بدافزاري كه پيش از اين در حمله به شركتهاي بخش انرژي بكار رفته بود، در حال حاضر سازمان هايي را كه برنامههاي كاربردي صنعتي و ماشين آلات را استفاده مي كند و يا توسعه ميدهند هدف قرار داده است. بررسي ها نشان مي دهد كه در طي ماه هاي پيش، مهاجمان شروع به توزيع نسخه جديدي از برنامه تروجان دسترسي از راه دوري به نام Havex از طريق هك كردن وب سايتهاي توليدكنندگان سيستمهاي كنترل صنعتي (ICS) و نيز آلوده كردن نرمافزارهاي قانوني قابل دانلود در وب سايت ها، كردند.
همچنين در طي تحقيقات، سه سايت فروشنده اين نرم افزارها كه به اين طريق آلوده شده اند، كشف گرديده است. نصب كننده هاي نرمافزار موجود در اين سايتها آلوده به تروجان دسترسي از راه دور Havex شدهاند. به نظر مي رسد، احتمالاً موارد مشابهي ديگري نيز موجود باشد كه تاكنون كشف نگرديده است.
F-Secure نام اين فروشندههاي آلوده شده را بيان نكرده است اما اظهار داشت كه دو شركت از آنها توسعهدهنده نرمافزار مديريت از راه دور ICS بودند و سومي تهيهكننده دوربينهاي صنعتي با دقت بالا و نرمافزارهاي مرتبط با آن ميباشد. به گفته اين شركت امنيتي، فروشندگان در آلمان، سوئيس و بلژيك هستند.
مهاجمان، برنامههاي installer قانوني را براي اضافه و اجرا كردن فايلهاي اضافي در كامپيوتر تغيير ميدهند. فايل اضافه شده mbcheck.dll نام دارد و در حقيقت همان بدافزار Havex ميباشد.
اين روش توزيع جديد به علاوه براي حملات معمولي مانند ايميل هاي اسپم و exploitهاي مبتني بر وب مورد استفاده قرار گرفته اند، و نشان مي دهد كساني كه در پشت اين عمليات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهايي كه از برنامه هاي كاربردي ICS و SCADA استفاده مي كنند، شده اند.
نتيجه اينكه برنامه مخرب Havex جديد با هدف اسكن شبكه هاي محلي براي دستگاههايي كه به درخواست OPC (Open Platform Communications) پاسخ ميدهند به وجود آمدهاند. OPC يك استاندارد ارتباطي است كه اجازه تعامل بين برنامههاي كاربردي SCADA مبتني بر ويندوز و فرآيند كنترل سختافزار را مي دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC براي جمع آوري اطلاعات در مورد دستگاه هاي كنترل صنعتي نفوذ ميكند. بدافزار Havex اطلاعات جمع آوري شده را به سرور C&C خود، جهت تحليل توسط مهاجمان ارسال ميكند. در نتيجه به نظر ميرسد كه بدافزار Havex به عنوان يك ابزار براي جمع آوري اطلاعات استفاده ميشود. تاكنون نيز هيچ payload ايي كه سعي در كنترل سخت افزارهاي متصل شده داشته باشد، مشاهده نگرديده است.
محققان F-Secure بيان كردند: "اكثر قربانيان در اروپا هستند، هرچند در زمان نوشتن اين گزارش حداقل يك شركت در كاليفرنيا مشاهده شده است كه اطلاعات به سرورهاي C&C ارسال كرده است". از سازمانهاي اروپايي، دو نهاد آموزشي بزرگ در زمينه پژوهشهاي مربوط به فناوري در فرانسه، دو توليدكننده برنامههاي كاربردي يا دستگاههاي صنعتي در آلمان، يك توليدكننده ماشينآلات صنعتي فرانسوي و يك شركت ساخت و ساز متخصص در مهندسي سازه در روسيه به عنوان قربانيان شناخته شدهاند.
در گزارشي كه در ماه ژانويه2014 (دي ماه 92) منتشر شد، شركت اطلاعاتي امنيتي CrowdStrike، گزارشي را درباره Havex RAT كه حملههاي هدفمند بر عليه سازمانهاي بخش انرژي در سپتامبر 2013(شهريور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهي از مهاجمان وابسته به دولت روسيه هستند، دانست. شركت امنيتي به اين گروه مهاجم لقب "خرس پر انرژي" داد و احتمال داد كه زمان اين بدافزار مخرب به آوت 2012 برمي گردد.
پس از كشف بدافزار خرابكار صنعتي استاكس نت در سال 2010(1389شمسي)، محققان امنيتي در مورد ناامني سيستمهاي كنترل صنعتي و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند. با وجود اين نگراني ها تاكنون حملات گسترده بدافزارها عليه ICS ها و سيستم هاي SCADA به وقوع نپيوسته است ولي وجود بدافزاري مانندHavex اتفاقي است كه ممكن است در آينده نيز مشاهده گردد.
منبع:
http://www.pcworld.com/article/2367240/new-havex-malware-variants-target-industrial-control-system-…
- 5