NotPetya Attack สัญญาณเตือน หรือลูกหลง เตือนแล้วนะ!!

NotPetya Attack
Share

 

NotPetya กลายเป็นหัวข่าวผู้ผลิตรถยนต์เบอร์หนึ่งของโลกงานเข้าถึงขนาดต้องหยุดสายพานผลิตรถยนต์ในญี่ปุ่น บางสายก็บอกว่าเป็นคราวเคราะห์และระบบที่อ่อนแอจนต้องปรับปรุง หรือว่านี่คือลูกหลงในการประกาศว่าอย่าได้ยื่นมือเข้ามาช่วย ยูเครน

 

ในช่วงที่ทุกคนกำลังจับตามองถึงการใช้กำลังทางทหารบุกประเทศยูเครนโดยกองทัพรัสเซีย คนที่ติดตามข่าวสารทางด้านความปลอดภัยไซเบอร์ก็คงรอว่าจะมีเหตุการณ์การโจมตีทางไซเบอร์ด้านไหนบ้าง ในอดีตที่ผ่านมา ประเทศคู่ขัดแย้งกับรัฐบาลรัสเซียก็มักจะต้องตกเป็นเหยื่อของการโจมตีทางไซเบอร์ แม้แต่ยูเครนเอง ก็เคยตกเป็นเหยื่อของการใช้มัลแวร์ NotPetya ที่มุ่งเป้าในการทำลายเครื่องคอมพิวเตอร์โจมตีมาแล้ว และยังมีอีกหลายประเทศที่ไม่ได้เป็นคู่ขัดแย้งโดยตรง ก็ได้รับผลกระทบไปด้วย

Malware

ความเป็นไปได้ในประเด็นที่อาจเกี่ยวข้องคือ ความเสี่ยงที่มัลแวร์จะโจมตีสหรัฐฯ สมาชิก NATO หรือประเทศอื่นๆ ที่ให้การสนับสนุนในเรื่องนี้  ซึ่งอาจเป็นการโจมตีโดยตรงหรือเกิดลูกหลงจากการโจมตีในยูเครน อย่าง ปฏิบัติการ NotPetya ในปี 2560 ที่มุ่งเป้าที่ยูเครน แต่กลับแพร่กระจายไปยังส่วนอื่น ๆ ของโลก โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์เพิ่งค้นพบมัลแวร์ล้างข้อมูลตัวใหม่ที่มีชื่อว่า HermeticWiper (AKA KillDisk.NCV) ที่แพร่ระบาดในเครื่องยูเครนหลายร้อยเครื่องในช่วงสองเดือนที่ผ่านมา  ที่มุ่งสร้างความเสียหายรุนแรงด้วยการเขียนมัลแวร์ขึ้นมาโดยเฉพาะ เพื่อเจาะไปที่ Master Boot Record (MBR) ส่งผลให้ระบบไม่สามารถบูตเครื่องเพื่อทำงานได้ โดยมัลแวร์ตัวใหม่นี้อาละวาดคล้ายกับ NotPetya ที่มีวัตถุประสงค์เพื่อทำลายล้างและอาจทำให้เครื่องที่ติดมัลแวร์นี้เป็นอัมพาต คือทำอะไรไม่ได้นั่นเอง

NotPetya Attack มัลแวร์จอมแสบหวังเจาะระบบโตโยต้า

ทำให้ในช่วงสัปดาห์ที่ผ่านมา เมื่อมีข่าวว่าทางบริษัทโตโยต้าและบริษัทผลิตรถยนต์ในเครือ หยุดการผลิตของโรงงานทั้งหมดในประเทศญี่ปุ่น เนื่องจากผลกระทบของมัลแวร์เรียกค่าไถ่ จึงเป็นที่ถูกจับตามองว่าเป็นผลกระทบจากมัลแวร์ Hermetic ที่กลุ่มสนับสนุนรัสเซียใช้ในการโจมตีเป้าหมายในยูเครนหรือไม่ จากการแถลงข่าวจากทางบริษัทโตโยต้ามอเตอร์ ต้นเหตุที่ทำให้ต้องหยุดสายการผลิตนั้นเกิดจากบริษัทโคจิมา อินดัสตรี ที่เป็นผู้ผลิตชิ้นส่วนถูกโจมตีจากมัลแวร์เรียกค่าไถ่ โดยหลังจากที่ได้รับการยืนยันแล้ว เพื่อความปลอดภัยจึงได้หยุดขบวนการผลิตทั้งหมดเพื่อตรวจสอบ เนื่องจากระบบการผลิตของโตโยต้า JUST-IN-TIME มีการเชื่อมโยงข้อมูลกับผู้ผลิตชิ้นส่วนตลอด และอาจจะมีผลกระทบไป แต่เมื่อตรวจสอบแล้ว ไม่พบการโจมตีต่อเนื่องมาถึงเครือข่ายของบริษัทโตโยต้า จึงได้กลับมาเดินเครื่องการผลิตต่อไป

ในระบบการผลิตปัจจุบัน มักจะมีการเชื่อมโยงข้อมูลระหว่างผู้ผลิตชิ้นส่วน หรือผู้จัดหารชิ้นส่วนหรือวัตถุดิบ เพื่อสามารถบริหารจัดการการผลิตได้อย่างมีประสิทธิภาพ อย่างในกรณีของโตโยต้าในประเทศญี่ปุ่น มีการเชื่อมโยงกับบริษัทภายนอกถึงสี่ร้อยบริษัท ทำให้ต้องมีการติดตามและวางแผนในการรับมือเหตุการณ์ ในกรณีนี้ ถือว่าเป็นการจัดการรับมือตามแผนได้อย่างมีประสิทธิภาพ ถึงแม้ว่าจะกระทบการผลิต รวมถึงกระทบถึงบริษัทผู้แทนขาย แต่ก็ไม่มีความเสียหายจากการโจมตีทางไซเบอร์เกิดขึ้นนอกจากบริษัทโคจิมาที่ได้รับผลกระทบโดยตรง

NotPetya Attack เป็นแค่การเตือน

การโจมตีในรูปแบบนี้ เป็นแนวทางการโจมตีที่พบมากขึ้นเรื่อยๆ เป็นรูปแบบที่เราเรียกว่า SUPPLY CHAIN ATTACK เมื่อเป้าหมายมีการป้องกันอย่างดี ผู้โจมตีก็จะมุ่งไปที่คู่สัญญา หรือผู้ผลิตวัตถุดิบ ถึงแม้ว่าไม่สามารถเข้าถึงเป้าหมายอย่างที่ต้องการได้ แต่ก็สามารถสร้างผลกระทบได้โดยทางอ้อม อย่างกรณีของโตโยต้า กำลังการผลิตในประเทศญี่ปุ่น ถือเป็นหนึ่งในสามของกำลังการผลิตทั่วโลกเลยทีเดียว

ในอดีตที่ผ่านมา อุตสาหกรรมการผลิตรถยนต์ตกเป็นข่าวการถูกโจมตีทางไซเบอร์อยู่หลายครั้ง เช่นในปี 2563 บริษัทฮอนด้าก็ต้องหยุดสายการผลิตเนื่องจากถูกโจมตีทางไซเบอร์บนเครือข่ายระบบไอทีภายในบริษัท หรือย้อนไปในปี 2560 บริษัทนิสสันก็ต้องหยุดสายการผลิตในประเทศอังกฤษจากการโจมตีโดยมัลแวร์เรียกค่าไถ่ บริษัทอย่างเทสลาเองก็ถูกเตือนจากการเป็นเป้าหมายในการโจมตีหลายครั้ง

หน่วยงานในสหรัฐอเมริกาที่มีหน้าที่ในการดูแลด้านความปลอดภัยอย่าง CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) ได้ร่วมมือกับ NATIONAL INSTITUE OF STANDARD AND TECHNOLOGY (NIST) ออกคำแนะนำเป็นไฟล์ PDF สำหรับการเตรียมการรับมือกับภัยคุกคามทาง supply chain

โดยในเอกสารนี้ได้มีการนิยามถึงส่วนประกอบที่เกี่ยวข้องใน supply chain และตัวอย่างการโจมตีที่เคยเกิดขึ้นมาในอดีต ไม่ว่าจะเป็นกรณีของ SolarWinds ที่ผู้โจมตีแอบฝังโปรแกรมอันตรายเข้าไป หรือแม้แต่โปรแกรมรักษาความปลอดภัยเอง เช่น KASPERSKY ANTIVIRUS ก็ยังเคยถูกใช้เป็นเครื่องมือในการสอดแนมมาแล้ว

สำหรับคำแนะนำ ทาง NIST แนะนำว่าองค์กรควรเริ่มจากการประเมินความเสี่ยงของระบบไอทีภายใน ศึกษา รวบรวมข้อมูลผู้ให้บริการทั้งหมดที่เกี่ยวเนื่อง ติดตามและปรับปรุงข้อมูลที่เกี่ยวเนื่องกับอุปกรณ์ให้ทางไอทีที่อยู่ในส่วนที่มีความสำคัญกับธุรกิจเสมอ รวมถึงทำตามคำแนะนำของผู้ผลิตในการตั้งค่าความปลอดภัยของอุปกรณ์ มีขั้นตอนขบวนการตรวจสอบก่อนที่จะมีการเปลี่ยนแปลงที่มีผลกระทบ และสุดท้ายคือต้องมีการเตรียมแผนการรับมือเหตุการณ์และแผนการสื่อสารที่เหมาะสม

บทเรียนในอดีตจากผลกระทบด้านการโจมตีทางไซเบอร์ ถึงแม้ว่าอาจจะไม่ใช่เป้าหมายโดยตรง แต่อาจจะได้รับผลกระทบทางอ้อมได้ ในช่วงนี้ หน่วยงานรัฐในหลายประเทศ ก็ได้มีการเตือนถึงผลกระทบจากมัลแวร์ทำลายล้าง อย่าง  HERMETIC ที่มีความคล้ายคลึงกับ NOTPETYA ที่มุ่งเป้าทำลายข้อมูลบนเครื่องเป้าหมาย ถึงแม้เราจะไม่ใช่คู่ขัดแย้งโดยตรง แต่ก็ควรจะระวังไว้ก็ดีครับ ข้อมูลเพิ่มเติมสำหรับคำแนะนำจาก CISA สามารถดูได้ที่นี่ครับ

JurassicHog

JurassicHog

มือดีด้านไซเบอร์ซีเคียวริตี่ ผ่านมาแล้วกับโซลูชันป้องกันการโจมตีทุกรูปแบบ เชี่ยวชาญด้านเน็ตเวิร์กระดับสูง ว่างเมื่อไหร่ก็เล่นเกมส์แบบเอาจริงเอาจัง และเสาะหาของเล่นด้านไอทีมาศึกษาอยู่เรื่อย

Related Articles