info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

یک حمله‌ی سایبری دیگر بر روی زیرساخت‌های حیاتی در خاورمیانه

خلاصه:‌ انتشار دو گزارش متوالی در رابطه با بدافزارهای کنترل صنعتی که تمرکز غالب آن‌ها بر خاورمیانه است می‌تواند نشانه‌ی مهمی بر اهمیت سیستم‌های کنترل صنعتی و ضرورت امنیت آن‌ها در آینده باشد. علاوه بر این قابلیت‌های بدافزار‌های اخیر که هدف اصلی آن‌ها جمع‌آوری اطلاعات از زیرساخت‌های اساسی است نشان می‌دهد امنیت زیرساخت‌ها و صنایع می‌تواند مهم‌ترین مساله امنیتی سال‌های آینده تبدیل شود و تاثیرات اقتصادی و سیاسی مهمی در پی خواهد داشت.

چند روز پیش خبری راجع به یک بدافزار سیستم‌های کنترل صنعتی منتشر شد خبر منتشر شده حاکی از این بود که به تازگی  بدافزاری به نام Triton کشف شده است که ابزارهای کنترل صنعتی را هدف قرار می‌دهد.

 بدافزار Triton که سیستم‌های کنترلی Triconex را هدف قرار می‌دهد قادر به آنجام فعالیت‌های بسیاری در جهت بروز حوادث در کارخانه‌ها و صنایع است. گزارش FireEye از این بدافزار نشان می‌دهد که غالب فعالیت‌های Triton به خاورمیانه متمرکز شده و این بدافزار با توجه به نوع حمله و قدرتش از حمایت دولتی برخوردار است.

اما تنها چند روز پس از انتشار گزارش FireEye در مورد Triton،  شرکت خدمات امنیت Nyotron نیز هشدارهایی را منتشر کرد که طبق این هشدارها این شرکت عوامل تهدیدی جدیدی را کشف کرده است که احتمالا با عربستان سعودی، ایران یا الجزایر در ارتباط بوده و از ابزارهایی برای هدف قرار دادن سازمان‌های زیرساختی حیاتی در خاورمیانه استفاده می‌کند.

بدافزار کشف شده که Copperfield  نام گرفته یک اکسپلویت مبتنی بر اسکریپت است که از تکنیک‌های پنهان‌سازی برای دور زدن کاربران و ضدبدافزارها استفاده می‌کند.

Copperfield که طبق گزارش این شرکت، اساساً یک تروجان دسترسی از راه دور است، تقریباً قابلیت کنترل کامل ماشین را داشته و از جمله قابلیت‌های اصلی این تروجان به موارد زیرمی‌توان اشاره کرد:

  • ارسال اطلاعات دستگاه به مهاجم
  • به‌روزرسانی خود
  • بارگذاری هر فایلی از ماشین به سرور مهاجم
  • اجرای هر دستوری بر روی ماشین
  • مهم‌تر از همه، دانلود و اجرای هر فایل اجرایی (شامل بدافزارهای دیگر، کی‌لاگر‌ها، ضبط‌کننده‌های صدا)

این تروجان با استفاده از درایو‌های USB توزیع می‌شود و در هنگام استقرار بر روی ماشین، وجود درایو‌های USB را چک کرده و در صورت وجود آن‌ها را آلوده می‌کند.

براساس قابلیت‌های این بدافزار می‌توان نتیجه گرفت که یکی از اهداف اساسی Copperfield سرقت اطلاعات برای شناسایی زیرساخت‌های حیاتی می‌باشد.

طبق گزارش منتشر شده، سرور کنترل و فرمان این تروجان به یک آدرس IP در عربستان سعودی اشاره دارد.

Nyotron با استفاده از محصول PARANOID خود مدل‌ امنیتی برای مسدود کردن این بدافزار اعمال کرده است و با موفقیت توانسته تمام آسیب‌های حاصل از فعالیت Copperfield را مسدود کند. به‌طور خاص یکی از اقدامات انجام شده در این جهت، بلاک کردن هر تلاش برای ارتباط با سرور‌های کنترل و فرمان باآدرس‌های IP عربستان بوده است.

این اقدام از دسترستی هکرها به جزئیات و مشخصات دستگاه‌ها  و استخراج داده‌های حساس ماشین جلوگیری می‌کند. همچنین با این کار هر تلاشی برای آلوده کردن درایو‌های USB متصل به دستگاه‌های آلوده و در نتیجه حرکت جانبی بدافزار برای توزیع گسترده جلوگیری می‌کند.

همچنین گزارشی از ترندمیکرو در ماه‌های اخیر نشان‌دهنده‌ی یک بازار زیرزمینی پر طرفدار بدافزار در شمال آفریقا و خاورمیانه است که در آن بسیاری از ابزارهای پیچیده به‌صورت رایگان توزیع می‌شوند. 

اما با توجه به این دو گزارش متوالی در مورد بدافزارهای صنعتی که غالباً خاورمیانه را هدف قرار می‌دهند، و همچنین با توجه به قابلیت‌های Copperfield که بیشتر در جهت جمع‌آوری اطلاعات در رابطه با زیرساخت‌های بحرانی است،  می‌توان نتیجه گرفت که مشکلات مربوط به سیستم‌های کنترل صنعتی در سال آینده می‌تواند مهم‌ترین مساله امنیتی برای سازمان‌ها و شرکت‌ها به‌خصوص در خاورمیانه باشد و تاثیرات اقتصادی و حتی سیاسی مهمی در منطقه بگذارد.

 

مطالب مرتبط