بدافزارهای هدف دار مربوط به سامانه های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگار هستند، از جمله یک نمونه از این بدافزارها می توان به بدافزاری که خود را به جای سفت افزار Siemens PLC نشان داده و از سال 2013 فعال است اشاره کرد. بخشی از این جاسوس افزار که خود را به جای نرم افزار Siemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه های صنعتی (بیشتر در ایالات متحده) بوده است.
این بدافزار پنهان به گونه ای بسته بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه ریزی Siemens نشان دهد و حدود 10 واحد صنعتی با این کمپین حمله هدف دار مواجه شده اند که براساس تحقیقات جدید توسط Dragos، هفت مورد از آنها در ایلات متحده و چندین مورد در اروپا و چین قرار دارد.
«رابرت م. لی » بنیانگذار و مدیر Dragos اینگونه عنوان کرده است که، «این بدافزار تلاش می کند اپراتورها را به نصب فایل هایی که انتظار دارند مرتبط به PLCهایشان است، فریب دهد، ولی در واقع یک درب پشتی است».
«لی» و همکارش «بن میلر » رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه های ICS را شناسایی و تحلیل کردند (1500 نمونه بدافزار از محیط های ICS را در یک دوره سه ماهه مطالعه کردند). محققان، بدافزارهای جمع آوری شده از پایگاه داده های عمومی مانند VirusTotal و همچنین جستجوهای گوگل و داده های سرویس نام دامنه (DNS) را مطالعه کردند.
پروژه بدافزار در ICSهای مدرن Dragos ( MIMICS)، به منظور انجام ارزیابی روی نمونه های حقیقی بدافزارهایی که امروزه محیط های ICS را هدف می گیرند، راه اندازی شد. محققان توانستند بدافزارهای روز را شناسایی کنند: هیچگونه حمله هدف دار بدافزار از نوع Stuxnet دیده نشد. حتی بدافزار مخصوص Siemens در حالی که شبکه های ICS را هدف می گیرد، همچنان از قطعه پنهانی جاسوس افزار استفاده
می کند: هیچ گونه مورد مخرب یا سفارشی مانند Stuxnet، Havex یا BlackEnergy2 دیده نشد.
محققان یافتند که نمونه هایی از بدافزارهای تقریباً رایج و به سادگی قابل توزیع، به شبکه های ICS حمله کرده اند: Sivis با اختلاف بسیار زیاد و با 15863 شناسایی، بیشترین تعداد حمله را در اختیار داشته و پس از آن، Lamar (6830)، Ramnit (3716)، Sinwal (2909) و دیگر خانواده های رایج بدافزارها از جمله Virut (1814) و Sality (1225) در رتبه های بعدی قرار گرفتند. محققان محاسبه کردند که سالانه حدود 3000 واحد صنعتی با این نوع بدافزارهای غیرهدف دار و روزمره آلوده می شوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلوده شده به بدافزار خود را در پایگاه داده های عمومی برای مثال VirusTotal ثبت نمی کنند محافظه کارانه در نظر گرفته شده است.
«لی» عنوان کرده «افراد به جای توجه به وقوع موارد آشکار (آلودگی با بدافزار)، انتظار نسخه دوم Stuxnet را دارند. فرضیه این است که به نسخه دوم Stuxnet برای نفوذ به تأسیسات نیاز نیست. اگر بتوان نشان داد از بدافزار قدیمی برای هدفگیری ICS استفاده شده، تأثیر بیشتری خواهد داشت» .
حملات هدف داری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیر هدف دار، گسترده نبودند. «لی» عنوان کرده که حدود 10 مورد دیگر از بدافزارهای مخصوص ICS وجود داشت. یکی از حملات که در سال 2011 رخ داد، ایمیل فیشینگ بود که چندین سایت هسته ای در غرب ولی عمدتاً در ایالات متحده را هدف گرفتند.
«لی» عنوان می کند که حضور هر گونه ای از این بدافزار روی سامانه های ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هسته ای رخ داده است. یافته های MIMICS داده های حقیقی درباره نوع بدافزار و حملاتی که روی واحد های ICS رخ داده را نشان می دهد. «لی» اینگونه گفته که «بسیاری از مالکان واحدها می خواهند نمودارهایی برای امنیت ایجاد کنند. امید است که این مسئله، عمومیت را از بین ببرد و نشان دهد که مشکلاتی وجود دارد».
با این وجود، مسئله دلسردکننده، تعداد فایل های معتبر ICS و شناسایی شده توسط MIMICS بود که به اشتباه به عنوان بدافزار در VirusTotal و دیگر سایت های عمومی علامت گذاری شده بودند و این مسئله باعث شد که آن فایل ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف دار روی واحد صنعتی هستند. آنها صدها برنامه نرم افزاری معتبر ICS را شناسایی کردند از جمله نصب کننده های رابط ماشین انسان و تاریخ نگارهای داده ها و تولیدکننده های شماره سریال برای نرم افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.
«لی» و «میلر» حدود 120 فایل پروژه یافتند که به عنوان مخرب علامت گذاری شده و در آن پایگاه داده های عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هسته ای، خصوصیات طرح و گزارش های پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.
انجام حمله هدف دار و مخرب روی سامانه ICS در یک واحد صنعتی خیلی آسان نیست. به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند «رالف لانگنر » از Langner Communications عنوان کرده اند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. با توجه به گفته های «لانگنر» این آگاهی، مهارتی به حساب می آید که فراتر از بدافزار و هک کردن است.
ولی فایل های معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. «لی» عنوان می کند که «آنها می توانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرم افزار موجود در واحد به دست آورند. آنها می توانستند اطلاعات زیادی کسب کنند. لزوماً این فایل ها به آنها مهندسی فیزیکی را ارائه نمی کند ولی اطلاعات قابل توجهی را ارائه خواهد کرد».
یک مهاجم برای هک کردن یک واحد بایستی تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایل های معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد.
متخصص امنیت ICS «جوزف وایس » در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانه های ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطاف پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند. تضمین اینکه سامانه های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد بروزرسانی های ایمن نرم افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.
مرجع:
http://www.darkreading.com/threat-intelligence/3000-industrial-plants-per-year-infected-with-malwar…
- 18