malware) មួយឈ្មោះថា BlackEnergy នោះ បាន ធ្វើការវាយប្រហារទៅលើឧបករណ៍ routers និងប្រព័ន្ធ Linux ដោយផ្អែកទៅលើហេដ្ឋារចនាសម្ព័ន្ធ ARM និង MIPS ។
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានមកពីក្រុមហ៊ុន Kassperky Lab បានបញ្ចេញនូវរបាយការណ៍មួយកាលពីថ្ងៃច័ន្ទកន្លងទៅនេះ បង្ហាញយ៉ាងលំអិតអំពីមុខងារ មួយចំនួន (some custom modules) ដែលក្រុមមួយនេះបានធ្វើការអភិវឌ្ឍន៍សម្រាប់ BlackEnergy (ដែលជាកម្មវិធី កាលដំបូងឡើយត្រូវបានបង្កើត និងប្រើប្រាស់ដោយឧក្រិដ្ឋជន ដើម្បីវាយប្រហារបែប DDos) ។
មុខងារថ្មីៗ (variants) នៃ BlackEnergy plug-ins ដែលបានអភិវឌ្ឍន៍ដោយក្រុមឧក្រិដ្ឋជន ត្រូវបានរកឃើញនៅក្នុងប្រព័ន្ធ Windows និង Linux ។ ពួកគេធ្វើឲ្យប្រសើរឡើងនូវសមត្ថភាពនៃមេរោគេនះ ដូចជាការស្កេនទៅលើ Port, លួចយកនូវពាក្សសម្ងាត់, ប្រមូលយកនូវព័ត៌មានរបស់ប្រព័ន្ធ, ការលួចយកនូវ certificate, ការភ្ជាប់ពីចម្ងាយ, និងការកំទេច hard disk ។
ជម្រើសផ្សេងៗនៃ Plug-ins ត្រូវបានដាក់ឲ្យដំណើរការពី command-and-control servers សម្រាប់ជនរងគ្រោះនិមួយៗ ដោយពឹងផ្អែកលើ គោលបំណងរបស់ក្រុមឧក្រិដ្ឋជន។ ក្នុងករណីមួយ អ្នកវាយប្រហារអាចធ្វើការទាញយក និងដំណើរការនូវមុខងារ plug-in មួយឈ្មោះថា “dstr” ដែលអាច កំទេចទិន្នន័យទាំងស្រុងនៅលើកុំព្យូទ័រដំណើរការ Windows។
បើតាមអ្នកស្រាវជ្រាវនៃក្រុមហ៊ុន Kasperky បានឲ្យដឹងបន្ថែមទៀតថា នៅក្នុងបញ្ហាមួយផ្សេងទៀត អង្គភាពមួយដែលមានទិន្នន័យរបស់ខ្លួនត្រូវបានបំផ្លាញនៅក្នុងម៉ាសីុនកុំព្យូទ័រ Windows មួយចំនួននោះ ក៏បានរកឃើញផងដែរថា ខ្លួនមិនធ្វើការភ្ជាប់ទៅកាន់ឧបករណ៍ Cisco Routers តាមរយៈ telnet បានឡើយ។ នៅពេលដែលពួកគេធ្វើការស៊ើបអង្កេត ពួកគេរកឃើញនូវ “farewell” scripts មួយចំនួនរបស់ក្រុម BlackEnergy បានរក្សាទុកនៅក្នុងឧបករណ៍ routers នោះ។ Scripts ទាំងនោះត្រូវបានប្រើប្រាស់ ដើម្បីធ្វើការសំអាតដាន នូវអ្វីដែលអ្នកវាយប្រហារបានធ្វើ នៅលើឧបករណ៍ routers។ មាន script មួយនោះមានការរៀបរាប់ថា “Cisc0 API Tcl extension for B1ack En3rgy b0t”។
ក្រុមនេះមើលទៅមានការចាប់អារម្មណ៍ ទៅលើអង្គភាពដែលដំណើរការនូវ industrial control systems (ICS) ជាពិេសសនោះគឺវិស័យថាមពល។ ជនរងគ្រោះដែលត្រូវបានកំណត់បានដោយក្រុមហ៊ុន Kaspersky រួមមាន power generation operators, power facilities construction companies, suppliers and manufacturers of heavy power-related materials, and energy sector investors ។
ព័ត៌មានបន្ថែម៖
https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/