امنیت

فناوری اطلاعات

September 23, 2635
4:36 سه‌شنبه، 1st جولایماه 2014
کد خبر: 63065

حمله نوع جدیدی از بدافزار به سیستم­های كنترل صنعتی

بدافزاری كه پیش از این در حمله به شركت­های بخش انرژی بكار رفته بود سازمان هایی را كه برنامه­ های كاربردی صنعتی و ماشین آلات را استفاده می كند و یا توسعه می­ دهند هدف قرار داد.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: بررسی ها نشان می دهد كه در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex ، از طریق هك كردن وبسایت­های تولیدكنندگان سیستم­های كنترل صنعتی (ICS) و نیز آلوده كردن نرم ­افزارهای قانونی قابل دانلود در وب سایتها، كردند.
 
همچنین طی تحقیقات، سه سایت فروشنده این نرم افزارها كه به این طریق آلوده شده اند، كشف شده است. نصب كننده های نرم­ افزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شده­ اند. به نظر می رسد، احتمالا موارد مشابهی دیگری نیز موجود باشد كه تاكنون كشف نشده است.
 
F-Secure نام این فروشنده ­های آلوده شده را بیان نكرده اما اظهار داشت: دو شركت از آنها توسعه­ دهنده نرم­ افزار مدیریت از راه دور ICS بودند و سومی تهیه­ كننده دوربین­ های صنعتی با دقت بالا و نرم­ افزارهای مرتبط با آن است؛ به گفته این شركت امنیتی، فروشندگان در آلمان، سوئیس و بلژیك هستند.
 
مهاجمان، برنامه­ های installer قانونی را برای اضافه و اجرا كردن فایلهای اضافی در كامپیوتر تغییر می‌دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex می ­باشد.
 
این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند و نشان می دهد كسانی كه در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی كه از برنامه های كاربردی ICS و SCADA استفاده می كنند، شده اند.
 
نتیجه اینكه برنامه مخرب Havex جدید با هدف اسكن شبكه های محلی برای دستگاه­هایی كه به درخواست OPC (Open Platform Communications) پاسخ می­ دهند به وجود آمده ­اند. OPC یك استاندارد ارتباطی است كه اجازه تعامل بین برنامه­ های كاربردی SCADA مبتنی بر ویندوز و فرآیند كنترل سخت ­افزار را می دهد.
 
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های كنترل صنعتی نفوذ می‌كند. بدافزار Havex اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می‌كند. در نتیجه به نظر می­ رسد كه بدافزار Havex به عنوان یك ابزار برای جمع آوری اطلاعات استفاده می­ شود. تاكنون نیز هیچ payload یی كه سعی در كنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است.
 
محققان F-Secure اعلام کردند: "اكثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یك شركت در كالیفرنیا مشاهده شده كه اطلاعات به سرورهای C&C ارسال كرده است". از سازمان­های اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهش­های مربوط به فناوری در فرانسه، دو تولیدكننده برنامه­ های كاربردی یا دستگاههای صنعتی در آلمان، یك تولیدكننده ماشین­ آلات صنعتی فرانسوی و یك شركت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده ­اند.
 
در گزارشی كه در ماه ژانویه2014(دی ماه 92) منتشر شده بود، شركت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT كه حمله ­های هدفمند بر علیه سازمان­های بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست.
 
شركت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد كه زمان این بدافزار مخرب به آوت 2012 برمی گردد.
 
به گزارش مهر، پس از كشف بدافزار خرابكار صنعتی استاكس نت در سال 2010(1389شمسی)، محققان امنیتی در مورد ناامنی سیستم­های كنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند.
 
با وجود این نگرانی ها تاكنون حملات گسترده بدافزارها علیه ICS ها و سیستم های SCADA به وقوع نپیوسته است ولی وجود بدافزاری مانند Havex اتفاقی است كه ممكن است در آینده نیز مشاهده شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.