رفتن به محتوای اصلی
پنجشنبه ۲۵ مرداد ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

گزارش کسپرسکی از تهدیدات و حملات به سامانه‌های اتوماسیون صنعتی

گزارش کسپرسکی از تهدیدات و حملات به سامانه‌های اتوماسیون صنعتی

گزارش پیش‌رو، تحلیل آزمایشگاه بررسی حوادث رایانه‌ای شرکت امنیت سایبری کسپرسکی است که مشتمل بر سه بخش است. بخش اول، شناخته‌شده‌ترین و بزرگ‌ترین نمونه‌های حملات سایبری به سامانه‌های کنترل صنعتی و تجهیزات IoT را نام می‌برد؛ بخش دوم به بررسی آماری حملات سایبری به مراکز صنعتی پرداخته و در بخش نهایی گزارش، توصیه‌های کارشناسان امنیت سایبری صنعتی کسپرسکی برای تأمین امنیت زیرساخت‌های حیاتی آمده است.

 

 

رخدادهای اصلی شش‌ماهه نخست ۲۰۱۷

 

CrashOverride یا Industroyer، بدافزار صنعتی جدیدی است که برای تخریب عملیات سامانه‌های کنترل صنعتی تولید شده بود. این بدافزار از طریق چهار پروتکل صنعتی به نام‌های IEC 101، IEC 104، IEC 61850 وOLE ‪(for OPC DA)‬ برای حمله به زیرساخت‌های صنعتی حیاتی و تمامی زیرساخت‌های صنعتی استفاده می‌شد. Industroyer به‌احتمال فراوان از آسیب‌پذیری سری محصولات SIPROTEC زیمنس استفاده کرده بود و برق منطقه شمال کیف، پایتخت اوکراین را با استفاده از این روش، هدف قرار داد.

 

حمله هکرها به سامانه‌های امنیتی در آمریکا

 

هشت روز قبل از مراسم تحلیف دونالد ترامپ، رئیس‌جمهور جدید آمریکا، دوربین‌های مداربسته Washington DC توسط پلیس این شهر کاملاً خاموش شد و دلیل آن نیز حمله سایبری به مرکز ذخیره داده‌های این ویدئوها بود. به موجب این حمله و برای بازیابی خسارت، پلیس Washingtoin سامانه نرم‌افزاری تمام دوربین‌های مداربسته را مجدداً نصب و راه‌اندازی کرد. مسئول این حمله یک مرد بریتانیایی و یک زن سوئدی اعلام شدند.

هک شدن سامانه هشدار شهر Dallas در ایالت تگزاس و روشن شدن ۱۵۶ آژیر خطر این سامانه به مدت ۹۰ دقیقه، مهندسان این مرکز امنیتی را وادار کرد تا سامانه را به‌صورت دستی از مرکز خاموش کنند. این سامانه امنیتی برای آگاه کردن مردم از طوفان‌های سهمگین در این منطقه استفاده می‌شود. مسئولان دولتی اعلام کردند، این حمله از طریق سیگنال‌های رادیویی صورت گفته است.

 

بات‌نت IoT به نام Persirai

 

آوریل ۲۰۱۷ یک محقق امنیتی در گزارشی اعلام کرد ۱۸۵ هزار دوربین مجهز به IoT، تولیدشده توسط ۳۵۴ شرکت مختلف، آسیب‌پذیری دارند و در موتور جستجوی Shodan قابل‌رؤیت هستند. هکرها به این گزارش مکتوب دسترسی پیدا کرده و از این دوربین‌ها برای راه‌اندازی حملات DDoS از طریق بات‌نت Persirai استفاده کردند.

 

آلوده کردن سامانه‌های رایانه‌ای شرکت‌های صنعتی از طریق ایمیل

 

نیمه اول ۲۰۱۷، آزمایشگاه کسپرسکی اعلام کرد ۵۰۰ شرکت صنعتی، لجستیکی و حمل‌ونقل از ۵۰ کشور مختلف در سراسر دنیا هدف حمله سایبری هکرهای نیجریه‌ای قرار گرفته‌اند. هکرها سامانه‌های این ۵۰۰ شرکت صنعتی را با استفاده از ایمیل آلوده هدف قرار داده و اطلاعات حساس صنعتی، مالی و ... آن‌ها را به سرقت برده بودند.

 

افشای اسناد سازمان‌های اطلاعاتی آمریکا و بسترسازی برای حملات خطرناکWannaCry و ExPetr

اوایل نیمه نخست سال ۲۰۱۷، ویکی‌لیکس اطلاعاتی محرمانه از سازمان اطلاعات مرکزی آمریکا (CIA) منتشر کرد که آرشیوی از ابزارهای هک‌ونفوذ، آسیب‌پذیری‌ها، بدافزارها، exploit های صفر روزه و ... این سازمان بود. چندی بعد و در ماه آوریل این بار نوبت سازمان امنیت ملی آمریکا (NSA) و آرشیو ابزارهای هک‌ونفوذ و exploit های این سازمان بود که هدف حمله سایبری هکرهای گروهShadow Broker قرار بگیرد.

 به دنبال انتشار آرشیو ابزارهای هک‌ونفوذ این دو سازمان اطلاعاتی، هکرها به آرشیوها دست یافته و بدافزارهای صنعتی خطرناکی مانندWannaCry، (Petya)ExPetr و ... را با کمک ابزارها و exploit های این آرشیوها تولید کردند.

 

بدافزارهای رمزنگاری در محیط‌های صنعتی

 

سال ۲۰۱۷ میلادی در خاطر متخصصان و آشنایان به فضای امنیت سایبری باقی خواهد ماند و دلیل آن ظهور و پیشرفت تروجان‌ها و بدافزارهای رمزنگاری در محیط صنعتی بود. به طور میانگین نزدیک به نیم درصد از سامانه‌های اتوماسیون صنعتی، هدف حمله این بدافزارهای جدید قرار گرفتند.

ایران نهمین هدف باج افزارهای صنعتی در نیمه اول ۲۰۱۷ بود. ماه ژوئن آمار حملات این باج افزارها به بیشترین حد خود در نیمه اول ۲۰۱۷ رسید. WannaCry، فعال‌ترین بدافزار این دوره ۶ ماهه بود و بیش از ۱۳ درصد از حملات بدافزارهای رمزنگاری توسط آن صورت گرفت.

دو بدافزار Locky و Cerber بیشترین درآمدزایی را برای مجرمان سایبری در سال‌های ۲۰۱۵ و ۲۰۱۶ داشتند. اغلب بدافزارهای فعال در این بازه زمانی، از طریق ایمیل‌های اسپم به شبکه نفوذ می‌کردند. دو بدافزار رمزنگاری WannaCry و ExPetr ‪(Petya)‬ از نظر سرعت انتشار و میزان تأثیرگذاری در دسته بدافزارهای رمزنگاری، بی‌سابقه بودند و دلیل آن استفاده از exploit های سازمان‌های اطلاعاتی آمریکا بود. WannaCry در مدت تقریبی یک ماه (می تا ژوئن ۲۰۱۷) سامانه‌های کنترل صنعتی در ۱۵۰ کشور دنیا را هدف حمله قرار داد.

ExPetr اولین بار در ماه ژوئن ۲۰۱۷ در کشورهای اکراین و روسیه یافت شد. یک‌چهارم قربانیان ExPetr ‪(Petya)‬ را سامانه صنعتی شرکت‌های نفت‌و‌گاز تشکیل می‌دادند. محققان امنیتی پس از بررسی دقیق ExPetr به این نتیجه رسیدند که این بدافزار رمزنگاری درواقع به‌هیچ‌وجه یک باج افزار نبوده بلکه کارکرد اصلی آن نابود کردن اطلاعات قربانیان بود؛ زیرا خود عاملان حملات، توانایی بازگشایی اطلاعات مسروقه رمز شده را نداشتند و قابلیت رمزنگاری آن پوششی برای تخریب بوده است.

 

بررسی آماری تهدیدات

 

سامانه‌های کنترل صنعتی مراکز و کارخانه‌های تولیدی هدف بیشترین حملات سایبری در نیمه اول ۲۰۱۷ بودند و یک‌سوم حملات متوجه این مراکز بود. سامانه‌های مراکز زیرساختی مهندسی و آموزشی نیز در رتبه‌های بعدی قرار داشتند.

شش‌ماهه انتهایی سال ۲۰۱۶ حملات سایبری صنعتی رشد صعودی داشت، ولی ژانویه (ماه اول میلادی) ۲۰۱۷ این آمار تنزل پیدا کرد. پس از ژانویه سیر سعودی حملات دوباره از سر گرفته شد و در سه‌ ماه آخر نیمه اول ۲۰۱۷ حملات سیر نزولی به خود گرفت.

 

توزیع جغرافیایی حملات به سامانه‌های اتوماسیون صنعتی

 

نگاهی به نقشه توزیع جغرافیایی حملات نشان می‌دهد، کشورهای ایرلند با ۸/۱۳، دانمارک با ۱/۱۴، هلند با ۵/۱۵، آمریکا با ۱/۱۷ و سوئیس با ۴/۱۷درصد کم‌ترین میزان حمله صنعتی را در نیمه اول ۲۰۱۷ تجربه کرده‌اند. 

 

بدافزار در سامانه‌های اتوماسیون صنعتی

 

شبکه‌های کنترل صنعتی روز به روز به شبکه‌های رایانه‌ای شرکتی و سازمانی شبیه‌تر می‌شوند. بخش بسیار بزرگی از ۱۸ هزار بدافزار شناسایی شده در نیمه اول ۲۰۱۷ به‌هیچ‌وجه برای سامانه‌های کنترل صنعتی طراحی نشده بودند، ولی به دلیل شبیه شدن شبکه‌های صنعتی به شبکه‌های رایانه‌ای سازمانی، به‌صورت تصادفی بسیاری از این ۱۸ هزار نمونه که به ۲۵۰۰ خانواده بدافزاری مختلف تعلق داشتند به سامانه‌های صنعتی حمله کرده بودند. جاسوس‌افزارها، باج افزارها، در پشتی‌ها و پاک‌کننده‌های (Wiper) بسیاری در میان این ۱۸ هزار نمونه بدافزار بودند که برای شبکه‌های رایانه‌ای سازمانی طراحی شده بودند ولی به زیرساخت‌های صنعتی نیز حمله کردند.

 

 

منبع آلودگی سامانه‌های اتوماسیون صنعتی

 

اینترنت خطرناک‌ترین منبع برای حمله به سامانه‌های کنترل صنعتی شناخته شد به‌طوری‌که در میان حملات شناسایی‌شده و متوقف‌شده توسط سامانه‌های کنترل صنعتی، ۲۰ درصد از منابع اینترنتی قصد نفوذ داشتند. ۴۰ درصد از شرکت‌های صنعتی به اینترنت متصل می‌شوند (غالباً این اتصال از طریق رایانه مدیر مراکز صنعتی که به اینترنت دسترسی دارد صورت می‌گیرد) و همین موضوع کانالی برای نفوذ بدافزارها به شبکه صنعتی را فراهم می‌کند

 

پلتفرم‌های مورداستفاده بدافزارها

 

۵۰ درصد از بدافزارهایی که در قالب فایل‌های اجرایی سیستم‌عامل ویندوز نوشته شده بودند توسط رایانه‌های مراکز صنعتی شناسایی و دفع شدند. جدای از ویندوز، قالبا هکرها از اسکریپت‌های برنامه‌نویسی برای نفوذ استفاده می‌کنند. اسکریپت‌ Visual Basic و JavaScript دو پلتفرمی بودند که بیشترین استفاده را برای هکرها داشتند و بدافزارهای خود را سازگار با این دو پلتفرم می‌نوشتند.

 

توصیه‌های کسپرسکی

 

بر اساس سفارش شرکت امنیت سایبری کسپرسکی، شرکت‌های زیرساختی برای تأمین حداکثری امنیت سامانه‌های کنترل صنعتی و SCADA، ها باید مورد زیر را جدی بگیرند:

•تجهیزات و رایانه‌هایی که به شبکه‌های خارجی متصل می‌شوند باید ایزوله شده و در یک بخش جدا از شبکه صنعتی قرار بگیرد.

•سیستم‌های جداشده باید در LAN‌های (subnet) مجزایی قرار بگیرند و هیچ ارتباطی بین این subnet ها نباشد.

•تمام تبادلات اطلاعاتی با شبکه‌های خارجی باید در این بخش ایزوله شده انجام شود.

•در صورت لزوم، سرورهای ترمینال به بخش ایزوله‌شده انتقال پیدا کرده تا امکان پیاده‌سازی ارتباط معکوس وجود داشته باشد.

•از رایانه‌های thin client برای اتصال به شبکه‌های صنعتی استفاده کنند (برای این اتصال بهتر است از روش‌های ارتباطی معکوس استفاده شود).

•در صورت امکان ارتباط شبکه ایزوله شده با شبکه صنعتی باید قطع شود.

•از ارتباطات یک‌طرفه بین subnet‌ها بر اساس رتبه‌بندی میزان اهمیت آن‌ها استفاده کنند.

•اگر فرایندهای صنعتی و تجاری با روش ارتباط یک‌طرفه سازگار است، از این روش استفاده شود.

با توجه به این حقیقت که تهدیدات شبکه‌های صنعتی مدام در حال تغییر است و این تهدیدات در غالب آسیب‌پذیری‌های نرم‌افزارهای صنعتی و نرم‌افزارهای کاربردی رخ می‌دهد، شرکت کسپرسکی به صاحبان مراکز زیرساختی حیاتی و صنعتی توصیه می‌کند تا:

•لیستی از سرویس‌های شبکه‌ای در حال فعالیت تهیه کنند و در صورت امکان سرویس‌های آسیب‌پذیر را متوقف کنند. همچنین بهتر است سرویس‌های شبکه‌ای مانند SMB، CIFS و NFS که امکان دسترسی مستقیم از راه دور به object های فایل سیستم را می‌دهند و در عملیات‌های اتوماسیون به‌صورت مستقیم دخالت ندارند را قطع کنند.

•بررسی مداوم ایزوله‌کردن امکان دسترسی به تجهیزات کنترل صنعتی برای تحقق حداکثری جداسازی سطوح دسترسی بر اساس اهمیت جایگاه

•بازرسی فعالیت‌های شبکه‌ای در شبکه صنعتی و محدوده‌های شبکه صنعتی. حذف کلیه ارتباطات خارجی با شبکه‌های اطلاعاتی که دخالتی در فرآیندهای صنعتی ندارند.

•راستی آزمایی امنیت دسترسی از راه دور به شبکه صنعتی با تأکید بر پیروی شبکه ایزوله‌شده، از قوانین امنیتی IT. تا حد امکان استفاده از ابزارهای دسترسی از راه دور مانند RDP و TeamViewer را به حداقل رسانده یا حذف کنند.

•بروز نگاه‌داشتن بانک اطلاعات امضاها، الگوریتم‌های تصمیم‌گیری و راه‌حل‌های امنیت کاربران نهایی (endpoint) سامانه‌های صنعتی.

•حسابرسی اقدامات و سیاست‌های مرتبط با استفاده از ابزارهای قابل‌حمل مانند حافظه‌های جانبی. مسدود کردن (Block) ابزارهایی که اجازه دسترسی غیرمجاز به شبکه‌های خارجی و اینترنت بر روی رایانه‌های هاست را می‌دهد. در صورت امکان پورت‌های مرتبط را غیرفعال کرده و یا از ابزارهای مخصوص برای کنترل این پورت‌ها استفاده کنند.

•استفاده از ابزارهایی که ترافیک شبکه را مانیتور کرده و حملات سایبری بر شبکه‌های صنعتی را شناسایی می‌کنند. در اغلب موارد استفاده از این ابزارهای هیچ توقفی در عملیات صنعتی ایجاد نکرده و تغییری در سامانه‌های کنترل صنعتی و پیکربندی آن‌ها ایجاد نمی‌کنند.

به اذعان کارشناسان کسپرسکی ایزوله کردن کامل یک شبکه صنعتی غیرممکن است، چون جابجایی اطلاعات بین شبکه‌های صنعتی برای بسیاری از عملیات ضروری است و هدف آن‌ها از ارائه گزارش فوق به حداکثر رساندن امنیت شبکه‌های صنعتی در مقابل حملات سایبری است.

 

تحلیل و ارزیابی نهایی

 

با توجه به بررسی‌های صورت گرفته، بزرگ‌ترین تهدیدی که سبب نگرانی مقامات و شرکت‌های امنیتی جهان در سال جاری شده است، رشد باج افزارها و همچنین آسیب‌پذیری‌های موجود در سامانه‌های صنعتی است. بر این اساس، سوءاستفاده از آسیب‌پذیری‌های صنعتی، ممکن است خسارات جبران‌ناپذیری را به کشورها وارد کند و به اهرم فشاری توسط کشورهای غربی، برای متقاعد کردن کشورهای دیگر به پذیرش خواسته‌های آن‌ها تبدیل شود.

حتی این نگرانی تا آنجا تشدید شده است که کشورهایی نظیر ایالات‌متحده آمریکا نیز نسبت به این موضوع، هشدار داده‌اند و خواستار تقویت سامانه‌های دفاعی، در زیرساخت‌هایی نظیر برق و سایر صنایع شده‌اند. به ادعای شرکت‌های امنیتی، کشورهایی نظیر آمریکا، تمام زیرساخت‌های خود را وارد فضای سایبری کرده‌اند و همین مسئله، سبب وابستگی بیش‌ازحد آن‌ها، به برق شده است. ازاین‌رو، دست‌کاری در شبکه‌های کنترل و توزیع برق، می‌تواند آن‌ها را با خسارات گسترده‌ای روبرو نماید.

از سوی دیگر، کشورهای غربی، همین موضوع را بهانه‌ای برای تشکیل نهادی، همانند شورای امنیت سایبری قرار داده‌اند تا بتوانند مهاجمین سایبری به خود را در این نهاد، پای میز محاکمه بیاورند و بر اساس قوانینی که خودشان آن‌ها را وضع و اجرا می‌کنند، سایرین را از انجام هرگونه حمله احتمالی به زیرساخت‌های خود، منصرف نمایند.

 

۴۹