چه تعداد از گروههای هکری بر سیستم های ICS تمرکز میکنند؟ با توجه به تحقیقات صورت گرفته، در سال 2017 حداقل پنج گروه در این حوزه فعالیت کردند. در حالی که همه ما فکر میکنیم بدافزارهای مخرب در زیرساختهای کنترل صنعتی تنها با هدف تخریب یک زیرساخت بوجود آمدهاند، آنها با انتشار خود مشغول جمعاوری اطلاعات و شناسایی اطلاعات اطراف محیطهای صنعتی هستند. در واقع برخی از گروههای هکری که گاها از سمت نهادهای حاکمیتی کشورهای متخاصم تغذیه مالی و اطلاعاتی میشوند، توانایی دسترسی به این توان را دارند. در این میان پنچ گروهی که در زیر معرفی میشوند بیشترین زمینه را برای فعالیت بر روی زیرساختهای صنعتی دارند.
Electrum
رویداد برق اکراین که از طریق بدافزار مورد هجوم قرار گرفته بود، حمله ای بود که بستر توسط گروه Electrum قبل از حمله اصلی برای آن آماده شده بود و در نهایت با استفاده از اطلاعاتی که در قبل از حمله جمعاوری شده بود توانست حمله اصلی را انجام دهد. محققان بر این باورند که Electrum هنوز فعال است، اما شواهد نشان میدهد، گروه مذکور تمرکز خود را از زیرساختهای برق اکراین برداشته و زمان خود را در جای دیگری دارد سرمایه گذاری میکند و اهداف دیگری را در سر دارد.
Covellite
گروهی که با استفاده از حمله فیشینگ علیه شرکت برق آمریکا و همچنین حملاتی مشابه در اروپا، آسیای شرقی و آمریکای شمالی انجام دادند. شباهت هایی در بدافزار مورد استفاده توسط Covellite وLazarus وجود دارد، اما در حال حاضر، سوابق این طور نشان نمیدهد که آنها هنوز در راستای آسیب رساندن به زیرساختهای صنعتی باشند. البته این فقط یک حدس است.
Dymalloy
با شروع در اواخر سال 2015 و از اوایل سال 2017، توانست با موفقیت چندین هدف ICS در ترکیه، اروپا و آمریکای شمالی را مورد هجوم قرار دهد. همچنین یادآور میشویم در حالی که این گروه به نظر نمیرسد توانایی معادل تولید بدافزار Havex Dragonfly را داشته باشد اما این گروه توانست به شبکه ICS چندین سازمان نفوذ کند، دسترسی به دستگاه های HMI را به دست آورد و تصاویر گراقیکی فرایندها را از بین برد. "
Chrysene
به طور عمده بر اهداف در صنایع نفت و گاز و تولید برق در غرب اروپا، آمریکای شمالی، عراق و اسرائیل متمرکز شده است. تا کنون، فعالیت آنها بر نفوذ درشبکههای فناوری اطلاعات زیرساختهای صنعتی و جاسوسی متمرکز بود.
فعالیت این گروه بر روی عربستان سعودی، به ویژه شرکت های دولتی و یا شرکت های پتروشیمیو صنعت هوافضا متمرکز شده است. آنها هنوز نشان نداده اند که بر روی ICS مشخصا فعالیت میکنند، بنابراین محققان در مورد این گروه خاص نگران نیستند.
محققان خاطر نشان کردند سال 2017 شاهد گسترش قابل ملاحظه ای در فعالیت های آگاهی امنیت سیستمهای کنترل صنعتی بود. با توجه به مهم که محققان امنیت زیرساختهای صنعتی تنها سه نمونه بدافزار مخرب متمرکز ICS قبل از سال 2017 را شناخته بودند Stuxnet “پیش از سال 2010، بلک انرژی 2012 و هوکس سال 2013” شواهد اینطور نشان میدهد که دشمنان تلاش بیشتری میکنند که منابع ICS را مورد هدف قرار دهند.
با توجه به این موضوع، تولید کنندگان همیشه بر اهمیت اطلاعات تهدیدات و گزارش های مرتبط با امنیت سایبری واقفند و برای کمک به این سازمانها و امنیت سیستمها و شبکههای خود در تلاشند و بر آن تأکید میکنند. اما اپراتورها در مورد توصیه های آسیبپذیری موجود منتشر شده توسط مراکز CERT و همچنین تولیدکنندگان تجهیزات ICS تمایل زیادی نشان نمیدهند. توصیههای تولیدکنندگان و مراکز پاسخگویی به رخدادهای در مورد آسیبپذیریها باید گزینه های مناسب جایگزین را نیز ارائه دهد. در واقع چندین جایگزین ارائه دهند زیرا یک راهکار ممکن است برای همه کاربران قابل استفاده نباشد، اما با ارائه چند راهکار میتوانند بعضی از آنها را کمک کنند. این توصیه باید شامل پورت ها و خدمات خاص برای محدود کردن یا نظارت، و همچنین راههای کاهش خطر و تاثیر از یک حمله یا توصیههای سخت افزاری خاص برای دفاع بهتر از سیستم از بهرهبرداری محلی است.
رید وایتمن، یکی از محققان ارشد آسیبپذیری در دروگس میگوید احتمال دارد تولیدکنندگان در کنار ایمنی و ارائه توصیههای امنیتی گمراه شوند و اطلاعات دقیقتری را در اختیار مشتریان قرار دهند، البته این مورد چند بار اتفاق افتاده که آن هم بصورت خصوصی نبوده و تولیدکنندگان اطلاعات حساسی را بصورت عمومی منتشر کردهاند. وی همچنین اشاره کرد که افراد امنیت OT نباید فقط به توصیه های آسیبپذیری مربوط به دستگاههای سخت افزاری و سطح فیلد متمرکز شوند، بلکه باید از موارد مربوط به سخت افزار و نرم افزار مورد استفاده برای محافظت از محیط شبکه و نقاط ورود به شبکه های ICS نیز مطمئن شوند. در بعضی از نقاط، تیم های امنیتی OT بر منابع ICS-CERT تمرکز میکنند و به سایر توصیه های عمومیتوجه زیادی نمیکنند. وی خاطرنشان کرد که برجسته سازی این توصیه ها به عنوان بخشی از برنامه امنیتی OT برای صنعت مفید خواهد بود.
چیز دیگری که آنها میخواهند در این توصیه ها بگنجانند یک ارزیابی دقیق تر از تاثیر آسیبپذیری در فرآیندهای کنترل صنعتی است. او میگوید: "نمونهای از این نشان دهنده تاثیر تهدیدات بر عملیات یک سیستم است." در نهایت، محققان به اپراتورها توصیه میکنند تا یک شبکه کنترل سیستم آزمایشگاهی را که حاوی پلنتها و سیستم های بحرانی واقعی است را ایجاد کند تا بتوانند قبل از اینکه در محیط واقعی پیادهسازی کنند آنها را اجرا کنند، و به این ترتیب خطر قطع شدن هر گونه سیستم در پلنتهای حیاتی را کاهش دهند.
کد: 50014641
زمان انتشار: شنبه 19 اسفند 1396 08:30 ب.ظ
منبع: Dragos
تعداد نمایش: 165
ما را در شبکه های اجتماعی دنبال کنید