چه تعداد از گروه‌های هکری بر سیستم های ICS تمرکز می‌کنند؟ با توجه به تحقیقات صورت گرفته، در سال 2017 حداقل پنج گروه در این حوزه فعالیت کردند. در حالی که همه ما فکر می‌کنیم بدافزار‌های مخرب در زیرساخت‌های کنترل صنعتی تنها با هدف تخریب یک زیرساخت‌ بوجود آمده‌اند، آنها با انتشار خود مشغول جمع‌اوری اطلاعات و شناسایی اطلاعات اطراف محیط‌های صنعتی هستند. در واقع برخی از گروه‌های هکری که گاها از سمت نهاد‌های حاکمیتی کشور‌های متخاصم تغذیه مالی و اطلاعاتی می‌شوند، توانایی دسترسی به این توان را دارند. در این میان پنچ گروهی که در زیر معرفی می‌شوند بیشترین زمینه را برای فعالیت بر روی زیرساخت‌های صنعتی دارند.

گروه‌های هکری که بر سیستم‌های کنترل صنعتی تمرکز کرده‌اند

Electrum

رویداد برق اکراین که از طریق بدافزار مورد هجوم قرار گرفته بود، حمله ای بود که بستر توسط گروه Electrum قبل از حمله اصلی برای آن آماده شده بود و در نهایت با استفاده از اطلاعاتی که در قبل از حمله جمع‌اوری شده بود توانست حمله اصلی را انجام دهد. محققان بر این باورند که Electrum هنوز فعال است، اما شواهد نشان میدهد، گروه مذکور تمرکز خود را از زیرساخت‌های برق اکراین برداشته و زمان خود را در جای دیگری دارد سرمایه گذاری می‌کند و اهداف دیگری را در سر دارد.

Covellite

گروهی که با استفاده از حمله فیشینگ علیه شرکت برق آمریکا و همچنین حملاتی مشابه در اروپا، آسیای شرقی و آمریکای شمالی انجام دادند. شباهت هایی در بدافزار مورد استفاده توسط Covellite وLazarus  وجود دارد، اما در حال حاضر، سوابق این طور نشان نمیدهد که آنها هنوز در راستای آسیب رساندن به زیرساخت‌های صنعتی باشند. البته این فقط یک حدس است.

Dymalloy

با شروع در اواخر سال 2015 و از اوایل سال 2017، توانست با موفقیت چندین هدف ICS در ترکیه، اروپا و آمریکای شمالی را مورد هجوم قرار دهد. همچنین یادآور می‌شویم در حالی که این گروه به نظر نمی‌رسد توانایی معادل تولید بدافزار Havex Dragonfly را داشته باشد اما این گروه توانست به شبکه ICS چندین سازمان نفوذ کند، دسترسی به دستگاه های HMI را به دست آورد و تصاویر گراقیکی فرایندها را از بین برد. "

Chrysene

 به طور عمده بر اهداف در صنایع نفت و گاز و تولید برق در غرب اروپا، آمریکای شمالی، عراق و اسرائیل متمرکز شده است. تا کنون، فعالیت آنها بر نفوذ درشبکه‌های فناوری اطلاعات زیرساخت‌های صنعتی و جاسوسی متمرکز بود.

Magnallium

فعالیت این گروه بر روی عربستان سعودی، به ویژه شرکت های دولتی و یا شرکت های پتروشیمی‌و صنعت هوافضا متمرکز شده است. آنها هنوز نشان نداده اند که بر روی ICS مشخصا فعالیت می‌کنند، بنابراین محققان در مورد این گروه خاص نگران نیستند.

محققان خاطر نشان کردند سال 2017 شاهد گسترش قابل ملاحظه ای در فعالیت های آگاهی امنیت سیستم‌های کنترل صنعتی بود. با توجه به مهم که محققان امنیت زیرساخت‌های صنعتی تنها سه نمونه بدافزار مخرب متمرکز ICS قبل از سال 2017 را شناخته بودند  Stuxnet “پیش از سال 2010، بلک انرژی 2012 و هوکس سال 2013” شواهد اینطور نشان می‌دهد که دشمنان تلاش بیشتری می‌کنند که منابع ICS را مورد هدف قرار دهند.

مشاوره برای تولیدکنندگان و اپراتورهای تجهیزات ICS

با توجه به این موضوع، تولید کنندگان همیشه بر اهمیت اطلاعات تهدیدات و گزارش های مرتبط با امنیت سایبری واقفند و برای کمک به این سازمان‌ها و امنیت سیستم‌ها و شبکه‌های خود در تلاشند و بر آن تأکید می‌کنند. اما اپراتورها در مورد توصیه های آسیب‌پذیری موجود منتشر شده توسط مراکز  CERT  و همچنین تولیدکنندگان تجهیزات ICS تمایل زیادی نشان نمی‌دهند. توصیه‌های تولیدکنندگان و مراکز پاسخ‌گویی به رخداد‌های در مورد آسیب‌پذیری‌ها باید گزینه های مناسب جایگزین را نیز ارائه دهد. در واقع چندین جایگزین ارائه دهند زیرا یک راهکار ممکن است برای همه کاربران قابل استفاده نباشد، اما با ارائه چند راهکار می‌توانند بعضی از آنها را کمک کنند. این توصیه باید شامل پورت ها و خدمات خاص برای محدود کردن یا نظارت، و همچنین راه‌های کاهش خطر و تاثیر از یک حمله یا توصیه‌های سخت افزاری خاص برای دفاع بهتر از سیستم از بهره‌برداری محلی است.

رید وایتمن، یکی از محققان ارشد آسیب‌پذیری در دروگس می‌گوید احتمال دارد تولیدکنندگان در کنار ایمنی و ارائه توصیه‌های امنیتی گمراه شوند و اطلاعات دقیقتری را در اختیار مشتریان قرار دهند، البته این مورد چند بار اتفاق افتاده که آن هم بصورت خصوصی نبوده و تولیدکنندگان اطلاعات حساسی را بصورت عمومی ‌منتشر کرده‌اند. وی همچنین اشاره کرد که افراد امنیت OT نباید فقط به توصیه های آسیب‌پذیری مربوط به دستگاه‌های سخت افزاری و سطح فیلد متمرکز شوند، بلکه باید از موارد مربوط به سخت افزار و نرم افزار مورد استفاده برای محافظت از محیط شبکه و نقاط ورود به شبکه های ICS نیز مطمئن شوند. در بعضی از نقاط، تیم های امنیتی OT بر منابع ICS-CERT تمرکز می‌کنند و به سایر توصیه های عمومی‌توجه زیادی نمی‌کنند. وی خاطرنشان کرد که برجسته سازی این توصیه ها به عنوان بخشی از برنامه امنیتی OT برای صنعت مفید خواهد بود.

چیز دیگری که آنها می‌خواهند در این توصیه ها بگنجانند یک ارزیابی دقیق تر از تاثیر آسیب‌پذیری در فرآیندهای کنترل صنعتی است. او می‌گوید: "نمونه‌ای از این نشان دهنده تاثیر تهدیدات بر عملیات یک سیستم است." در نهایت، محققان به اپراتورها توصیه می‌کنند تا یک شبکه کنترل سیستم آزمایشگاهی را که حاوی پلنت‌ها و  سیستم های بحرانی واقعی است را ایجاد کند تا بتوانند قبل از اینکه در محیط واقعی پیاده‌سازی کنند آنها را اجرا کنند، و به این ترتیب خطر قطع شدن هر گونه سیستم در پلنت‌های حیاتی را کاهش دهند.