เราทราบกันดีว่า Cryptominer นั้นถูกนำไปแพร่กระจายใน server มากมายทั่วโลก ซึ่งตัวล่าสุดที่เราได้เจอกันคือการแฮ็คไปยัง Oracle WebLogic แต่ล่าสุดตอนนี้ไปถึงระบบ SCADA Network แล้ว

vendor ที่เป็นระบบ SCADA สำหรับการควบคุมน้ำอย่าง Radiflow พบว่าบริษัทพบ Monero-mining malware ใน server 5 server ที่เป็นของระบบบริหารน้ำ โดย server เหล่านั้นมีการใช้งาน HMI(Human Machine Interface) ซึ่งใช้สำหรับการควบคุม server ของระบบการควบคุมทางกายภาพของบริษัท

“PC เหล่านั้นไม่สามารถเข้าถึงโดยตรงได้จาก internet มีความเป็นไปได้ว่าหนึ่งในนั้นมีการใช้งาน browser เข้าเว็บไซด์ที่อันตราย ทำให้ถูกโจมตีและถูกยึดเครื่อง จากนั้นถูกใช้ในการกระจายตัวเข้าไปใน network ของ SCADA ต่อ” ทาง Yehonatan Kfir, CTO ของ Radiflow ได้กล่าวไว้

ทางบริษัทพบการโจมตีดังกล่าวจากการ monitor OT Network ของส่วนการควบคุมน้ำของลูกค้าทั่วไป ตัวระบบแจ้งเตือนหลังจากพบพฤติกรรมที่ผิดปกติในการพยายามสร้าง HTTP connection ไปยัง IP ที่ดูน่าสงสัยและดูน่าผิดปกติ ซึ่งทำให้ดูเหมือนความเปลี่ยนแปลงโครงสร้างเครือข่าย(Topology) (ปกติจะใช้เป็น star topology ซึ่งมันจะค่อนข้างตายตัว แต่พอเกิดการติดต่อไปยัง IP ภายนอกที่เป็น mining pool ก็เลยดูผิดปกติ)

เมื่อพบเหตุการณ์ผิดปกติดังกล่าว ทางบริษัทก็ตัด network การเชื่อมต่อไปยัง Internet ทันที จากนั้นจึงทำการปรับปรุงเครือข่ายในไม่กี่วันถัดมา โดยไม่เพียงแค่การปรับปรุง firewall เท่านั้น ยังมีการแบ่ง segment ของ network ให้ดียิ่งขึ้นอีกด้วย

โชคดีที่ระบบของการจัดการไม่ได้รับผลกระทบ หากเป็น ransomware ขึ้นมาอาจจะทำให้เกิดผลกระทบอย่างมากต่อการดำเนินธุรกิจก็เป็นได้

Cryptocurrency malware ทำให้เกิดการใช้งาน CPU ที่สูง รวมถึงการใช้ network bandwidth ไประดับที่อาจทำให้ระบบนั้นไม่เสถียรและไม่คงที่ ซึ่งโดยปกติเครื่องใน SCADA นั้นมักจะปิดการใช้งานเครื่องมือทางด้านป้องกันต่างๆ รวมถึงการไม่สามารถ update OS ได้เพราะความที่จะทำให้ระบบอาจไม่ compatible กับ SCADA Application ซึ่งทำให้เมื่อ malware โจมตีไปยังช่องโหว่ต่างๆมีสิทธิ์ที่จะสำเร็จสูง

Source:: HelpNetSecurity