سازمانهای امنیتی و مجری قانون در ایالات متحده هشدار میدهد که سازمانهای زیرساختی حیاتی در این کشور با بدافزارهای سفارشی که بهطور اختصاصی برای سختافزارها طراحی شدهاند، هدف قرار میگیرند.
هشدار جدید، بهطور مشترک توسط آژانس انرژی ایالات متحده (DOE)، آژانس امنیت سایبری و امنیت زیرسازی (CISA)، آژانس فدرال امنیت ملی (NASA) و ادارهی تحقیقات فدرال (FBI) منتشر شده است.
در این هشدار، آژانسها نسب به عواملی هشدار میدهند که سیستمهای کنترل صنعتی (ICS) و دستگاههای کنترل نظارتی و جمعآوری دادهی (SCADA) را در تیررس خود قرار میدهند. این موارد شامل کنترلکنندههای منطقی قابل برنامهریزی Schneider Electric، OMRON Sysmac NEX، Open Platrform و PLC، سرورهای معماری یک پارچهی ارتباطات است.
بهطور دقیق، Schneider Electric MODICON و MODICON Nao PLCها که شامل TM251، TM241، M258، M238، LMC058، LMC078 و برای OMRON Sysmac NJ و NX PLCها شامل NEX NX1P2، NX-SL3300، NX -EXX203، NJ501-1300، S8VK و R88D-1SN10F-ECT، مورد هدف قرار گرفتهاند.
ظاهراََ یکی از عوامل تهدیدکننده که CHERNOVITE نام دارد، در تلاش است تا بدافزاری به نام PIPEDREAM را مستقر کند. محققان امنیتی شرکت امنیت سایبری Dragos مدتی است که بدافزار اختصاصی ICS را ردیابی کردهاند و از این ردیابی متوجه شدهاند که در ابتدا، کنترل کنندههای Schneider Electric Omron هدف قررا داده شدهاند. به بهره گیری از عملکرد بومی نقاط پایانی در این عملیات، شناسایی بدافزار تا حدودی سختتر است.
رابرت لی، مدیرعامل دراگوس معتقد است که CHERNOVITE، مهاجمی تحت حمایت از دولت است.
شرکت امنیت سایبری جداگانهی Mandiant، بدافزار متفاوتی بهنام INCONTROLLER را ردیابی کرده است. این ابزار نیز ابزارهای الکتریکی را هدف خود قرار میدهد و همچنین توسط مهاجمی که تحت حمایت دولت ایجاد شده است، اداره میشود.
اگرچه با اینکه هنوز نام هیچ شرکتی در این حملات ذکر نشده است، اما با اینحال این نشریه یادآوری کرده است که مقامات اوکراین اخیراََ از توقف حمله به تأسیسات انرژی خبر دادهاند.
در مکالمهای با نشریهی The Record، مدیر ارشد فناوری شرکت نرمافزار امنیت سایبری ICS aDolus Technology، گفته است که سرورهای Schneider Electric MODICON PLC و OPC Unified Architecture احتمالاََ مورد هدف قرار گرفتهاند، چراکه آنها در این صنعت بسیار رایج هستند.
رابر لی، مدیرعامل شرکت امنیتی Dragos توضیح داد:
این شامل ویژگیهایی مانند توانایی گسترش از کنترلکننده به کنترلکننده و استفاده از پروتکلهای شبکه محبوب ICS مانند OPC UA و ModbusTCP است.
این بدافزار بهطور اختصاصب در شبکههایی که مورد هدف قرار گرفتهاند، استفاده نشده است. این موضوع به مدافعان فرصتی بینظیر جهت دفاع پیش از انجام حملات میدهد.
بهطور اختصاصی، بهنظر میرسد که هدف اولیه گاز طییعی مایع و جامعه الکتریکی باشد. با اینحال، ماهیت بدافزار این است که در طیف وسیعی از کنترلکنندهها و سیستمهای صنعتی فعالیت کند.
وی افزود که نقصهای بالقوهای که میتوان از آنها استفاده کرد، میتواند امتیازات بالا، حرکت جانبی در محیط OT را برای مهاجمان فراهم کند و در نهایت امکان اختلال در دستگاهها و با عملکردهای حیاتی را فراهم کند.
ابزارهای مورد نظر میتواند مهاجمان را قادر سازد تا دستگاههای آسیبدیده را پس از دسترسی اولیه به شبکهی فناوری عملیاتی OT، اسکن کنند، آن را بهخطر اندازند و حتی آن را کنترل کنند. علاوهبر اینکار، مهاجمان میتوانند ایستگاههای کاری مهندسی که مبتنی بر ویندوز هستند و ممکن است در محیطهای فناوری اطلاعات همانند OT وجود داشته باشند، با استفاده از سوءاستفادای که در درایور مادربرد ASRock را با آسیبپذیریهایی که شناخته شدهاند، به خطر اندازند.
با به خز انداختن سیستمها و حفظ دسترسی کامل سیستم به دستگاههای ICS/SCADA۷، مهاجمان میتوانند امتیازات را بالا ببرند و دستگاهها یا عملکردهای بسیار حیاتی را مختل کنند.
این آژانسها از سازمان های بخش انرژی و سایر تأسیسات زیرساختی حیاتی درخواست کردهاند تا توصیههای تشخیص و کاهش ارائهشده را برای این هشدار اجرا کنند.
CISA هشدارهای متعددی را در مورد حملات به تأسیسات انرژی از زمان حملهی روسیه به اوکراین منتشر کرده است.
دیروز، مقامات اوکراینی اعلام کردهاند که با کمک از محققان ESET و مایکروسافت، موفق شدهاند تا حمله به یکی از تأسیسات انرژی را متوقف کنند.