آلودگی سالانه ۳۰۰۰ واحد صنعتی به بدافزار

محققان محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با بدافزارهای غیرهدف‌دار و روزمره آلوده می‌شوند.

بدافزارهای هدف‌دار مربوط به سامانه‌های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگارند، از جمله یک نمونه از این بدافزارها می‌توان به بدافزاری که خود را به جای سفت‌افزار (Firmware) Siemens PLC نشان داده و از سال ۲۰۱۳ فعال است اشاره کرد.

بخشی از این جاسوس‌افزار که خود را به جای نرم‌افزارSiemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه‌های صنعتی (بیشتر در آمریکا) بوده است.

این بدافزار پنهان به گونه‌ای بسته‌بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه‌ریزی Siemens نشان دهد و حدود ۱۰ واحد صنعتی با این کمپین حمله هدف‌دار مواجه شده‌اند که بر اساس تحقیقات جدید توسط شرکت دراگوس (Dragos)، هفت مورد از آنها در آمریکا و چندین مورد در اروپا و چین قرار دارد.

رابرت م. لی بنیان‌گذار و مدیرDragos دراگوس می‌گوید این بدافزار تلاش می‌کند اپراتورها را به نصب فایل‌هایی که انتظار دارند مرتبط به PLCهایشان است، فریب دهد، ولی در واقع یک در پشتی است.

با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) رابرت لی و همکارش بن میلر، رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه‌های ICS را شناسایی و تحلیل کردند. (۱۵۰۰ نمونه بدافزار از محیط‌های ICS را در یک دوره سه ماهه مطالعه کردند)

محققان، بدافزارهای جمع‌آوری‌شده از پایگاه داده‌های عمومی مانند VirusTotal و همچنین جست‌وجوهای گوگل و داده‌های سرویس نام دامنه (DNS) را مطالعه کردند.

آلودگی واحدهای صنعتی با بدافزار
محققان محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با بدافزارهای غیرهدف‌دار و روزمره آلوده می‌شوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلوده‌شده به بدافزار خود را در پایگاه داده‌های عمومی برای مثالVirusTotal ثبت نمی‌کنند محافظه‌کارانه در نظر گرفته شده است.

حملات هدف‌داری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیرهدف‌دار، گسترده نبودند. لی عنوان کرده که حدود ۱۰ مورد دیگر از بدافزارهای مخصوص ICS وجود داشت. یکی از حملات که در سال ۲۰۱۱ رخ داد، ایمیل فیشینگ بود که چندین سایت هسته‌ای در غرب ولی عمدتاً در آمریکا را هدف گرفتند. البته لی می‌گوید حضور هر گونه‌ای از این بدافزار روی سامانه‌های ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هسته‌ای رخ داده است.

با وجود این، مسئله دلسردکننده، تعداد فایل‌های معتبر ICS و شناسایی‌شده توسط MIMICS یا ICSهای مدرن بود که به اشتباه به عنوان بدافزار درVirusTotal و دیگر سایت‌های عمومی علامت‌گذاری شده بودند و این مسئله باعث شد که آن فایل‌ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف‌دار روی واحد صنعتی هستند.

آنها صدها برنامه نرم‌افزاری معتبر ICS را شناسایی کردند از جمله نصب‌کننده‌های رابط ماشین انسان و تاریخ‌نگارهای داده‌ها و تولیدکننده‌های شماره سریال برای نرم‌افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.

لی و میلر حدود ۱۲۰ فایل پروژه یافتند که به عنوان مخرب علامت‌گذاری شده و در آن پایگاه داده‌های عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هسته‌ای، خصوصیات طرح و گزارش‌های پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.

مهارتی فراتر از هک کردن
انجام حمله هدف‌دار و مخرب روی سامانه ICS در یک واحد صنعتی آسان نیست و به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند رالف لانگنر از Langner Communications عنوان کرده‌اند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه‌های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. این آگاهی، مهارتی به حساب می‌آید که فراتر از بدافزار و هک کردن است.

ولی فایل‌های معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. لی می‌گوید آنها می‌توانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرم‌افزار موجود در واحد به دست آورند و اطلاعات زیادی کسب کنند. لزوماً این فایل‌ها به آنها مهندسی فیزیکی را ارائه نمی‌کند ولی اطلاعات قابل توجهی را ارائه خواهد کرد.

یک مهاجم برای هک کردن یک واحد باید تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایل‌های معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد. متخصص امنیت ICS ، جوزف وایس در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانه‌های ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطاف‌پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند.

تضمین اینکه سامانه‌های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد به‌روزرسانی‌های ایمن نرم‌افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.