کشف بدافزاری خطرناک با هدف قرار دادن سیستمهای کنترل صنعتی
به تازگی پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستمهای کنترل صنعتی (ICS) متمرکز است، خبر دادند که به طور عمده سیستمهای ویندوزی را هدف قرار میدهد.
بدافزار به نرمافزارهایی نفوذی گفته میشود که هکرها آنها را برای سرقت دادهها و آسیبرساندن یا تخریب کامپیوترها و سیستمهای کامپیوتری ایجاد میکنند. درواقع، بدافزار یا نرمافزار مخرب به برنامهها یا فایلهایی میگویند که برای سیستم یا شبکه یا سرور مضر باشند.
ازجمله بدافزارهای رایج میتوان به ویروسهای کامپیوتری، کرمها، ویروسهای تروجان، جاسوسافزارها، ابزارهای تبلیغاتی مزاحم و باجافزارها اشاره کرد. این برنامههای مخرب دادههای حساس را سرقت و رمزگذاری و حذف میکنند همچنین توابع محاسباتی اصلی را تغییر میدهند یا میربایند و بر فعالیت کامپیوتر کاربران نهایی نظارت میکنند. در چند سال اخیر، حملات بدافزارها اطلاعات زیادی را استخراج کردهاند.
در این راستا اخیرا پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستمهای کنترل صنعتی (ICS) متمرکز است، خبر دادند.
این بدافزار که به نام “FrostyGoop” شناخته میشود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکههای تکنولوژی عملیاتی (OT) استفاده میکند و به طور خاص برای هدف قرار دادن سیستمهای کنترل ENCO که از پروتکل Modbus TCP استفاده میکنند طراحی شده است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاههای الکترونیکی استفاده میشود. این پروتکل در اصل برای استفاده در سیستمهای کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاههایی مانند کنترلرهای منطقی قابل برنامهریزی (PLC) و حسگرها یا محرکها استفاده میشود. Modbus از ساختار کلاینت-سرور استفاده میکند. این پروتکل معمولاً از طریق پورت ۵۰۲ TCP/IP پیادهسازی میشود.
FrostyGoop، که با زبان برنامهنویسی Golang نوشته شده، قادر است مستقیماً با دستگاههای ICS از طریق پروتکل Modbus TCP بر روی پورت ۵۰۲ ارتباط برقرار کند. این بدافزار به طور عمده سیستمهای ویندوزی را هدف قرار میدهد و برای آسیب رساندن به دستگاههای کنترل ENCO که پورت TCP ۵۰۲ آنها به اینترنت متصل است، استفاده میشود.
سیستمهای کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده میشوند. این سیستمها معمولاً در تأسیسات انرژی مانند نیروگاهها، شبکههای توزیع برق و تأسیسات گرمایشی به کار میروند. سیستمهای ENCO میتوانند شامل سختافزار و نرمافزارهایی باشند که برای جمعآوری دادهها، مانیتورینگ و کنترل تجهیزات انرژی استفاده میشوند.
این سیستمها اغلب از پروتکلهای ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاههای مختلف استفاده میکنند. این بدافزار قابلیت خواندن و نوشتن دادهها به دستگاههای ICS را دارد و همچنین میتواند دستورات از طریق فایلهای پیکربندی JSON دریافت کند و خروجیها را به کنسول و یا فایل JSON گزارش دهد.
حملهای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از ۶۰۰ ساختمان مسکونی به مدت نزدیک به ۴۸ ساعت شد. محققان معتقدند که دسترسی اولیه به شبکههای آسیبدیده از طریق آسیبپذیریهایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy۲، Industroyer۲ و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاههای ICS استفاده میکند و تهدیدی جدی برای زیرساختهای حیاتی در بخشهای مختلف به شمار میآید.
با توجه به این که بیش از ۴۶,۰۰۰ دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی میتواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه میکنند که سازمانها امنیت زیرساختهای خود را با پیادهسازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.
براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) برای پیشگیری و کاهش خطر بدافزار مذکور می توان اقداماتی مانند بهروزرسانی سیستمها و تجهیزات، مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک، پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورتهای ناامن مانند پورت ۵۰۲ برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند، آموزش پرسنل، استفاده از فایروالها و سیستمهای تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه، پشتیبانگیری منظم از دادهها و سیستمها و اجرای سیاستهای دسترسی محدود به سیستمهای حیاتی انجام داد.
گفتنی است خرداد ماه این مرکز از انتشار بدافزاری با استفاده از بهروزرسانی جعلی مرورگرها هشدار داده بود. در واقع مهاجمان سایبری با استفاده از بهروزرسانیهای جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع میکردند. گفته شده این حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها آغاز میشوند.