چشم انداز تهدید برای سیستم های اتوماسیون صنعتی در نیمسال اول 2017
ایتنا- تیم امنیتی لابراتوار کسپرسکی نتایج تحقیقات خود را در مورد چشم انداز تهدیدات برای سیستمهای اتوماسیون صنعتی در شش ماه اول سال 2017 منتشر ساخت.
تمام دادههای آماری در این گزارش با استفاده از شبکه امنیت کسپرسکی (KSN)، یک شبکه آنتی ویروس توزیع گردید. این دادهها از طرف کاربران KSN که برای دسترسی به دادههای ناشناس از رایانههای خود رضایت کامل داشتهاند، دریافت شده است.
به گزارش ایتنا از کسپرسکی آنلاین، دادههایی که از رایانههای محافظت شده توسط راهکارهای لابراتوار کسپرسکی دریافت شد، توسط ICS CERT کسپرسکی به عنوان بخشی از زیرساختهای صنعتی در سازمانها طبقه بندی شده است. این گروه شامل ویندوز کامپیوترهایی است که یک پلتفرم یا چندین توابع زیر را اجرا می کند:
کنترل و نظارت و کسب اطلاعات (SCADA) سرورها؛
سرورهای ذخیره ی دادهها؛درگاه دادهها؛
ایستگاههای کاری ثابت مهندسان و اپراتورها؛
ایستگاههای کارِ تلفن همراه مهندسین و اپراتورها؛
رابط ماشین انسان؛
این گروه همچنین شامل رایانههای کارکنان در سازمانهای پیمان کار و رایانههای مدیران شبکههای کنترل صنعتی و توسعه دهندگان نرمافزارهایی هستند که نرمافزار اتوماسیون صنعتی را شامل میشوند.
رویدادهای اصلی
در ماه آوریل گروه هکرهای Shadow Brokers به آرشیو امنیت ملی (NSA) با استفاده از اکسپلویتها و ابزارهای حمله دسترسی یافتند.
در ابتدا Shadow Brokers در تلاش بودند تا بتوانند آرشیو به سرقت رفته را به فروش برسانند. اما چندی بعد بیشتر آرشیوها انتشار یافت. دادههایی که به صورت عمومی منتشر شده بودند شامل اکسپلویتهایی می شد که برای تجهیزات شبکهها و روترها، سیستم های بانکی، سیستمهای یونیکس، نسخه های مختلف ویندوز مورد استفاده قرار گرفته بود. برخی از آسیب پذیریهای منتشر شده قبلا به صورت آسیب پذیری های صفر روزه منتشر شده بودند.
در ماه ژوئن سال 2017، نتایج تحقیقات مربوط به بدافزار CrashOverride/Industroyer منتشر شد. کارشناسان امنیتی ESET ، Dragos و همچنین تعداد زیادی از محققان مستقل به این نتیجه رسیدند که این بدافزار به منظور جلوگیری از کارکرد سیستم های کنترل صنعتی (ICS)، به ویژه ایستگاه های الکتریکی طراحی شده است.
CrashOverride/Industroyer قادر به کنترل مستقیم سوییچها و قطع کننده های مدار در مدار ایستگاه های الکتریکی بود.
کارشناسان امنیتی ICS CERT در گزارش خود اعلام کردند که در کسب و کارها، ایمیل ها توسط مجرمان نیجریه مورد هدف قرار گرفته بود و این حمله در درجه اول شرکت های حمل و نقل و تدارکات صنعتی بزرگ را مورد حمله قرار داده بود. با توجه به حملاتی که توسط لابراتوار کسپرسکی بررسی می شود، شرکت های صنعتی بیش از 80 درصد قربانیان بالقوه را شامل میشوند.
طبق یافته های کسپرسکی، در مجموع بیش از 500 کمپانی در بیش از 50 کشور مورد حمله ی مجرمان قرار گرفتند.
خبر بسیار مهمی که در شش ماه اول سال 2017 توجه همه را به خود جلب کرد، ریزش آرشیو اطلاعات یک واحد ویژه آژانس مرکزی در آمریکا بود. این آرشیو اطلاعات حاوی اطلاعاتی در مورد ابزارهای هکری سیا از جمله اکسپلویت های صفر روزه، ابزار دسترسی از راه دور و اسناد مربوطه بود. بخشی از این آرشیو در WikiLeaks منتشر شد.
باج افزارها تهدیدات قابل توجهی برای کمپانی ها به خصوص شرکت های صنعتی محسوب می شوند. این گونه از ویروسها برای کمپانیهایی که زیرساخت های حیاتی و با ارزش دارند یک تهدید همیشگی و البته خطرناک محسوب می شوند زیراکه فعالیت بدافزارها می تواند فرآیندهای صنعتی را به راحتی مختل کنند.
در طی شش ماه اول سال 2017، حملات توسط باج افزارهای رمزنگار با 33 گونه ی مختلف باعث مسدود شدن کامپیوترهای ICS شدند. خوشبختانه در بین نمونههای مخرب شناسایی شده ما هیچ برنامه خاصی را که برای مسدود کردن نرم افزارهای اتوماسیون صنعتی طراحی شده باشد را پیدا نکردیم.
بر اساس تعداد سیستم های مورد حمله واقع شده، باج افزار واناکرای در نیمه ی اول سال 2017، بالاترین رتبه را کسب کرد. این در حالی است که 13.4 درصد از تمام کامپیوترهای موجود در زیرساختهای صنعتی مورد حمله این باجافزار و رمزنگاری آن قرار گرفته بودند.
ما علت شیوع و موفق بودن عفونت های واناکرای را خطا در پیکربندی شبکههای معمولی میدانیم. محققان ما تمام مسیرهای آلوده را آنالیز کردند و به این نتیجه رسیدند که سیستم های اتوماسیون صنعتی می توانند توسط باج افزارهایی نظیر واناکرای از طریق شبکه محلی و اتصالات وی.پی.ان مورد حمله قرار بگیرند.
آمار تهدیدات
در نیمه اول سال 2017، راهکارهای امنیتی لابراتوار کسپرسکی 37.6% از کامپیوترهای ICS محافظت شده را در برابر حملات متعدد محافظت و تلاش های مکرر مجرمان را مسدود ساختند که این رقم 1.6 درصد از نیمسال دوم سال 2016 کمتر است. در ماه ژانویه ما شاهد وقوع فعالیتهای مکرر مجرمان بودیم و پس از آن این تعداد به حد معمول خود رسید و سپس به تدریج از ماه آوریل تا ژوئن از تعداد آن ها کاسته شد.
از لحاظ موارد استفاده و فناوریهای قابل کاربرد، شبکه های صنعتی به طور فزاینده ای شباهت بسیار زیادی با شبکه های شرکتهای بزرگ دارند. در نتیجه چشم انداز تهدید برای سیستم های صنعتی مشابه چشم انداز تهدید برای سیستم های شرکتهای بزرگ هستند.
در نیمه اول سال 2017 حدود 18000 گونه اصلاح شده بدافزار متعلق به 2500 خانواده بر روی سیستم های اتوماسیون صنعتی شناسایی شد. در این مدت تلاش های مداوم برای دانلود نرم افزارهای مخرب از طریق اینترنت یا دسترسی به منابع مخرب وب و فیشینگها در 20.4% از کامپیوترهای ICS مسدود شد.
برای کامپیوترهایی که بخشی از زیرساخت های صنعتی هستند، اینترنت منبع اصلی عفونت محسوب می شود. عنوان های مشارکتی عبارت اند از رابط بین شبکههای شرکتی و صنعتی، دسترسی سیستمها به اینترنت، اتصال کامپیوترها به شبکه، موبایلها، مودم، USB و وای.فای میتواند زیرساخت یک مجموعه را به خطر بیاندازد.
تروجانهای در قالب ویندوز (Win32/Win 64) توانستند فایل های اجرایی بیش از 50 درصد رایانههای مورد حمله را مسدود کنند. به جای توسعه یک فایل اجرایی، مجرمان اغلب قابلیتهای مخرب را با استفاده از یک زبان اسکریپت که قبلا بر روی سیستم قربانیان توسط خود مجرمان نصب شده است، اجرا می کنند. رتبه بندی پلتفرم هایی از جمله ویندوز که توسط بدافزارها مورد استفاده قرار گرفته است، در تصویر زیر قابل مشاهده است.
توجه داشته باشید که مجرمان اغلب از بازکننده های کوچک نوشته شده (لودر) در جاوااسکریپت، Visual Basic Script یا پاورشل که با استفاده از پارامترهای خط فرمان برای کاربران و اشخاص مربوطه راهاندازی می شود، استفاده میکنند.