อิหร่านสงสัยว่าจะแฮ็ก บริษัท พลังงานแห่งยุโรป VPNoverview.com

กลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐอยู่ในอิหร่านถูกสงสัยว่าถูกแฮ็ก บริษัท พลังงานแห่งยุโรป กลุ่มเชื่อว่ามีการใช้ Remote Access Trojan (RAT) ที่เรียกว่า PupyRAT ในการโจมตีของพวกเขา.


PupyRAT คืออะไร

Pupy เป็น RAT โอเพ่นซอร์สที่เขียนเป็นภาษาไพ ธ อนซึ่งสามารถให้ผู้โจมตีเข้าถึงระบบของเหยื่อได้อย่างเต็มที่ เป็นมัลแวร์ข้ามแพลตฟอร์มและสามารถแทรกซึมเข้าไปในหลายแพลตฟอร์มเช่น Windows, Linux, OSX และ Android.

Remote Access Trojan (RAT) เป็นมัลแวร์ที่อนุญาตให้แฮกเกอร์ตรวจสอบและควบคุมคอมพิวเตอร์หรือเครือข่ายของเหยื่อ มันทำงานเหมือนโปรแกรมการเข้าถึงระยะไกลที่ชอบด้วยกฎหมายซึ่งมักใช้โดยฝ่ายสนับสนุนด้านเทคนิคเพื่อช่วยลูกค้าในการแก้ไขปัญหาคอมพิวเตอร์.

แม้ว่า PupyRAT จะเป็นมัลแวร์โอเพนซอร์ซ แต่ส่วนใหญ่จะเชื่อมโยงกับแคมเปญแฮ็คที่ได้รับการสนับสนุนจากอิหร่าน มีความเกี่ยวข้องอย่างยิ่งกับกลุ่มแฮ็คที่ได้รับการสนับสนุนจาก APT 33 APT 33 มีส่วนเกี่ยวข้องกับการโจมตีในอดีตขององค์กรในภาคพลังงานทั่วโลก.

วิธีการใช้งานหนู?

RATs สามารถปรับใช้บนระบบที่ถูกบุกรุกก่อนหน้านี้เท่านั้น ในตัวอย่างนี้นักวิจัยไม่ทราบวิธีการใช้งาน PupyRAT แต่เชื่อว่ามันถูกเผยแพร่ผ่านการโจมตีแบบหอก.

การโจมตีแบบฟิชชิงมีเป้าหมายที่ผู้รับเพียงคนเดียวมากกว่าผู้รับจำนวนมากเช่นเดียวกับการโจมตีแบบฟิชชิงปกติ อาชญากรไซเบอร์เลือกเป้าหมายภายในองค์กรและใช้โซเชียลมีเดียและข้อมูลสาธารณะอื่น ๆ เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับเหยื่อที่อาจเกิดขึ้น จากนั้นพวกเขาสร้างอีเมลปลอมที่เหมาะสำหรับบุคคลนั้น.

แคมเปญ APT 33 ก่อนหน้านี้เกี่ยวข้องกับผู้โจมตีที่เลือกเหยื่อที่มีศักยภาพและได้รับความไว้วางใจก่อนที่จะส่งเอกสารที่เป็นอันตรายทางอีเมล ดังนั้นนักวิจัยเชื่อว่ามีความเป็นไปได้ที่จะใช้วิธีการเดียวกันนี้ในกรณีนี้.

หลักฐานการบุกรุก บริษัท พลังงาน

กลุ่ม Insikt ในอนาคตที่บันทึกไว้รายงานเมื่อวานนี้ว่าพวกเขาได้พบหลักฐานของเซิร์ฟเวอร์สั่งการและควบคุม PupyRAT (C2) สนทนากับเซิร์ฟเวอร์อีเมลตั้งแต่ปลายเดือนพฤศจิกายน 2562 จนถึงวันที่ 5 มกราคม 2563.

รายงานของกลุ่ม Insikt อธิบายต่อไปว่า:“ แม้ว่าข้อมูลเมตาเพียงอย่างเดียวไม่สามารถยืนยันการประนีประนอมได้ แต่เราประเมินว่าการสื่อสารปริมาณมากและการสื่อสารซ้ำ ๆ จากเซิร์ฟเวอร์อีเมลเป้าหมายไปยัง PupyRAT C2 นั้นเพียงพอที่จะบ่งชี้ว่ามีการบุกรุก”

เมลเซิร์ฟเวอร์เป็นขององค์กรพลังงานในยุโรปที่ประสานการจัดสรรและการจัดหาทรัพยากรพลังงานในยุโรป เมื่อพิจารณาถึงบทบาทขององค์กรการโจมตีครั้งนี้มีความน่าสนใจเป็นพิเศษโดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงการเพิ่มขึ้นของการบุกรุกที่เชื่อมโยงกับอิหร่านในซอฟต์แวร์ ICS ภาคพลังงาน.

Phil Neray รองประธานฝ่ายการรักษาความปลอดภัยทางไซเบอร์ทางอุตสาหกรรมของ CyberX กล่าวว่า“ จากการพึ่งพาข้ามพรมแดนที่กว้างขวางทั่วโครงสร้างพื้นฐานด้านพลังงานของยุโรปสิ่งนี้ดูเหมือนจะเป็นการเคลื่อนไหวเชิงกลยุทธ์โดยฝ่ายตรงข้ามที่จะมุ่งเน้นไปที่เป้าหมายส่วนกลาง ในเวลาเดียวกันคล้ายกับมูลค่าเชิงกลยุทธ์ของการโจมตีสถานีส่งสัญญาณกลางเดียวแทนที่จะเป็นสถานีระยะไกลหลายสถานี – เนื่องจากนักแสดงการคุกคามของรัสเซียทำในการโจมตีกริดยูเครนปี 2559 เมื่อเทียบกับการโจมตีในปี 2558”

วัตถุประสงค์ของผู้โจมตี

นักวิจัยเชื่อว่าแคมเปญแฮ็คล่าสุดใน บริษัท ยุโรปในภาคพลังงานเป็นภารกิจลาดตระเวน เชื่อว่าภารกิจดังกล่าวมีจุดประสงค์เพื่อรวบรวมความรู้ที่สำคัญเกี่ยวกับกระบวนการโรงไฟฟ้าและระบบควบคุมอุตสาหกรรม (ICS) ผู้โจมตียังมองหาจุดอ่อนในกระบวนการของ บริษัท และโครงสร้างพื้นฐานที่สำคัญ.

Priscilla Moriuchi ผู้อำนวยการฝ่ายพัฒนาภัยคุกคามเชิงกลยุทธ์ที่ Recorded Future อธิบายว่า:“ การเปิดใช้งานการปฏิบัติการหรือการโจมตีแบบทำลายล้างต้องใช้การลาดตระเวนและการสำรวจในลักษณะนี้เป็นเวลานานหลายเดือนและเข้าใจถึงพฤติกรรมของเจ้าหน้าที่ของ บริษัท เหล่านี้ ทรัพยากร.”

สำหรับประเทศอย่างอิหร่านที่สงสัยว่าจะสนับสนุนกลุ่มแฮ็คเหล่านี้ความรู้ดังกล่าวสามารถนำมาใช้กับฝ่ายตรงข้ามในกรณีที่เกิดความขัดแย้ง ข้อมูลที่สามารถใช้ในการเปิดตัวไซเบอร์เพื่อเป็นอัมพาตภาคที่สำคัญของฝ่ายตรงข้ามเช่นพลังงานน้ำและการขนส่ง.

เมื่อคำนึงถึงสิ่งนี้มันน่าสนใจที่จะทราบวันที่ของการแฮ็กแคมเปญ สิ่งเหล่านี้บ่งชี้ว่าแคมเปญแฮ็คเริ่มต้นก่อนที่ความตึงเครียดทางการเมืองที่เกิดจากการสังหารนายพล Qassem Soleimani ชาวอิหร่าน ดังนั้นการโจมตีทางไซเบอร์นี้จึงไม่สามารถตอบโต้การโจมตีลอบสังหารของ Soleimani ได้.

การโจมตีก่อนหน้านี้เกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ

การโจมตีระบบ ICS และโครงสร้างพื้นฐานที่สำคัญมีเพิ่มมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา เหตุผลนี้เป็นเพราะพวกเขาเป็นเป้าหมายที่ค่อนข้างง่าย.

ปัญหาหลักของระบบ ICS และโครงสร้างพื้นฐานที่สำคัญเช่นทางรถไฟและโรงไฟฟ้าคือส่วนใหญ่ถูกสร้างขึ้นก่อนที่ความปลอดภัยทางไซเบอร์จะได้รับการพิจารณา สิ่งเหล่านี้ส่วนใหญ่ไม่มีระบบรักษาความปลอดภัยใด ๆ และระบบ ICS บางระบบยังไม่มี เมื่อพวกเขาถูกดัดแปลงด้วยระบบรักษาความปลอดภัยมันไม่ง่ายเลยที่จะรู้ว่าหลุมไหนถูกทิ้งไว้ ในความเป็นจริงระบบ ICS จำนวนมากตัวอย่างเช่นเต็มไปด้วยช่องโหว่.

การโจมตีที่มีชื่อเสียงที่สุดในโครงสร้างพื้นฐานที่สำคัญได้ดำเนินการในปี 2012 โดยใช้มัลแวร์ Stuxnet Stuxnet เป็นหนอนคอมพิวเตอร์ที่มีเป้าหมายเฉพาะ Programmable Logic Controllers (PLC) สิ่งเหล่านี้ช่วยให้การทำงานอัตโนมัติของกระบวนการอุตสาหกรรมและกระบวนการในการควบคุมเครื่องจักร.

นักวิจัยเชื่อว่า Stuxnet ได้รับการพัฒนาโดยหน่วยข่าวกรองอเมริกันและอิสราเอลและถูกใช้เพื่อโจมตีโรงกลั่นนิวเคลียร์ของอิหร่าน มันรวบรวมความฉลาดและทำลายเครื่องหมุนเหวี่ยงนับพันที่ใช้เพื่อเสริมสมรรถนะยูเรเนียม.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map