جدیدترین اخبار
۲۴ اردیبهشت ۱۳۹۶ ساعت ۰۷:۲۰ اقتصادی کد خبر :15705

آلودگی سالانه ۳۰۰۰ واحد صنعتی به بدافزار

محققان محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با بدافزارهای غیرهدف‌دار و روزمره آلوده می‌شوند.

 بدافزارهای هدف‌دار مربوط به سامانه‌های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگارند، از جمله یک نمونه از این بدافزارها می‌توان به بدافزاری که خود را به جای سفت‌افزار (Firmware) Siemens PLC  نشان داده و از سال ۲۰۱۳ فعال است اشاره کرد.

بخشی از این جاسوس‌افزار که خود را به جای نرم‌افزارSiemens PLC  نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه‌های صنعتی (بیشتر در آمریکا) بوده است.

این بدافزار پنهان به گونه‌ای بسته‌بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه‌ریزی Siemens نشان دهد و حدود ۱۰ واحد صنعتی با این کمپین حمله هدف‌دار مواجه شده‌اند که بر اساس تحقیقات جدید توسط شرکت دراگوس (Dragos)، هفت مورد از آنها در آمریکا و چندین مورد در اروپا و چین قرار دارد.

رابرت م. لی بنیان‌گذار و مدیرDragos  دراگوس می‌گوید این بدافزار تلاش می‌کند اپراتورها را به نصب فایل‌هایی که انتظار دارند مرتبط به  PLCهایشان است، فریب دهد، ولی در واقع یک در پشتی است.

با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) رابرت لی و همکارش بن میلر، رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه‌های ICS را شناسایی و تحلیل کردند. (۱۵۰۰ نمونه بدافزار از محیط‌های ICS را در یک دوره سه ماهه مطالعه کردند)

محققان، بدافزارهای جمع‌آوری‌شده از پایگاه داده‌های عمومی مانند VirusTotal  و همچنین جست‌وجوهای گوگل و داده‌های سرویس نام دامنه (DNS) را مطالعه کردند.

آلودگی واحدهای صنعتی با بدافزار

محققان محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با بدافزارهای غیرهدف‌دار و روزمره آلوده می‌شوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلوده‌شده به بدافزار خود را در پایگاه داده‌های عمومی برای مثالVirusTotal  ثبت نمی‌کنند محافظه‌کارانه در نظر گرفته شده است.

حملات هدف‌داری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیرهدف‌دار، گسترده نبودند. لی عنوان کرده که حدود ۱۰ مورد دیگر از بدافزارهای مخصوص ICS  وجود داشت. یکی از حملات که در سال ۲۰۱۱ رخ داد، ایمیل فیشینگ بود که چندین سایت هسته‌ای در غرب ولی عمدتاً در آمریکا را هدف گرفتند. البته لی می‌گوید حضور هر گونه‌ای از این بدافزار روی سامانه‌های ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هسته‌ای رخ داده است.

با وجود این، مسئله دلسردکننده، تعداد فایل‌های معتبر ICS و شناسایی‌شده توسط MIMICS یا ICSهای مدرن  بود که به اشتباه به عنوان بدافزار درVirusTotal  و دیگر سایت‌های عمومی علامت‌گذاری شده بودند و این مسئله باعث شد که آن فایل‌ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف‌دار روی واحد صنعتی هستند.

آنها صدها برنامه نرم‌افزاری معتبر ICS را شناسایی کردند از جمله نصب‌کننده‌های رابط ماشین انسان و تاریخ‌نگارهای داده‌ها و تولیدکننده‌های شماره سریال برای نرم‌افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.

لی و میلر حدود ۱۲۰ فایل پروژه یافتند که به عنوان مخرب علامت‌گذاری شده و در آن پایگاه داده‌های عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هسته‌ای، خصوصیات طرح و گزارش‌های پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.

مهارتی فراتر از هک کردن

انجام حمله هدف‌دار و مخرب روی سامانه ICS در یک واحد صنعتی آسان نیست و به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند رالف لانگنر از Langner Communications عنوان کرده‌اند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه‌های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. این آگاهی، مهارتی به حساب می‌آید که فراتر از بدافزار و هک کردن است.

ولی فایل‌های معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. لی می‌گوید آنها می‌توانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرم‌افزار موجود در واحد به دست آورند و اطلاعات زیادی کسب کنند. لزوماً این فایل‌ها به آنها مهندسی فیزیکی را ارائه نمی‌کند ولی اطلاعات قابل توجهی را ارائه خواهد کرد.

یک مهاجم برای هک کردن یک واحد باید تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایل‌های معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد. متخصص امنیت ICS ، جوزف وایس در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانه‌های ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطاف‌پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند.

تضمین اینکه سامانه‌های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد به‌روزرسانی‌های ایمن نرم‌افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.

روی خط خبر

  • بیش از ۵ هزار معلول تهرانی صاحب مسکن شدند
  • بیانیه ۴ پیام‌رسان ایرانی سروش، گپ، ایتا و بیسفون/ادامه فعالیت هاتگرام و طلاگرام تعیین تکلیف شود
  • تاثیر مخرب “رشد جهانی مصرف گوشت” بر محیط زیست
  • افزایش ۲.۵ دلاری هر اونس طلا در بازار جهانی
  • آماده اعمال تعرفه ۵۰۰ میلیارد دلاری بر کالاهای چینی هستم
  • خانه بخریم یا دست نگه داریم؟/برآوردی از بازار مسکن در ماههای آتی
  • توافق ترکیه و هلند برای از سرگیری روابط دیپلماتیک
  • ادعای رسانه ترک: کنترل شهر حلب سوریه به ترکیه واگذار می شود
  • توقف اجرای ۱۶ پرونده برج باغ درشمال شرق تهران
  • ظریف: دادن نفت در برابر کالا به روسیه را در دستور کار نداریم
  • عناصر نا امنی کرمان به سخت‌ترین شکل مجازات شده‌اند
  • روسیه توان لازم برای مقابله با ایران را ندارد
  • لیبی طرح ایجاد مراکز مهاجران در خاک خود را رد کرد
  • حکم استرداد پوجدمون به اسپانیا ملغی شد
  • سفیر روسیه: آماده برگزاری نشست نتانیاهو و محمود عباس هستیم
  • مرکل: روابط با آمریکا حیاتی است
  • فروش «دارکوب» شتاب گرفت
  • تهدید مجدد وزیر جنگ رژیم صهیونیستی به حمله به غزه
  • ادامه واکنش‌ها به تصویب قانون “کشور یهود”
  • نامه‌ سرگشاده منوچهر متکی درباره گزارش موسسه ثامن
  • تغییر کارگردان فصل دوم «سارق روح»
  • با آمریکا تا زمانی که آدم نشود ارتباطی نخواهیم داشت
  • چین: به تجارت و همکاری با ایران ادامه می‌دهیم
  • علم‌الهدی: اگر جواب من فحش است، چرا به فرزندان من فحش می‌دهید؟
  • کانال حزب اعتمادملی: انتخاب حضرتی بعنوان قائم مقام اشکال قانونی دارد
  • داشتن مجوز دلیل مناسب‌بودن بازی رایانه‌ای نیست
  • برگزاری یک کنسرت در مشهد
  • قاضی عسکر: اختلافات سیاسی نباید حج را تعطیل کند
  • آیت‌الله مکارم‌: فعلا وقت تسویه حساب نیست
  • هیئت آمریکایی برای گفت‌وگو در مورد تحریم‌های ایران به ترکیه سفر می‌کند