ผู้เชี่ยวชาญเย้ยมัลแวร์ ZionSiphon

ผู้เชี่ยวชาญเย้ยมัลแวร์ ZionSiphon

เหมือนถูกสร้างจาก AI ที่ฟังก์ชันกากจนทำงานไม่ได้

ในยุคสมัยปัจจุบันนั้น ถึงแม้จะมีมัลแวร์ที่ร้ายกาจอยู่จำนวนมากอยู่บนระบบอินเทอร์เน็ต กระนั้นมัลแวร์บางตัวที่มีการโอ้อวดเกินจริง ก็จะได้ถูกเปิดโปงโดยกลุ่มผู้เชี่ยวชาญว่า มัลแวร์เหล่านั้นอาจจะไม่ได้มีความสามารถอย่างที่กล่าวโอ้อวดไว้เลย

จากรายงานโดยเว็บไซต์ Industrial Cyber ได้กล่าวถึงความเห็นของทางทีมวิจัยจาก Nozomi Networks Labs บริษัทผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ ถึงมัลแวร์ ZionSiphon ซึ่งทีมแฮกเกอร์ที่เกี่ยวข้องได้โอ้อวดว่าเป็นมัลแวร์ประเภท OT (Operational Technology) หรือมัลแวร์ประเภทโจมตีระบบอุตสาหกรรม ที่ถูกสร้างขึ้นมาเพื่อโจมตีโรงผลิตน้ำประปา (Water Plant) ของประเทศอิสราเอลโดยเฉพาะ ซึ่งผลของการตรวจสอบนั้นพบว่ามีหลายอย่างที่น่าตื่นตะลึง นั่นก็คือ กลไกของมัลแวร์ภายในนั้นเต็มไปด้วยส่วนสำหรับการรันใช้งาน (Execution Path) ที่ถูกเขียนอย่างไม่สมบูรณ์, ฟังก์ชันการทำงานต่าง ๆ ที่ไม่มีความสอดคล้องกัน, กับ รูปแบบการเขียนที่แสดงให้เห็นว่าผู้เขียนนั้นไม่มีความรู้ถึงการทำงานของระบบโรงงานอุตสาหกรรมอย่างแท้จริง ทำให้ทางทีมวิจัยคาดว่า มัลแวร์ตัวนี้เป็นเพียงแบบจำลอง (Mock Up) มากกว่าจะเป็นภัยอันตรายที่แท้จริงอย่างที่แฮกเกอร์ได้โอ้อวดไว้

นอกจากนั้นทางทีมวิจัยยังกล่าวว่า ชื่อไฟล์ที่ถูกตั้งค่า (Configuration) แบบค่าคงที่ (Hardcoded) ที่อยู่ภายในมัลแวร์นั้น ก็ไม่ได้มีความเชื่อมโยงกับสิ่งอ้างอิงโลกจริง (Real-World References) เลย ทุกอย่างเหมือนถูกสร้างโดยระบบปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) แบบโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) ซึ่งเหมือนถูกสร้างขึ้นมาจากการที่ผู้พัฒนาทำการพิมพ์ให้ตัว AI นั้นสร้างการตั้งค่าสำหรับการโจมตีโรงผลิตน้ำจืดจากน้ำทะเล (Water Desalination Plant) ซึ่งทั้งหมดสอดคล้องกับที่ทางทีมวิจัยจาก Dragos ซึ่งเป็นอีกหนึ่งบริษัทที่เชี่ยวชาญในด้านการรักษาความปลอดภัยไซเบอร์ให้กับโรงงานอุตสาหกรรม ซึ่งพบว่า ตัวมัลแวร์นั้นมีโค้ดฟังก์ชันหาพิกัดทางภูมิศาสตร์ (Geofencing Function) ที่ไม่สมบูรณ์ จากการใช้การตรวจสอบหมายเลขไอพีภายใน (Local IP) เทียบกับกลุ่มไอพี (IP Range) แบบค่าคงที่ ซึ่งจะไม่สามารถทำงานได้ภายในสภาพแวดล้อมแบบ NAT (Network Address Translation) ที่เป็นสภาพแวดล้อมของระบบเครือข่ายที่โรงงานอุตสาหกรรมใช้กันอยู่ทั่วไป

และเมื่อยิ่งนำมาเปรียบเทียบกับมัลแวร์ประเภท OT ที่สามารถทำงานได้จริงอย่าง Industroyer2 ที่มีการเขียนพารามิเตอร์ต่าง ๆ เช่น Information Object Addresses, หมายเลขไอพี, พอร์ต, และ IEC-104 อย่างละเอียด ให้ตรงกับเป้าหมายและสภาพแวดล้อมที่ต้องการโจมตีมากที่สุด รวมทั้งมีการเขียนการจับคู่โปรโตคอลการทำงานให้เข้าคู่กับการทำงานเชิงกายภาพของอุปกรณ์เป้าหมายที่จะเปลี่ยนแปลงไปตามผู้ผลิต (Vendor) และสถานที่ติดตั้ง (Installation) ซึ่งต้องใช้ความเชี่ยวชาญและความรู้เฉพาะด้านที่สูง เทียบกับสิ่งที่สามารถเห็นได้ง่าย ๆ เช่น การตั้งค่าให้ปรับปริมาณคลอรีน (Chroline) ให้สูงสุด (MAX) ผ่านทางไฟล์ตั้งค่า หรือ คำสั่ง (Command) แบบ Modbus ซึ่งในความเป็นจริง การจะทำเช่นนั้นได้จะต้องมีการตั้งค่าอย่างละเอียดตั้งแต่ปริมาณคลอรีนที่ต้องการ และระดับแรงดันน้ำของโรงงานเป้าหมาย ซึ่งคำสั่ง Modbus นั้นไม่มีหน้าที่โดยตรงเช่นนั้นเลย

ดังนั้นทางทีมวิจัยจึงสรุปได้ว่า มัลแวร์ดังกล่าวนั้นไม่ได้มีอันตราย และไม่สามารถก่อภัยให้กับโรงงานได้อย่างแน่นอน