امنیت

فناوری اطلاعات

July 27, 2024

20:24 شنبه، 6ام مردادماه 1403

کد خبر: 170676

کشف بدافزاری خطرناک با هدف قرار دادن سیستم‌های کنترل صنعتی

منبع: ایسنا

به تازگی پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستم‌های کنترل صنعتی (ICS) متمرکز است، خبر دادند که به طور عمده سیستم‌های ویندوزی را هدف قرار می‌دهد.

بدافزار به نرم‌افزارهایی نفوذی گفته می‌شود که هکرها آن‌ها را برای سرقت داده‌ها و آسیب‌رساندن یا تخریب کامپیوترها و سیستم‌های کامپیوتری ایجاد می‌کنند. درواقع، بدافزار یا نرم‌افزار مخرب به برنامه‌ها یا فایل‌هایی می‌گویند که برای سیستم یا شبکه یا سرور مضر باشند.

ازجمله بدافزارهای رایج می‌توان به ویروس‌های کامپیوتری، کرم‌ها، ویروس‌های تروجان، جاسوس‌افزارها، ابزارهای تبلیغاتی مزاحم و باج‌افزارها اشاره کرد. این برنامه‌های مخرب داده‌های حساس را سرقت و رمزگذاری و حذف می‌کنند همچنین توابع محاسباتی اصلی را تغییر می‌دهند یا می‌ربایند و بر فعالیت کامپیوتر کاربران نهایی نظارت می‌کنند. در چند سال اخیر، حملات بدافزارها اطلاعات زیادی را استخراج کرده‌اند.

در این راستا اخیرا پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستم‌های کنترل صنعتی (ICS) متمرکز است، خبر دادند.

این بدافزار که به نام “FrostyGoop” شناخته می‌شود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکه‌های تکنولوژی عملیاتی (OT) استفاده می‌کند و به طور خاص برای هدف قرار دادن سیستم‌های کنترل ENCO که از پروتکل Modbus TCP استفاده می‌کنند طراحی شده ‌است.

Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاه‌های الکترونیکی استفاده می‌شود. این پروتکل در اصل برای استفاده در سیستم‌های کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاه‌هایی مانند کنترلرهای منطقی قابل برنامه‌ریزی (PLC) و حسگرها یا محرک‌ها استفاده می‌شود. Modbus از ساختار کلاینت-سرور استفاده می‌کند. این پروتکل معمولاً از طریق پورت ۵۰۲ TCP/IP پیاده‌سازی می‌شود.

FrostyGoop، که با زبان برنامه‌نویسی Golang نوشته شده، قادر است مستقیماً با دستگاه‌های ICS از طریق پروتکل Modbus TCP بر روی پورت ۵۰۲ ارتباط برقرار کند. این بدافزار به طور عمده سیستم‌های ویندوزی را هدف قرار می‌دهد و برای آسیب رساندن به دستگاه‌های کنترل ENCO که پورت TCP ۵۰۲ آن‌ها به اینترنت متصل است، استفاده می‌شود.

سیستم‌های کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده می‌شوند. این سیستم‌ها معمولاً در تأسیسات انرژی مانند نیروگاه‌ها، شبکه‌های توزیع برق و تأسیسات گرمایشی به کار می‌روند. سیستم‌های ENCO می‌توانند شامل سخت‌افزار و نرم‌افزارهایی باشند که برای جمع‌آوری داده‌ها، مانیتورینگ و کنترل تجهیزات انرژی استفاده می‌شوند.

این سیستم‌ها اغلب از پروتکل‌های ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاه‌های مختلف استفاده می‌کنند. این بدافزار قابلیت خواندن و نوشتن داده‌ها به دستگاه‌های ICS را دارد و همچنین می‌تواند دستورات از طریق فایل‌های پیکربندی JSON دریافت کند و خروجی‌ها را به کنسول و یا فایل JSON گزارش دهد.

حمله‌ای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده‌ بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از ۶۰۰ ساختمان مسکونی به مدت نزدیک به ۴۸ ساعت شد. محققان معتقدند که دسترسی اولیه به شبکه‌های آسیب‌دیده از طریق آسیب‌پذیری‌هایی در روترهای Mikrotik به دست آمده است.

FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy۲، Industroyer۲ و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاه‌های ICS استفاده می‌کند و تهدیدی جدی برای زیرساخت‌های حیاتی در بخش‌های مختلف به شمار می‌آید.

با توجه به این که بیش از ۴۶,۰۰۰ دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی می‌تواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه می‌کنند که سازمان‌ها امنیت زیرساخت‌های خود را با پیاده‌سازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.

براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) برای پیشگیری و کاهش خطر بدافزار مذکور می توان اقداماتی مانند به‌روزرسانی سیستم‌ها و تجهیزات، مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک، پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورت‌های ناامن مانند پورت ۵۰۲ برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند، آموزش پرسنل، استفاده از فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه، پشتیبان‌گیری منظم از داده‌ها و سیستم‌ها و اجرای سیاست‌های دسترسی محدود به سیستم‌های حیاتی انجام داد.

گفتنی است خرداد ماه این مرکز از انتشار بدافزاری با استفاده از به‌روزرسانی جعلی مرورگرها هشدار داده بود. در واقع مهاجمان سایبری با استفاده از به‌روزرسانی‌های جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع می‌کردند. گفته شده این حملات با هدایت کاربران به وب‌سایت‌های آلوده و دانلود فایل‌های مخرب توسط آن‌ها آغاز می‌شوند.

در این زمینه از آرشیو ایستنا:

مشترک شوید!

برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.