افزایش حمله به زیرساخت‌های صنعتی

به تازگی شاهد افزایش پیچیدگی و تعداد حملاتی هستیم که زیرساخت‌های صنعتی را هدف می‌گیرند؛ از جمله شناسایی یک مجموعه ابزار بدافزاری جدید با قابلیت هدف‌گیری همزمان هزاران سیستم کنترل صنعتی (ICS[1]) در صنایع مختلف. براساس تحقیقات شرکت امنیت سایبری صنعتی Dragos در زمینه واکنش به حادثه، 80 درصد از محیط‌های تحت تأثیر این حملات دید کاملی بر ترافیک ICS نداشتند و نیمی از آنها دچار مشکلات بخش‌بندی و اتصالات بیرونی کنترل نشده در محیط شبکه‌های فناوری عملیاتی (OT) خودشان بودند.

محققان Dragos در گزارش سالیانه جدیدشان اعلام کردند که احتمال پیشرفت قابلیت‌های مخرب و ویرانگر برخی از تهدیداتی که توسط این شرکت تحت نظارت هستند در آینده وجود دارد چون مهاجمان معمولاً مراحل تحقیق و توسعه را طی کرده و بدافزارها و حملات خود را به مرور زمان طراحی و راه‌اندازی می‌کنند. آنها برای حملات آینده هم از این تحقیقات استفاده می‌کنند و در نهایت توانایی‌های مخرب‌شان را تقویت می‌کنند.

پیگیری فعالیت گروه‌های فعال

Dragos در مجموع فعالیت‌های 20 گروه تهدید که از سال 2020، سازمان‌های زیرساخت صنعتی را هدف می‌گیرند زیرنظر دارد. در سال 2022، هشت مورد از این گروه‌ها فعال بودند از جمله دو گروهی که این شرکت آنها را Chernovite و Bentonite می‌نامد. بین این دو گروه، Chernovite برجسته‌تر بوده و جنبه‌های مختلفی از زنجیره کشتار سایبری[2] ICS را از خود بروز داده است. مرحله اول، شامل فعالیت‌های اکتشاف و نفوذ اولیه است که به مهاجمان امکان می‌دهد درباره محیط OT اطلاعاتی را گردآوری کنند. اجرای این مرحله به مهاجمان برای هدف‌گیری یک پیاده‌سازی ICS خاص کمک می‌کند. مرحله دوم هم مسلح‌سازی اطلاعات گردآوری شده در مرحله اول با قابلیت‌هایی است که به ضربه زدن به ICS کمک می‌کنند.

گروه Chernovite یک پلتفرم بدافزاری بسیار پیچیده با قابلیت حمله به سیستم‌های کنترل صنعتی را طراحی کرده است. این پلتفرم توسط Dragos بنام Pipedream نامگذاری شده است. شرکت امنیت سایبری Mandiant هم این بدافزار را Incontroller نامیده است. Pipedream در اوایل سال 2022 شناسایی شد و گفته شده که توسط یک گروه دولتی طراحی شده است. Dragos ارزیابی خاصی برای انتساب این حملات انجام نداده اما به گفته شرکت Mandiant، این حملات با سابقه دولت روسیه در زمینه هدف‌گیری محیط‌های ICS همخوانی دارند؛ با این وجود شواهد موجود برای انتساب حملات کافی نیست.

Pipedream یا Incontroller پیش از بکارگیری در حمله شناسایی شده است. به گفته Robert M. Lee مدیرعامل و بنیانگذار Dragos مهاجمان همچنان آن را فعال نکرده بودند اما به این مرحله بسیار نزدیک بودند. Robert M. Lee می‌گوید: «این بدافزار توجه لازم را به خود جلب نکرده شاید به این دلیل که پیش از آسیب رساندن به زیرساخت‌ها شناسایی شده اما قابلیت‌های مخرب و اخلال‌گر این بدافزار بسیار زیاد است و نسبت به سایر بدافزارها توانایی بیشتری در به کار انداختن زیرساخت‌های آمریکا و اروپا دارد.»

او می‌گوید: «قصد من ایجاد هیاهو نیست اما معتقدم که بخش زیادی از جامعه به سرعت از کنار این بدافزار گذشتند چون حمله‌ای به عظمت و بزرگی خط لوله Colonial یا شرکت برق اوکراین با آن انجام نشد. چنین اتفاقی نیفتاده اما به نظرم مردم درک نمی‌کنند که چقدر نزدیک بود حادثه‌ای مشابه رخ دهد.»

من معتقدم که این بدافزار حدود ده سایت کلیدی گاز طبیعی مایع و برق را هدف گرفته اما قابلیت‌های آن به هیچ وجه محدود به همین صنایع نیست. در واقع، Pipedream اولین بدافزار ICS است که از قابلیت بومی موجود در برخی از پروتکل‌های ICS پرکاربرد استفاده می‌کند از جمله پروتکل‌های مورد استفاده در شرکت‌های Schneider Electric ،Omron ،CODESYS PLC و هر PLC که از استاندارد معماری یکپارچه OPC پشتیبانی می‌کند.

به عبارتی هر کاری که اپراتورها می‌توانند با این پروتکل‌ها انجام دهند، بدافزار هم توانایی انجام آن را خواهد داشت. بنا به گفته Lee: «این بدافزار از جهاتی نسبت به هر نرم‌افزار ساخته شده برای ایستگاه کاری مهندسی قوی‌تر است چون این نرم‌افزارها فقط با PLCهای یک شرکت خاص کار می‌کنند اما Pipedream می‌تواند با همه آنها کار کند.»

Lee می‌گوید: «این بدافزار فوق‌العاده است و ابتدا طوری طراحی شده بود که 15 نوع خاص از دستگاه‌ها را هدف بگیرد اما کم کم پیشرفت کرد و حالا توانایی کار با هزاران نوع کنترلر مختلف و لوازم مستقر در محیط‌های مختلف از صدها شرکت گوناگون و تقریباً در هر بخشی را دارد.» بدترین ویژگی این بدافزار این است که مربوط به یک آسیب‌پذیری خاص نیست که بتوان آن را رفع کرد چون از قابلیت‌های بومی استفاده می‌کند. Dragos کاملاً انتظار دارد که همچنان شاهد پیاده‌سازی این بدافزار باشد طوری که امکان مقابله راحت با آن وجود نداشته باشد. بنا به گفته Lee: «شانس سازمان‌هایی که فقط متمرکز بر پیشگیری هستند و روی جنبه‌های تشخیص و واکنش کار نمی‌کنند، برای مقابله با این بدافزار تقریباً صفر است.»

او می‌گوید: «توانایی دید ما نسبت به آنچه مردم تصور می‌کنند، کمتر است. به نظرم شاید حدود 5 درصد از زیرساخت جهانی تحت نظارت است. اگر همه تلاش‌مان را برای پیشگیری از حملات انجام دهیم اما فقط 5 درصد از شرکت‌ها به زیرساخت‌های خودشان نظارت داشته باشند، قابلیت دید همه تهدیدات را نخواهیم داشت. به نظرم، به نوعی در حال کار کردن روی همین پنجره 5 درصدی هستیم و همچنان مسائل و اتفاقات ترسناکی را تجربه می‌کنیم.»

Bentonite دومین گروه جدیدی است که در سال 2022 شناسایی شد و تا امروز فقط قابلیت‌های مرحله اول را از خود بروز داده است. این گروه بیشتر صنایع تولیدی و نفت و گاز را هدف می‌گیرد اما به نظر می‌رسد که از هر فرصتی برای انتخاب و هدف‌گیری اتصالات دسترسی از راه دور یا بهره‌برداری از دارایی‌های متصل به اینترنت استفاده می‌کند. پیاده‌سازی بدافزار این گروه چندان قابل توجه نیست اما Dragos هشدار می‌دهد که این گروه بسیار باهوش است و اطلاعاتی را جمع‌آوری می‌کند که امکان نفوذ به شبکه‌های OT در آینده را فراهم می‌کنند مثل نمودارهای تجهیزات صنعتی یا داده‌های مربوط به فرایندهای فیزیکی.

Kostovite گروه دیگری که در سال 2022 هم فعال بود، ابتدا در سال 2021 شناسایی شد و توانایی حرکت عرضی در شبکه و دسترسی به شبکه‌های OT و ICS را از خود نشان داد. این گروه عمدتاً محیط شبکه‌های سازمانی را هدف گرفته و از آسیب‌پذیری‌های روزصفر استفاده می‌کند. گروه Kostovite برای هر هدف یک زیرساخت اختصاصی دارد. همچنین اشتراکاتی بین این گروه و APT5، یکی از قدیمی‌ترین گروه‌های جاسوس سایبری چینی مشاهده شده است.

Kamacite و Electrum دو گروه هکری هستند که همچنان فعالیت‌های خود را ادامه داده و با Sandworm  که یکی از واحدهای سرویس اطلاعات نظامی روسیه است در ارتباط هستند. Sandworm به عنوان مسئول یکسری از حملات مخرب با بدافزار NotPetya و همچنین چند حمله بر ضد شبکه برق اوکراین با استفاده از بدافزارهای BlackEngery و Industroyer شناخته شده است. گفته شده که تیم Kamacite متمرکز بر دسترسی اولیه به شبکه‌ها با استفاده از بدافزار Cyclops Blink است و سپس دسترسی را به Electrum منتقل می‌کند که معمولاً باعث ایجاد پیامدهایی مخرب می‌شود. Kamacite زیرساخت‌های مختلفی را در اروپا، اوکراین و آمریکا هدف گرفته است.

Xenotime یکی دیگر از گروه‌های قدیمی است که همچنان فعالیت خود را حفظ کرده و ظاهراً شرکت‌های آب، برق و گاز را در آمریکا و خاورمیانه هدف می‌گیرد که با دقت انتخاب شده و بین آنها ارتباطاتی وجود دارد. این انتخاب‌ها نشان می‌دهند که این گروه به اطلاعات اختصاصی درباره صنایع نفت و گاز از منابع غیرعمومی دسترسی دارد که امکان شناسایی نقاط فشار را فراهم می‌کنند.

Xenotime گروه طراح فریم‌ورک بدافزار Triton است. این فریم‌ورک توانایی غیرفعال‌سازی سیستم‌های ابزار ایمنی Trisis را دارد که در سال 2017 یک سازمان در عربستان سعودی از آن استفاده می‌کرد. این توانایی گروه Xenotime را تبدیل به یکی از گروه‌های دارای انگیزه و توانایی اثبات شده برای نابودی زیرساخت‌های حیاتی کرده است.

Erythrite جزو گروه‌هایی است که از تکنیک‌های ساده‌تری مثل بهینه‌سازی موتورهای جستجو (سئو) و بدافزارهای اختصاصی استفاده می‌کند. این گروه متمرکز بر سرقت داده‌ها و اعتبارنامه‌ها است اما فعالیت‌های عظیم‌شان بخصوص بر علیه بخش تولید نگران‌کننده است. اهداف این گروه حدود 20 درصد از شرکت‌های فورچون 500 را شامل می‌شوند که عمدتاً مستقر در آمریکا و کانادا هستند. بنا به گفته Dragos: «این گروه برای سازمان‌هایی که بخش‌بندی OT و IT را به خوبی انجام ندادند، تهدیدی جدی محسوب می‌شود».

در نهایت، Wassonite یکی از گروه‌هایی است که معمولاً متمرکز بر انرژی هسته‌ای، برق، نفت و گاز، تولید پیشرفته، صنایع دارویی و هوافضا از جنوب و شرق آسیا است. این گروه از تروجان‌های دسترسی راه دور DTrack و AppleSeed استفاده می‌کند که بیشتر از طریق روش‌های فیشینگ اختصاصی برای صنایع و سازمان‌هایی خاص توزیع می‌شوند.

بنا به گفته Dragos علاوه بر تهدیدات هدفمند این گروه‌ها، میزان حملات باج‌افزاری بر ضد سازمان‌های صنعتی در سال گذشته حدود 85 درصد افزایش یافته‌ و بخش تولید بیش از هر بخشی هدف این حملات قرار گرفته است. حملات معمولاً توسط LockBit اجرا شده و پس از آن گروه باج‌افزاری Conti (که حالا منحل شده)، Black Basta و Hive قرار دارند.

نقاط کور و آسیب‌پذیری‌های ICS

تعداد آسیب‌پذیری‌ها در نرم‌افزارها و سخت‌افزارهای مرتبط با ICS نسبت به سال 2021، 27 درصد افزایش داشته اما این آمار وضعیت موجود را به صورت کامل به تصویر نمی‌کشد چون همه آسیب‌پذیری‌ها با هم برابر نیستند به خصوص در فضای ICS.

بنابراین Dragos یک ارزیابی ریسک عمیق‌تر از این آسیب‌پذیری‌ها انجام داده و متوجه شده که 15 درصدشان مربوط به دستگاه‌های لبه شبکه‌های سازمانی و 85 درصد درون شبکه‌های ICS هستند. بعلاوه، نیمی از آنها منجر به از دست رفتن کنترل یا قابلیت دید نمی‌شوند و نیمی این شرایط را ایجاد می‌کنند. بزرگترین مشکل این است که در بخشی که نصب وصله‌های امنیتی مستلزم از کار افتادن عملیات و مربوط به دستگاه‌های حیاتی است، مالکان دارایی‌ها به شدت وابسته به روش‌های رفع آسیب‌پذیری هستند و از بین 70 درصد توصیه‌نامه‌های ارائه شده توسط فروشندگان، 50 درصد حاوی هیچ توصیه‌ای برای رفع آسیب‌پذیری نبودند. 30 درصد از توصیه‌نامه‌ها هم وصله امنیتی نداشتند و 16 درصد فاقد راهکار عملی جهت مقابله با آسیب‌پذیری بودند.

Dragos در 35 درصد از توصیه‌نامه‌های فروشندگان اطلاعات غلطی مثل شماره نرم‌افزار، مدل سخت‌افزار یا نسخه اشتباه مشاهده کرده است. این شرکت برآورد می‌کند که در 70 درصد موارد، نمره‌ای که شرکت‌ها برای تعیین شدت آسیب‌پذیری انتخاب کرده‌اند باید بیشتر و در 30 درصد باید کمتر باشد.

خوشبختانه، بر اساس ارزیابی ریسک Dragos که آسیب‌پذیری را در چند گروه طبقه‌بندی کرده (نصب وصله امنیتی در اسرع وقت، نصب در چرخه بعد یا وصله‌هایی که نباید نگران آنها بود)، تنها 2 درصد در گروه نصب در اسرع وقت قرار می‌گیرند. 95 درصد از وصله‌ها را می‌توان تا چرخه رسیدگی بعدی به تعویق انداخت و با روش‌هایی مثل بخش‌بندی شبکه، نظارت و احراز هویت چند مرحله‌ای به آنها رسیدگی کرد. 3 درصد از آسیب‌پذیری‌ها در گروه غلط یا بزرگنمایی شده قرار داشتند که جزو دسته آخر محسوب می‌شوند.

بر اساس ارزیابی‌های این شرکت، رایج‌ترین مشکل، فقدان دید بر محیط ICS بوده و 80 درصد از مشتریان دید محدودی بر محیط OT داشته‌اند. اما این رقم نسبت به سال پیش 6 درصد کمتر شده که یک پیشرفت محسوب می‌شود. نیمی از مشتریان این شرکت برای بخش بندی شبکه با مشکل روبرو بودند که این رقم کاهش 27 درصدی را نشان می‌دهد و در شبکه OT 53 درصد از آنها ارتباطاتی پنهان یا کنترل نشده وجود داشته که این رقم نسبت به سال پیش 17 درصد کمتر شده است. گرچه هنوز شرایط در کل صنعت خیلی خوب نیست اما یکی از حوزه‌هایی که ظاهراً شرایط آن بدتر شده، فقدان تفکیک بین IT و OT است که در 54 درصد از سازمان‌ها وجود دارد و این رقم نسبت به سال 2021 10 درصد افزایش داشته است.

بنا به گفته Lee: «این یکی از مسائلی است که در بسیاری از حملات باج‌افزاری شاهد آن بودیم. در این حملات، مهاجمان شبکه IT را هدف گرفته، باج‌افزار را از طریق کنترلر دامنه اکتیو دایرکتوری منتشر کرده و سپس به شبکه‌های عملیاتی منتقل می‌کنند حتی اگر در ابتدا از طریق اعتبارنامه‌های کاربری مشترک شبکه عملیاتی را هدف نگرفته باشند.»

یکی از یافته‌های نگران‌کننده این است که 80 درصد از مشتریان ارزیابی شده همچنان دید کاملی بر سیستم‌های ICS خودشان ندارند و این رقم مربوط به 80 درصد سازمان‌هایی است که عملکرد خوبی داشته و از خدمات سازمان‌هایی مثل Dragos استفاده می‌کنند. پس احتمالاً رقم واقعی بیشتر از این است.

Lee می‌گوید: «اگر با داشته‌های خودتان آشنا نیستید، از تعداد دارایی‌ها، شیوه اتصال‌شان، اینکه چه افرادی به آنها متصل شده و روش‌های شناسایی آنها آگاهی نخواهید داشت و هرگز نمی‌توانید علت اصلی مشکلات را تشخیص دهید یا افراد متخاصم و دشمن را شناسایی کنید. با توجه به اینکه به طور میانگین بیش از 80 درصد سازمان‌ها این کار را به درستی انجام نمی‌دهند با در نظر گرفتن زیرساخت‌های حیاتی و خط لوله‌های کشور، قطعاً شرایط نگران‌کننده است.»

[1] industrial control system

[2] اصطلاحی برای توصیف مراحل نفوذ به شبکه‌های رایانه‌ای توسط هکرها و شامل 7 و گاهاً 8 گام است. مراحل اول و دوم به ترتیب عبارتند از: شناسایی و اسلحه‌سازی

منبع: csoonline

 

خروج از نسخه موبایل