حمله نوع جدیدی از بدافزار به سیستم­های كنترل صنعتی

به گزارش خبرگزاری مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: بررسی ها نشان می دهد كه در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex ، از طریق هك كردن وبسایت­های تولیدكنندگان سیستم­های كنترل صنعتی (ICS) و نیز آلوده كردن نرم ­افزارهای قانونی قابل دانلود در وب سایتها، كردند.

همچنین طی تحقیقات، سه سایت فروشنده این نرم افزارها كه به این طریق آلوده شده اند، كشف شده است. نصب كننده های نرم­ افزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شده­ اند. به نظر می رسد، احتمالا موارد مشابهی دیگری نیز موجود باشد كه تاكنون كشف نشده است.

F-Secure نام این فروشنده ­های آلوده شده را بیان نكرده اما اظهار داشت: دو شركت از آنها توسعه­ دهنده نرم­ افزار مدیریت از راه دور ICS بودند و سومی تهیه­ كننده دوربین­ های صنعتی با دقت بالا و نرم­ افزارهای مرتبط با آن است؛ به گفته این شركت امنیتی، فروشندگان در آلمان، سوئیس و بلژیك هستند.

مهاجمان، برنامه­ های installer قانونی را برای اضافه و اجرا كردن فایلهای اضافی در كامپیوتر تغییر می‌دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex می ­باشد.

این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند و نشان می دهد كسانی كه در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی كه از برنامه های كاربردی ICS و SCADA استفاده می كنند، شده اند.

نتیجه اینكه برنامه مخرب Havex جدید با هدف اسكن شبكه های محلی برای دستگاه­هایی كه به درخواست OPC (Open Platform Communications) پاسخ می­ دهند به وجود آمده ­اند. OPC یك استاندارد ارتباطی است كه اجازه تعامل بین برنامه­ های كاربردی SCADA مبتنی بر ویندوز و فرآیند كنترل سخت ­افزار را می دهد.

به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های كنترل صنعتی نفوذ می‌كند. بدافزار Havex اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می‌كند. در نتیجه به نظر می­ رسد كه بدافزار Havex به عنوان یك ابزار برای جمع آوری اطلاعات استفاده می­ شود. تاكنون نیز هیچ payload یی كه سعی در كنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است.

محققان F-Secure اعلام کردند: "اكثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یك شركت در كالیفرنیا مشاهده شده كه اطلاعات به سرورهای C&C ارسال كرده است". از سازمان­های اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهش­های مربوط به فناوری در فرانسه، دو تولیدكننده برنامه­ های كاربردی یا دستگاههای صنعتی در آلمان، یك تولیدكننده ماشین­ آلات صنعتی فرانسوی و یك شركت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده ­اند.

در گزارشی كه در ماه ژانویه2014(دی ماه 92) منتشر شده بود، شركت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT كه حمله ­های هدفمند بر علیه سازمان­های بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست.

شركت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد كه زمان این بدافزار مخرب به آوت 2012 برمی گردد.

به گزارش مهر، پس از كشف بدافزار خرابكار صنعتی استاكس نت در سال 2010(1389شمسی)، محققان امنیتی در مورد ناامنی سیستم­های كنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند.

با وجود این نگرانی ها تاكنون حملات گسترده بدافزارها علیه ICS ها و سیستم های SCADA به وقوع نپیوسته است ولی وجود بدافزاری مانند Havex اتفاقی است كه ممكن است در آینده نیز مشاهده شود.