بدافزارهای هدفدار مربوط به سامانههای کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگارند، از جمله یک نمونه از این بدافزارها میتوان به بدافزاری که خود را به جای سفتافزار (Firmware) Siemens PLC نشان داده و از سال ۲۰۱۳ فعال است اشاره کرد.
بخشی از این جاسوسافزار که خود را به جای نرمافزارSiemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکههای صنعتی (بیشتر در آمریکا) بوده است.
این بدافزار پنهان به گونهای بستهبندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامهریزی Siemens نشان دهد و حدود ۱۰ واحد صنعتی با این کمپین حمله هدفدار مواجه شدهاند که بر اساس تحقیقات جدید توسط شرکت دراگوس (Dragos)، هفت مورد از آنها در آمریکا و چندین مورد در اروپا و چین قرار دارد.
رابرت م. لی بنیانگذار و مدیرDragos دراگوس میگوید این بدافزار تلاش میکند اپراتورها را به نصب فایلهایی که انتظار دارند مرتبط به PLCهایشان است، فریب دهد، ولی در واقع یک در پشتی است.
با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) رابرت لی و همکارش بن میلر، رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکههای ICS را شناسایی و تحلیل کردند. (۱۵۰۰ نمونه بدافزار از محیطهای ICS را در یک دوره سه ماهه مطالعه کردند)
محققان، بدافزارهای جمعآوریشده از پایگاه دادههای عمومی مانند VirusTotal و همچنین جستوجوهای گوگل و دادههای سرویس نام دامنه (DNS) را مطالعه کردند.
آلودگی واحدهای صنعتی با بدافزار
محققان محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با بدافزارهای غیرهدفدار و روزمره آلوده میشوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلودهشده به بدافزار خود را در پایگاه دادههای عمومی برای مثالVirusTotal ثبت نمیکنند محافظهکارانه در نظر گرفته شده است.
حملات هدفداری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیرهدفدار، گسترده نبودند. لی عنوان کرده که حدود ۱۰ مورد دیگر از بدافزارهای مخصوص ICS وجود داشت. یکی از حملات که در سال ۲۰۱۱ رخ داد، ایمیل فیشینگ بود که چندین سایت هستهای در غرب ولی عمدتاً در آمریکا را هدف گرفتند. البته لی میگوید حضور هر گونهای از این بدافزار روی سامانههای ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هستهای رخ داده است.
با وجود این، مسئله دلسردکننده، تعداد فایلهای معتبر ICS و شناساییشده توسط MIMICS یا ICSهای مدرن بود که به اشتباه به عنوان بدافزار درVirusTotal و دیگر سایتهای عمومی علامتگذاری شده بودند و این مسئله باعث شد که آن فایلها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدفدار روی واحد صنعتی هستند.
آنها صدها برنامه نرمافزاری معتبر ICS را شناسایی کردند از جمله نصبکنندههای رابط ماشین انسان و تاریخنگارهای دادهها و تولیدکنندههای شماره سریال برای نرمافزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.
لی و میلر حدود ۱۲۰ فایل پروژه یافتند که به عنوان مخرب علامتگذاری شده و در آن پایگاه دادههای عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هستهای، خصوصیات طرح و گزارشهای پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.
مهارتی فراتر از هک کردن
انجام حمله هدفدار و مخرب روی سامانه ICS در یک واحد صنعتی آسان نیست و به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند رالف لانگنر از Langner Communications عنوان کردهاند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبههای فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. این آگاهی، مهارتی به حساب میآید که فراتر از بدافزار و هک کردن است.
ولی فایلهای معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. لی میگوید آنها میتوانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرمافزار موجود در واحد به دست آورند و اطلاعات زیادی کسب کنند. لزوماً این فایلها به آنها مهندسی فیزیکی را ارائه نمیکند ولی اطلاعات قابل توجهی را ارائه خواهد کرد.
یک مهاجم برای هک کردن یک واحد باید تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایلهای معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد. متخصص امنیت ICS ، جوزف وایس در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانههای ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطافپذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند.
تضمین اینکه سامانههای سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد بهروزرسانیهای ایمن نرمافزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.