اداره تحقیقات فدرال آمریکا (FBI) هشدار امنیتی جدیدی را درباره یک کمپین هکری صادر کرده که حمله به شرکتهای حوزه کنترل صنعتی را در دستور کار خود قرار داده اند.
تعریف مسأله
بر اساس گزارش وب سایت ZDnet، مقامات FBI اعلام کرده اند که عوامل این حمله در حال تلاش برای آلوده کردن شرکتهای مختلف و به خصوص شرکتهای حوزه انرژی، به بدافزار Kwampirs هستند.
این بدافزار که یک تروجان دسترسی از راه دور (RAT) است، نخستین بار در ماه آوریل سال 2018 میلادی توسط شرکت سیمانتک شناسایی و گزارش داده شد. در آن زمان، سیمانتک اعلام کرد گروهی تحت عنوان “Orangeworm” از یک بدافزار جدید برای هدف گرفتن شرکتهای فعال در حوزه زنجیره تأمین که نرمافزارهای لازم برای حوزه مراقبتهای بهداشتی را تولید میکنند، استفاده میکند.
لازم به ذکر است، گروه هکری Orangeworm از سال 2015 در حال فعالیت بوده و تمرکز اصلی آن نیز بیشتر صنعت مراقبتهای بهداشت و درمان است.
ویژگی جدید این حملات در حال اجرا چیست؟
در هشدار صادر شده توسط FBI اعلام شده که این حملات در حال اجرا، شبیه حملاتی هستند که در سال 2018 اجرا شدند اما حالا به صورتی تکامل یافته اند که میتوانند شرکتهای حوزه ICS را نیز هدف حملات قرار دهند.
همچنین FBI ادعا کرده که شواهد جدید به دست آمده از طریق تحلیل کد این بدافزار نشان میدهد که Kwampirs، شباهتهای متعددی با بدافزار Shamoon دارد که توسط گروه ایرانی APT33 تولید شده اند.
به گفته FBI: «هر چند شواهدی از وجود ابزار پاک سازی داده در بدافزار Kwampirs مشاهده نشده اما تحلیلهای مقایسهای نشان می دهد که این بدافزار، شباهتهای مختلفی با بدافزار تخریب داده Disttrack دارد (که به نام Shamoon هم شناخته میشود)».
نتیجه گیری
در این هشدار، در رابطه با هیچ شرکت یا فردی که قربانی حمله به شرکتهای حوزه کنترل صنعتی شده باشد، صحبت نشده است. FBI برای تشخیص آلودگی به Kwampirs قواعدی موسوم به YARA و همچنین نشانههای آلوده شدن به این بدافزار را تشریح کرده است. علاوه بر این، FBI از شرکتها خواسته هر چه سریعتر شبکههای خود را اسکن کنند تا نشانههای احتمالی Kwampirs را شناسایی کرده و در برابر حملات نیز خود را ایمن سازی کنند.
منبع: zdnet