Irongate: មេរោគដែលវាយប្រហារទៅលើប្រព័ន្ធ Industrial Control Systems

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានបានរកឃើញនូវមេរោគស្មុគស្មាញមួយប្រភេទ ដែលប្រើប្រាស់បច្ចេកទេសបោកបញ្ជោតដូចទៅនឹងមេរោគ ​Stuxnet ហើយត្រូវបានគេបង្កើតឡើងក្នុងគោលដៅវាយប្រហារទៅលើ industrial control system (ICS) ហើយនឹង supervisory control and data acquisition (SCADA) systems ។

អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន FireEye បាននិយាយកាលពីថ្ងៃព្រហស្បត៍កន្លងទៅនេះថា មេរោគដែលត្រូវបានដាក់ឈ្មោះថា “IRONGATE” បានវាយប្រហារទៅលើ Siemens Industrial Control Systems ។

មេរោគនេះដំណើរការតែនៅក្នុងប្រព័ន្ធត្រាប់តាមប៉ុណ្ណោះ (simulated environemtn) ហើយវាប្រហែលជាគ្រាន់តែជាភស្តុតាងជាក់ស្តែងមួយតែប៉ុណ្ណោះ (proof-of-concepts) ហើយប្រហែលជាមិនត្រូវបានប្រើប្រាស់ទូលំទូលាយឡើយ ហេតុដូច្នេះហើយ វាមិនទាន់មានសមត្ថភាពគ្រប់គ្រាន់ប៉ៈពាល់ទៅដល់ប្រព័ន្ធដែលដំណើរការក្នុងឧស្សាហកម្មជាក់ស្តែងនៅឡើយទេ ។

អ្នកស្រាវជ្រាវបានរកឃើញនូវមេរោគនេះ ដោយសារតែយន្តការប្រតិបត្តិការរបស់វារួមមានសកម្មភាពមួយចំនួនដូចគ្នាទៅនឹង ​Stuxnet ។

មេរោគ Stuxnet គឺត្រូវបានគេចោទប្រកាន់ថាត្រូវបានបង្កើតឡើងដោយសហរដ្ឋអាមេរិក និងអ៊ីស្រាអែ៊ល ក្នុងគោលបំណងដើម្បីបង្អក់ដំណើរការ នៃការចំរាញ់ថាមពលនុយក្លេអែ៊ររបស់អីុរ៉ង់ ហើយដែលបានកំទេចនូវឧបករណ៍ចំរាញ់អ៊ុយរ៉ាញ៉ូមជាច្រើនផងដែរ។

ដូចគ្នាទៅនឹង Stuxnet ផងដែរ មេរោគ ​Irongate នេះបានប្រើប្រាស់នូវបច្ចេកទេស Man-in-the-Middle (MitM) ដើម្បីធ្វើការបញ្ចូលខ្លួនវានៅចន្លោះរវាងនឹង PLC (Programmable Logic Controller) ហើយនឹងសូហ្វវែ៉រត្រួតពិនិត្យដំណើរការ​​ (process monitoring) ក៏ដូចជាការលាក់នូវដានផងដែរ។

បន្ថែមជាមួយគ្នានេះផងដែរ ដើម្បីសម្រេចបាននូវ MitM ដូចទៅនឹង Stuxnet មេរោគ Irongate បានធ្វើការដាក់បញ្ជាន់នូវ (replace) Dynamic Link Library (DLL) file ផ្ទុកទៅដោយមេរោគ ដែលអាចឲ្យមានការវាយប្រហាទៅលើគោលដៅណាមួយជាក់លាក់ នៃ control system configuration ។ DLL គឺជាចំណែកកូដតូចមួយដែលអាចត្រូវបានប្រើប្រាស់ដោយកម្មវិធីកុំព្យូទ័រផ្សេងៗគ្នាក្នុងពេលតែមួយ។

ទោះបីជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានធ្វើការកត់សំគាល់ថា មេរោគ ​Irongate នេះមិនអាចប្រៀបធៀបជាមួយនឹងមេរោគ Stuxnet ឡើយក្នុងន័យភាពស្មុគស្មាញ, សមត្ថភាពក្នុងការរីករាលដាល ឬក៏ទីតាំងភូមិសាស្ត្រ ។ បន្ថែមជាមួយគ្នានេះផងដែរ នៅពេលដែល ​Stuxnet បានធ្វើការកំណត់នូវវត្តមាននៃកម្មវិធីកំចាត់មេរោគនានានៅក្នុងប្រព័ន្ធគោលដៅ មេរោគ Irongate បែរជាស្វែងរកនូវ sandobx environment មានដូចជា VMWare ឬ Cuckoo sandbox ជាដើម។

ក្រុមហ៊ុន FireEye បាននិយាយថា មេរោគ Irongate នេះអាចគ្រាន់តែជាការសាកល្បងនូវ proof-of-concept, ការស្រាវជ្រាវ ឬក៏ជាការធ្វើតេស្តសាកល្បងតែប៉ុណ្ណោះ ដែលនេះជាេហតុផលធ្វើឲ្យក្រុមហ៊ុនបញ្ចេញព័ត៌មានលំអិតជាសាធារណៈក្នុងគោលបំណងដើម្បីស្វែងរកព័ត៌មាន បន្ថែមទៀតអំពីវា។ ប៉ុន្តែសំណួរដែលត្រូវចោទសួរបន្តនោះគឺ តើនរណាជាអ្នកបង្កើតនូវ Irongate នេះឡើយ ៕

ប្រភព៖ The Hacker New / ប្រែសម្រួល: SecuDemy.com

Exit mobile version