ISAC Cambodia (InfoSec)
GeneralSecurity News

“BlackEnergy” cyberespionage group targets Linux systems and Cisco routers

ក្រុមចារកម្មតាមប្រព័ន្ធអ៊ិនធឺណេត មានគោលដៅវាយប្រហារទៅលើប្រព័ន្ធ Linux និង Cisco Router

ក្រុមចារកម្មតាមប្រព័ន្ធអ៊ិនធឺណេត ដែលបានបង្កើតនូវប្រតិបត្តិការរបស់ខ្លួន ដោយប្រើប្រាស់នូវមេរោគ (malware) មួយឈ្មោះថា BlackEnergy នោះ បាន ធ្វើការវាយប្រហារទៅលើឧបករណ៍ routers និងប្រព័ន្ធ Linux ដោយផ្អែកទៅលើហេដ្ឋារចនាសម្ព័ន្ធ ARM និង MIPS ។

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានមកពីក្រុមហ៊ុន Kassperky Lab បានបញ្ចេញនូវរបាយការណ៍មួយកាលពីថ្ងៃច័ន្ទកន្លងទៅនេះ បង្ហាញយ៉ាងលំអិតអំពីមុខងារ មួយចំនួន (some custom modules) ដែលក្រុមមួយនេះបានធ្វើការអភិវឌ្ឍន៍សម្រាប់ BlackEnergy (ដែលជាកម្មវិធី កាលដំបូងឡើយត្រូវបានបង្កើត និងប្រើប្រាស់ដោយឧក្រិដ្ឋជន ដើម្បីវាយប្រហារបែប ​DDos) ។

មុខងារថ្មីៗ (variants) នៃ BlackEnergy plug-ins ដែលបានអភិវឌ្ឍន៍ដោយក្រុមឧក្រិដ្ឋជន ត្រូវបានរកឃើញនៅក្នុងប្រព័ន្ធ Windows និង Linux ។ ពួកគេធ្វើឲ្យប្រសើរឡើងនូវសមត្ថភាពនៃមេរោគេនះ ដូចជាការស្កេនទៅលើ Port, លួចយកនូវពាក្សសម្ងាត់, ប្រមូលយកនូវព័ត៌មានរបស់ប្រព័ន្ធ, ការលួចយកនូវ certificate, ការភ្ជាប់ពីចម្ងាយ, និងការកំទេច hard disk ។

ជម្រើសផ្សេងៗនៃ Plug-ins ត្រូវបានដាក់ឲ្យដំណើរការពី command-and-control servers សម្រាប់ជនរងគ្រោះនិមួយៗ ដោយពឹងផ្អែកលើ គោលបំណងរបស់ក្រុមឧក្រិដ្ឋជន។ ក្នុងករណីមួយ អ្នកវាយប្រហារអាចធ្វើការទាញយក និងដំណើរការនូវមុខងារ plug-in មួយឈ្មោះថា “dstr” ដែលអាច កំទេចទិន្នន័យទាំងស្រុងនៅលើកុំព្យូទ័រដំណើរការ Windows។

បើតាមអ្នកស្រាវជ្រាវនៃក្រុមហ៊ុន ​Kasperky បានឲ្យដឹងបន្ថែមទៀតថា នៅក្នុងបញ្ហាមួយផ្សេងទៀត អង្គភាពមួយដែលមានទិន្នន័យរបស់ខ្លួនត្រូវបានបំផ្លាញនៅក្នុងម៉ាសីុនកុំព្យូទ័រ Windows មួយចំនួននោះ ក៏បានរកឃើញផងដែរថា ខ្លួនមិនធ្វើការភ្ជាប់ទៅកាន់ឧបករណ៍ Cisco Routers តាមរយៈ telnet បានឡើយ។ នៅពេលដែលពួកគេធ្វើការស៊ើបអង្កេត ពួកគេរកឃើញនូវ “farewell” scripts មួយចំនួនរបស់ក្រុម ​BlackEnergy បានរក្សាទុកនៅក្នុងឧបករណ៍ routers នោះ។ Scripts ទាំងនោះត្រូវបានប្រើប្រាស់ ដើម្បីធ្វើការសំអាតដាន នូវអ្វីដែលអ្នកវាយប្រហារបានធ្វើ នៅលើឧបករណ៍ routers។ មាន script មួយនោះមានការរៀបរាប់ថា “Cisc0 API Tcl extension for B1ack En3rgy b0t”។

ក្រុមនេះមើលទៅមានការចាប់អារម្មណ៍ ទៅលើអង្គភាពដែលដំណើរការនូវ industrial control systems (ICS) ជាពិេសសនោះគឺវិស័យថាមពល។ ជនរងគ្រោះដែលត្រូវបានកំណត់បានដោយក្រុមហ៊ុន ​Kaspersky រួមមាន power generation operators, power facilities construction companies, suppliers and manufacturers of heavy power-related materials, and energy sector investors ។

ព័ត៌មានបន្ថែម៖

https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button