زنده شدن خاطره استاکس نت
مقدمه:
گرچه به اعتقاد برخی کارشناسان، بدافزار آیرون گیت (IRONGATE) هنوز در مرحله آزمایشی قرار دارد و حمله مخربی از جانب آن ثبت نشده است، اما ممکن است این بدافزار آغازگر نسل جدیدی از حملات به سامانههای کنترل صنعتی در جهان باشد.
هدف این بدافزار، پنهانسازی اطلاعات در سامانههای کنترل صنعتی و ممانعت از نظارت دقیق بر سامانههای اسکادا عنوان شده است. به اعتقاد محققانی که موفق به کشف این بدافزار شدهاند، کارکردی مشابه با بدافزار استاکس نت دارد.
در نیمه دوم سال 2015 تیم مهندسی پیشرفته آزمایشگاه FireEye پس از بررسی چندین نسخه از نرمافزارهای سیستم کنترل صنعتی موفق به کشف بدافزار IRONGATE شد؛ که پس از قرار گرفتن روی زیرساختهای کنترل صنعتی مبتنی بر سامانههای زیمنس فعالیت مخرب خود را اجرا میکند.
در این میان محققان پس از بررسیها به این نتیجه رسیدند که بدافزار IRONGATE با سامانههای مانیتورینگ هوشمند اکتساب دادهها در ارتباط است. تیم آمادگی اضطراری محصولات شرکت زیمنس (ProductCERT) تائید کرد که بدافزار نامبرده توانایی بهرهبرداری از آسیبپذیریهای محصولات زیمنس را ندارد. بررسیها نشان میدهد که این بدافزار مانند استاکس نت Stuxnet برای اولین بار در سیستمهای کنترل صنعتی دیده شده است. اما باید به این نیز توجه داشت بدافزار آیرون گیت قادر به اشتراکگذاری گسترده اطلاعات است.
فریب کاربران با استفاده از حمله مردمیانی
از قابلیتهای دیگری که آیرون گیت دارد این است که با استفاده از حمله مردمیانی شروع به ساخت فرایند شبیهسازی ورودیها و خروجیها میکند. همچنین با قرار دادن یک رابط کاربری بین PLC و نرمافزار توانایی نظارت بر سیستم را دارد.
فرار از حفرههای امنیتی (Sandbox Evasion)
دومین ویژگی قابلتوجه این بدافزار این است که توسط حفرههای امنیتی قابلبررسی نیست. این بدافزار از تکنیکهای تشخیص و مقاومت در برابر تجزیهوتحلیل استفاده میکند.
ویژگیهای منحصربهفرد برای بدافزارهای سیستم کنترل صنعتی ICS
باید به این نیز توجه کرد که بدافزار نامبرده در مقایسه با بدافزار استاکس نت از پیچیدگی کمتری برخوردار است؛ اما باید به این نیز توجه کرد مانند بدافزار استاکس نت توانایی تغییر سرعت روتور سانتریفوژها را دارد. همچنین دارای ویژگیهایی در سیستمهای کنترل صنعتی است که بهصورت زیر است.
• از هر دو نرمافزار بهعنوان یک فرایند خاص استفاده شود.
• هر دو بدافزار از اسناد موجود در برنامهها برای دستکاری در روند اجرای برنامهها استفاده میکنند.
• بدافزار IRONGATE پس قرار گرفتن روی زیرساخت به شناسایی بدافزارهای دیگی میپردازد، درصورتیکه بدافزار استاکس نت برای قرار گرفتن روی سیستمعامل به بررسی آنتیویروسها میپردازد.
• ویژگی دیگر این بدافزار نصبت به استاکس نت این است که اقداماتی را برای پنهانکاری انجام میدهد درصورتیکه استاکس نت با قرار گرفتن روی کلیدهای S7-315 و تغییر در سرعت تجهیزات با استفاده از HMI انجام میدهد.
شواهد نشان میدهد که استفاده از ویژگی های آیرون گیت بدافزار را قادر به اجرای فعالیت مخرب خود میکند.
• PLCSIM از رابطهای برنامهنویسی در محیط زیمنس است که در این میان مهاجمان برای برقراری ارتباط با این رابط برنامه نویسی از نرمافزار شبیه ساز S7ProSim استفاده میکنند.
• زمانی که شروع به شناسایی و بررسی بدافزار میکنیم نیاز به بررسی و شناسایی مسیر کدها داریم.
• علاوه بر این بررسیها نشان میدهد مهاجمان با استفاده از حمله مردمیانی برای ارسال کدهای دودویی scada.exe از کتابچه راهنما بدافزار استفاده میکنند.
• تیم آمادگی اضطراری زیمنس بر این باور است کدهای اجراشده در برابر سیستمهای کنترلی استاندارد کارایی ندارند.
پیامدهایی برای دارندگان سیستمهای کنترل صنعتی
در این میان بیشتر کسانی که از سیستمهای کنترل امنیتی استفاده میکنند در معرض خطرات این بدافزارها قرار دارند. نظارت بر امنیت شبکههای کنترل صنعتی با استفاده از شاخصهای IOC از روشهای امنیتی برای دفاع سیستمهای کنترل صنعتی در برابر حملات است.
بهطورکلی برای مقابله با تهدیدات به وجود آمده توسط این بدافزار صاحبان سیستمهای کنترل صنعتی باید راهکارهای زیر را انجام دهند.
• نیاز به بررسی یکپارچه سیستم امنیتی سامانه در برابر حملات مردمیانی.
• توسعه زیرساختها برای بررسی اطلاعات موجود مانند سنجش اطلاعات موجود.
خانواده بدافزار آیرون گیت
در حال حاضر شرکت امنیتی فایر آی شش نمونه از بدافزارها را شناسایی کرده است که با بدافزار آیرون گیت رابطه دارد و همگی مبتنی بر پایتون هستند. bla.exe, update.exe1, update_no_pipe.exe1, update_no_pipe.exe2, update_no_pipe.exe2, update.exe3.
تکنیکهای ضد تجزیهوتحلیل
در حال حاضر بدافزار موجود در سیستمهای کنترلی از روشهای ضد تشخیص برای تجزیهوتحلیل مورداستفاده قرار میگیرد که در بیشتر مواقع در ویندوز مجازی Vmware مشاهده میشود. همانطور که مشاهده میکنید بدافزار نام برده با استفاده از روشهای زیر فعالیت خود را ادامه میدهد.
نتیجهگیری:
بدافزار مذکور، این قابلیت را دارد تا اطلاعات حیاتی را از پی ال سیها جمعآوری کرده و با نمایش اطلاعات غلط بر روی سامانههای کنترلی و نظارتی، کنترلکنندهها را به خطا بیندازد. البته شرکت زیمنس در بیانیهای در این رابطه، مدعی شده است که کدهای بدافزاری شناساییشده، قابلیت فعالیت در تجهیزات استاندارد شرکت زیمنس را ندارند.
- ۹۵/۰۳/۲۶
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.