STUXNET อาวุธไซเบอร์ตัวแรกของโลก
คุณคิดว่าเครือข่ายที่ไม่ได้เชื่อมต่ออินเตอร์เน็ตจะปลอดภัย ไม่ถูกโจมตี ไม่โดนไวรัสใช่หรือเปล่า ระบบอยู่แยกต่างหากจากใครเขา ไวรัสมันจะมาจากไหนกันละ ถ้าคุณคิดแบบนั้น แสดงว่าคุณไม่รู้จักอาวุธไซเบอร์ตัวแรกของโลกที่ชื่อ STUXNET
อันที่จริงก็อาจจะมีก่อนนั้นนะ แต่เอาเป็นว่า STUXNET เป็นตัวแรกที่เป็นที่รู้จักกันทั่วไปของโลกเลยมากกว่า คนในแวดวงไอที Security ที่ไม่ตกข่าวมากมายน่าจะต้องรู้จักกัน
STUXNET เป็น Malware ที่ค้นพบในช่วงปี 2010 โดยผู้โจมตีมุ่งเป้าโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่าน คือเขามีความเชื่อว่านิวเคลียร์ของอิหร่านเนี่ยไม่ได้เอาไปผลิตไฟฟ้าอย่างเดียว เขาเชื่อกันว่าอิหร่านเอาไปทำอาวุธนิวเคลียร์ด้วย STUXNET เนี่ยก็ถูกออกแบบมาเพื่อไปขัดขวางโครงการตรงนั้น
STUXNET มีอะไรหลายอย่างที่น่าสนใจ มากกว่า Malware ที่เคยเจอกันแบบเทียบไม่ติด ด้วยความที่ระบบที่มันมุ่งโจมตีเนี่ยเป็นประมาณระบบ SCADA ที่มีการแยกระบบออกมาต่างหาก ไม่ได้เชื่อมต่อกับ Internet หรือเรียกคำเฉพาะเขาก็คือ AIR GAPPED คือมีช่องว่างเป็นอากาศคั่นอยู่ระหว่างระบบกับเครือข่าย Internet ไม่ได้เชื่อมถึงกันได้
เจ้าตัว STUXNET เนี่ยเขามีความสามารถแพร่ผ่านทางเครือข่ายผ่าน Fileshare , RPC , Printspooler และไฟล์ LNK ของ USB หลักๆแล้วเป็นช่องโหว่ Zero day คือเป็นช่องโหว่ที่ยังไม่เปิดเผย ไม่มี Patch ออกมา 4 ตัว กับอีก 1 ตัวที่ไม่ใช่ Zero day แต่ยังไม่ได้ Patch
เหตุที่ต้องใช้หลายๆ Zero Day เนี่ย ทั้งหมดทั้งมวลก็เพื่อจะแพร่ตัวเองไปเครื่องเหยื่อหลายๆเครื่อง เพื่อให้ได้เครื่องเป้าหมายที่จะเอาไฟล์ผ่านเข้าไปโจมตีระบบที่เป็น AIR GAPPED นี้อีกที ตั้งใจให้ไปติดเครื่อง Contractor หรือพนักงานสักคนที่เอา USB ไปเสียบใช้ในโรงไฟฟ้านิวเคลียร์นั้น
การทำงานของ STUXNET หลักๆ คือดูว่าเครื่องมันเนี่ยมี condition อย่างที่มันมองหาหรือไม่ ถ้าไม่มีมันก็แพร่ตัวเองอย่างเดียว มันมีเทคนิคหลบการตรวจจับได้โดยที่มันก็ไม่ได้ทำงานตลอดเวลา มันจะแพร่ช่วงหนึ่งแล้วก็หลับ ทิ้งระยะเวลาแล้วก็มาทำงานใหม่ ทำให้ไม่เป็นที่สังเกต คนก็ไม่พบว่าเครื่องผิดปกติอะไร หรือแค่ reboot ก็หาย
สาเหตุที่เป็นถูกเจอนี้ก็ถือว่าบังเอิญหน่อยๆ คือตัว STUXNET เขาถูกพัฒนาให้รองรับ Windows Major version เรียกได้ว่าทั้งหมด แต่มันก็มีบางเครื่อง บาง Build ที่ไม่ได้รองรับ ที่นี้ไอทีเขาพบว่าเครื่องน้อยนิดนั้นมันมีปัญหา แก้ไขไม่ได้สักที ลงเครื่องใหม่ก็ไม่หาย เพราะพอเปิดเครื่องมันก็ติด STUXNET แล้วพบปัญหาอีก พอไป Investigate ลึกๆก็เลยเจอ STUXNET เข้า
ผ่านเรื่องการแพร่ตัวมันไป ว่าถึงเงื่อนไขที่ถ้ามันเจอถึงจะทำขั้นตอนต่อไป เงื่อนไขที่มันมองหาคือเงื่อนไขที่บอกว่ามันคือเครื่องที่ควบคุมอุปกรณ์ของนิวเคลียร์ เช่น มีต่อ PLC ไหม มี driver อุปกรณ์โน้นนี้นั้นไหม เป็นต้น
ถ้ามันเจอเครื่องที่ตรงเงื่อนไขแล้ว มันก็จะทำการโจมตีให้การทำงานของอุปกรณ์ควบคุมทำงานผิดเพี้ยนไป ทำให้เกิดความเสียหายกับตัวอุปกรณ์นิวเคลียร์นั้น คร่าวๆ ก็จะทำให้การพัฒนาของโครงการที่อิหร่านวางแผนไว้นั้นชะลอออกไป
มีน่าสนใจอีกว่า ในการติดตั้ง Driver ลงในเครื่องที่ติด STUXNET นั้นโดยปกติการติดตั้งจะมีการตรวจสอบ Certificate ที่รับรองว่าเป็น Driver ที่ถูกต้องจากผู้ผลิตนั้นๆ เจ้าตัว STUXNET นั้นก็สามารถไปหาใบ Certificate ที่ถูกต้องมาได้ด้วยนะ จากผู้ผลิตอุปกรณ์ในไต้หวัน จะขโมยหรือแอบเจาะเอามายังไงไม่ทราบได้ ทำให้การติดตั้ง Driver นี้ก็สามารถทำได้ไม่ติดปัญหาอะไร
โดยสรุปสิ่งที่เจ้า STUXNET ใช้
4 Zero day ยังไม่เคยเปิดเผย คนทั่วไปไม่รู้
1 CVE มี Patch ออกมาแต่เครื่องยังไม่ได้ติดตั้ง STUXNET เอามาโจมตีต่อ
2 Digital certificate จากผู้ผลิตอุปกรณ์จริงๆ
นอกจากนี้ยังมีเรื่องของความรู้ในระบบที่จะโจมตีว่าติดตั้งยังไง ใช้ตัวควบคุมแบบไหน เหมือนมีระบบควบคุมนิวเคลียร์ตัวเนี้ยไว้เทสเองเลย ไม่ก็เป็นคนอยู่ในนั้นซะเอง
ด้วยความซับซ้อนของตัว STUXNET ทั้งการแพร่ การทำงาน มันก็เลยคิดได้ว่าไม่น่าจะเป็นการโจมตีของคนทั่วไปหรือองค์กรไก่กาแน่ๆ ต้องเป็นระดับประเทศเท่านั้น ซึ่งเขาก็คิดกันว่าน่าจะเป็นประเทศอเมริการ่วมมือกับอิสราเอล และแน่นอนว่า 2 ประเทศนั้นก็ปฏิเสธแหละนะ ก็เข้าใจแหละว่ามันไม่มีหลักฐานนี่เนาะ
- 1
ดูเพิ่มเติมในซีรีส์
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
