جزئیاتی از کشف بدافزاری خطرناک با هدف قرار دادن سیستم‌های کنترل صنعتی

به گزارش پایگاه خبری آرمان اقتصادی، بدافزار به نرم‌افزارهایی نفوذی گفته می‌شود که هکرها آن‌ها را برای سرقت داده‌ها و آسیب‌رساندن یا تخریب کامپیوترها و سیستم‌های کامپیوتری ایجاد می‌کنند. درواقع، بدافزار یا نرم‌افزار مخرب به برنامه‌ها یا فایل‌هایی می‌گویند که برای سیستم یا شبکه یا سرور مضر باشند.

ازجمله بدافزارهای رایج می‌توان به ویروس‌های کامپیوتری، کرم‌ها، ویروس‌های تروجان، جاسوس‌افزارها، ابزارهای تبلیغاتی مزاحم و باج‌افزارها اشاره کرد. این برنامه‌های مخرب داده‌های حساس را سرقت و رمزگذاری و حذف می‌کنند همچنین توابع محاسباتی اصلی را تغییر می‌دهند یا می‌ربایند و بر فعالیت کامپیوتر کاربران نهایی نظارت می‌کنند. در چند سال اخیر، حملات بدافزارها اطلاعات زیادی را استخراج کرده‌اند.

در این راستا اخیرا پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستم‌های کنترل صنعتی (ICS) متمرکز است، خبر دادند.

این بدافزار که به نام “FrostyGoop” شناخته می‌شود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکه‌های تکنولوژی عملیاتی (OT) استفاده می‌کند و به طور خاص برای هدف قرار دادن سیستم‌های کنترل ENCO که از پروتکل Modbus TCP استفاده می‌کنند طراحی شده ‌است.

Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاه‌های الکترونیکی استفاده می‌شود. این پروتکل در اصل برای استفاده در سیستم‌های کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاه‌هایی مانند کنترلرهای منطقی قابل برنامه‌ریزی (PLC) و حسگرها یا محرک‌ها استفاده می‌شود. Modbus از ساختار کلاینت-سرور استفاده می‌کند. این پروتکل معمولاً از طریق پورت ۵۰۲ TCP/IP پیاده‌سازی می‌شود.

FrostyGoop، که با زبان برنامه‌نویسی Golang نوشته شده، قادر است مستقیماً با دستگاه‌های ICS از طریق پروتکل Modbus TCP بر روی پورت ۵۰۲ ارتباط برقرار کند. این بدافزار به طور عمده سیستم‌های ویندوزی را هدف قرار می‌دهد و برای آسیب رساندن به دستگاه‌های کنترل ENCO که پورت TCP ۵۰۲ آن‌ها به اینترنت متصل است، استفاده می‌شود.

سیستم‌های کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده می‌شوند. این سیستم‌ها معمولاً در تأسیسات انرژی مانند نیروگاه‌ها، شبکه‌های توزیع برق و تأسیسات گرمایشی به کار می‌روند. سیستم‌های ENCO می‌توانند شامل سخت‌افزار و نرم‌افزارهایی باشند که برای جمع‌آوری داده‌ها، مانیتورینگ و کنترل تجهیزات انرژی استفاده می‌شوند.

این سیستم‌ها اغلب از پروتکل‌های ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاه‌های مختلف استفاده می‌کنند. این بدافزار قابلیت خواندن و نوشتن داده‌ها به دستگاه‌های ICS را دارد و همچنین می‌تواند دستورات از طریق فایل‌های پیکربندی JSON دریافت کند و خروجی‌ها را به کنسول و یا فایل JSON گزارش دهد.

حمله‌ای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده‌ بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از ۶۰۰ ساختمان مسکونی به مدت نزدیک به ۴۸ ساعت شد. محققان معتقدند که دسترسی اولیه به شبکه‌های آسیب‌دیده از طریق آسیب‌پذیری‌هایی در روترهای Mikrotik به دست آمده است.

FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy۲، Industroyer۲ و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاه‌های ICS استفاده می‌کند و تهدیدی جدی برای زیرساخت‌های حیاتی در بخش‌های مختلف به شمار می‌آید.

با توجه به این که بیش از ۴۶,۰۰۰ دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی می‌تواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه می‌کنند که سازمان‌ها امنیت زیرساخت‌های خود را با پیاده‌سازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.   

براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) برای پیشگیری   و کاهش خطر بدافزار مذکور می توان اقداماتی مانند به‌روزرسانی سیستم‌ها و تجهیزات، مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک، پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورت‌های ناامن مانند پورت ۵۰۲ برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند، آموزش پرسنل، استفاده از فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه، پشتیبان‌گیری منظم از داده‌ها و سیستم‌ها و اجرای سیاست‌های دسترسی محدود به سیستم‌های حیاتی انجام داد.

گفتنی است خرداد ماه این مرکز از انتشار بدافزاری با استفاده از به‌روزرسانی جعلی مرورگرها هشدار داده بود. در واقع مهاجمان سایبری با استفاده از به‌روزرسانی‌های جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع می‌کردند. گفته شده این حملات با هدایت کاربران به وب‌سایت‌های آلوده و دانلود فایل‌های مخرب توسط آن‌ها آغاز می‌شوند.    

انتهای پیام