سالانه ۳ هزار واحد صنعتی به نرم افزارهای مخرب آلوده می شوند

به گزارش خبرنگار مهر، مرکز ماهر در گزارشی با اشاره به بررسی موسسات امنیت سایبری در دنیا، اعلام کرد: محققان محاسبه کردند که سالانه حدود 3000 واحد صنعتی با انواع بدافزارها و نرم افزارهای غیرهدف دار و روزمره، آلوده می شوند؛ اما بدافزارهای هدف دار مربوط به سامانه های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگار هستند، از جمله یک نمونه از این بدافزارها می توان به بدافزاری که خود را به جای سفت افزار Siemens PLC نشان داده و از سال 2013 فعال است اشاره کرد.

بخشی از این جاسوس افزار که خود را به جای نرم افزار Siemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه های صنعتی (بیشتر در ایالات متحده) بوده است.

این بدافزار پنهان به گونه ای بسته بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه ریزی Siemens نشان دهد و حدود 10 واحد صنعتی با این کمپین حمله هدف دار مواجه شده اند که براساس تحقیقات جدید توسط Dragos، هفت مورد از آنها در ایلات متحده و چندین مورد در اروپا و چین قرار دارد.

«رابرت م. لی » بنیانگذار و مدیر Dragos و همکارش «بن میلر » رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه های صنعتی را شناسایی و تحلیل کردند که شامل تحلیل و مطالعه 1500 نمونه بدافزار از محیط های صنعتی در یک دوره سه ماهه از پایگاه داده های عمومی مانند VirusTotal و همچنین جستجوهای گوگل و داده های سرویس نام دامنه (DNS) می شود.

در این پروژه، محققان توانستند بدافزارهای روز را که محیط های صنعتی (ICS) را هدف می گیرند، شناسایی کنند. براساس نتایج به دست آمده هیچگونه حمله هدف دار بدافزار از نوع استاکس نت دیده نشد. حتی بدافزار مخصوص Siemens در حالی که شبکه های ICS را هدف می گیرد، همچنان از قطعه پنهانی جاسوس افزار استفاده می کند.

در این بررسی محققان یافتند که نمونه هایی از بدافزارهای تقریبا رایج و به سادگی قابل توزیع، به شبکه های صنعتی (ICS )حمله کرده اند به نحوی که بدافزار Sivis با اختلاف بسیار زیاد و با 15863 شناسایی، بیشترین تعداد حمله را در اختیار داشته و پس از آن، بدافزار سینوال با 2 هزار و 909 حمله، بدافزار رامنیت با 3 هزار و 716 حمله و نرم افزار مخرب لامار با 6 هزار و 830 حمله و نیز دیگر خانواده های رایج بدافزارها از جمله Virut (1814) و Sality (1225) در رتبه های بعدی قرار گرفتند.

محققان محاسبه کردند که سالانه حدود 3 هزار واحد صنعتی با این نوع بدافزارهای غیرهدف دار و روزمره آلوده می شوند؛ این رقم، به دلیل اینکه لزوما تمام واحدهای آلوده شده به بدافزار خود را در پایگاه داده های عمومی برای مثال VirusTotal ثبت نمی کنند محافظه کارانه در نظر گرفته شده است.

این درحالی است که اغلب کاربران به جای توجه به وقوع موارد آشکار (آلودگی با بدافزار)، انتظار نسخه دوم ویروسهای مهمی چون استاکس نت را دارند اما فرضیه این است که به نسخه دوم استاکس نت برای نفوذ به تأسیسات نیاز نیست.

بررسی ها حاکی از آن است که حضور هر گونه ای از این بدافزارها روی سامانه های صنعتی، به این معنی نیست که تأسیسات تولیدی از کار افتاده یا بحران هسته ای رخ داده است. بلکه مسئله دلسردکننده، تعداد فایل های معتبر شبکه های صنعتی و شناسایی شده توسط بدافزارها و نرم افزارهای مخرب است که این مسئله باعث شده که آن فایل ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف دار روی واحد صنعتی هستند.

آنها صدها برنامه نرم افزاری معتبر ICS را شناسایی کردند، از جمله نصب کننده های رابط ماشین انسان و تاریخ نگارهای داده ها و تولیدکننده های شماره سریال برای نرم افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند. از آنجایی که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد، این آگاهی، مهارتی به حساب می آید که فراتر از بدافزار و هک کردن است.

مرکز ماهر با تاکید براینکه به هرحال بدافزار در سامانه های ICS وجود دارد، هشدار داد: اپراتورهای واحد صنعتی باید روی انعطاف پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند. تضمین اینکه سامانه های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد بروزرسانی های ایمن نرم افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.