حمله نوع جدیدی از بدافزار به سیستمهای کنترل صنعتی
بدافزاری که پیش از این در حمله به شرکتهای بخش انرژی بکار رفته بود سازمان هایی را که برنامه های کاربردی صنعتی و ماشین آلات را استفاده می کند و یا توسعه می دهند هدف قرار داد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: بررسی ها نشان می دهد که در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex ، از طریق هک کردن وبسایتهای تولیدکنندگان سیستمهای کنترل صنعتی (ICS) و نیز آلوده کردن نرم افزارهای قانونی قابل دانلود در وب سایتها، کردند.
همچنین طی تحقیقات، سه سایت فروشنده این نرم افزارها که به این طریق آلوده شده اند، کشف شده است. نصب کننده های نرم افزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شده اند. به نظر می رسد، احتمالا موارد مشابهی دیگری نیز موجود باشد که تاکنون کشف نشده است.
F-Secure نام این فروشنده های آلوده شده را بیان نکرده اما اظهار داشت: دو شرکت از آنها توسعه دهنده نرم افزار مدیریت از راه دور ICS بودند و سومی تهیه کننده دوربین های صنعتی با دقت بالا و نرم افزارهای مرتبط با آن است؛ به گفته این شرکت امنیتی، فروشندگان در آلمان، سوئیس و بلژیک هستند.
مهاجمان، برنامه های installer قانونی را برای اضافه و اجرا کردن فایلهای اضافی در کامپیوتر تغییر میدهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex می باشد.
این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند و نشان می دهد کسانی که در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی که از برنامه های کاربردی ICS و SCADA استفاده می کنند، شده اند.
نتیجه اینکه برنامه مخرب Havex جدید با هدف اسکن شبکه های محلی برای دستگاههایی که به درخواست OPC (Open Platform Communications) پاسخ می دهند به وجود آمده اند. OPC یک استاندارد ارتباطی است که اجازه تعامل بین برنامه های کاربردی SCADA مبتنی بر ویندوز و فرآیند کنترل سخت افزار را می دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های کنترل صنعتی نفوذ میکند. بدافزار Havex اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال میکند. در نتیجه به نظر می رسد که بدافزار Havex به عنوان یک ابزار برای جمع آوری اطلاعات استفاده می شود. تاکنون نیز هیچ payload یی که سعی در کنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است.
محققان F-Secure اعلام کردند: "اکثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یک شرکت در کالیفرنیا مشاهده شده که اطلاعات به سرورهای C&C ارسال کرده است". از سازمانهای اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهشهای مربوط به فناوری در فرانسه، دو تولیدکننده برنامه های کاربردی یا دستگاههای صنعتی در آلمان، یک تولیدکننده ماشین آلات صنعتی فرانسوی و یک شرکت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده اند.
در گزارشی که در ماه ژانویه2014(دی ماه 92) منتشر شده بود، شرکت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT که حمله های هدفمند بر علیه سازمانهای بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر کرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست.
شرکت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد که زمان این بدافزار مخرب به آوت 2012 برمی گردد.
به گزارش مهر، پس از کشف بدافزار خرابکار صنعتی استاکس نت در سال 2010(1389شمسی)، محققان امنیتی در مورد ناامنی سیستمهای کنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند.
با وجود این نگرانی ها تاکنون حملات گسترده بدافزارها علیه ICS ها و سیستم های SCADA به وقوع نپیوسته است ولی وجود بدافزاری مانند Havex اتفاقی است که ممکن است در آینده نیز مشاهده شود.