حمله نوع جدیدی از بدافزار به سیستم­های کنترل صنعتی

به گزارش پایگاه خبری بانکداری الکترونیک،از مهر مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: بررسی ها نشان می دهد که در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex ، از طریق هک کردن وبسایت­های تولیدکنندگان سیستم­های کنترل صنعتی (ICS) و نیز آلوده کردن نرم ­افزارهای قانونی قابل دانلود در وب سایتها، کردند.

همچنین طی تحقیقات، سه سایت فروشنده این نرم افزارها که به این طریق آلوده شده اند، کشف شده است. نصب کننده های نرم­ افزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شده­ اند. به نظر می رسد، احتمالا موارد مشابهی دیگری نیز موجود باشد که تاکنون کشف نشده است.

F-Secure نام این فروشنده ­های آلوده شده را بیان نکرده اما اظهار داشت: دو شرکت از آنها توسعه­ دهنده نرم­ افزار مدیریت از راه دور ICS بودند و سومی تهیه­ کننده دوربین­ های صنعتی با دقت بالا و نرم­ افزارهای مرتبط با آن است؛ به گفته این شرکت امنیتی، فروشندگان در آلمان، سوئیس و بلژیک هستند.

مهاجمان، برنامه­ های installer قانونی را برای اضافه و اجرا کردن فایلهای اضافی در کامپیوتر تغییر می‌دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex می ­باشد.

این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند و نشان می دهد کسانی که در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی که از برنامه های کاربردی ICS و SCADA استفاده می کنند، شده اند.

نتیجه اینکه برنامه مخرب Havex جدید با هدف اسکن شبکه های محلی برای دستگاه­هایی که به درخواست OPC (Open Platform Communications) پاسخ می­ دهند به وجود آمده ­اند. OPC یک استاندارد ارتباطی است که اجازه تعامل بین برنامه­ های کاربردی SCADA مبتنی بر ویندوز و فرآیند کنترل سخت ­افزار را می دهد.

به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های کنترل صنعتی نفوذ می‌کند. بدافزار Havex اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می‌کند. در نتیجه به نظر می­ رسد که بدافزار Havex به عنوان یک ابزار برای جمع آوری اطلاعات استفاده می­ شود. تاکنون نیز هیچ payload یی که سعی در کنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است.

محققان F-Secure اعلام کردند: "اکثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یک شرکت در کالیفرنیا مشاهده شده که اطلاعات به سرورهای C&C ارسال کرده است". از سازمان­های اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهش­های مربوط به فناوری در فرانسه، دو تولیدکننده برنامه­ های کاربردی یا دستگاههای صنعتی در آلمان، یک تولیدکننده ماشین­ آلات صنعتی فرانسوی و یک شرکت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده ­اند.

در گزارشی که در ماه ژانویه2014(دی ماه 92) منتشر شده بود، شرکت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT که حمله ­های هدفمند بر علیه سازمان­های بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر کرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست.

شرکت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد که زمان این بدافزار مخرب به آوت 2012 برمی گردد.

به گزارش مهر، پس از کشف بدافزار خرابکار صنعتی استاکس نت در سال 2010(1389شمسی)، محققان امنیتی در مورد ناامنی سیستم­های کنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند.

با وجود این نگرانی ها تاکنون حملات گسترده بدافزارها علیه ICS ها و سیستم های SCADA به وقوع نپیوسته است ولی وجود بدافزاری مانند Havex اتفاقی است که ممکن است در آینده نیز مشاهده شود.