ابزار Ghidra یک چارچوب مهندسی معکوس (SRE) است که توسط اداره تحقیقات آژانس امنیت ملی کشور آمریکا تولید و نگهداری شده است. این چارچوب شامل مجموعه ای کامل از ابزارهای تجزیه و تحلیل نرم افزار است که کاربران را قادر می سازد که کد کامپایل شده را بر روی سیستم عامل‌های مختلف مانند ویندوز، سیستم عامل مک و لینوکس تجزیه و تحلیل کنند.

اطمینان از امنیت نقطه پایانی و یا سیستم نهایی در حوزه اینترنت اشیاء صنعتی و یا همان IIOT در مقاله اخیر موسسه SANS بزرگترین نگرانی مطرح شده است. در واقع با در نظر گرفتن جامعه آماری تحقیق مدنظر که از 200 نفر از متخصصان سازمانهایی با جمعیت بین 1000 تا 50000 کارمند بوده این نتایج کسب شده است.

حفاظت از سیستم های فیزیکی انگلستان، مانند شبکه های انرژی، مخابرات و NHS، بحث داغ در سمینار Infosecurity اروپا 2018 در لندن بود. در این راستا،Spencer Summons، مدیر امنیت و مخاطرات اطلاعاتی در شرکت Tullow Oil گفتگو را آغاز کرد و گفت برای بهبود امنیت در زیرساخت‌های صنعتی تغییر فرهنگ لازم است، تا اطمینان حاصل شود که متولیان صنایع این موضوع را درک کنند که امنیت سایبری در صنایع عمدتا بر امنیت فیغ و ایمنی انسان تمرکز دارد و نگاه آن فرای، مخاطرات اطلاعاتی است.

بیشتر سازمان های صنعتی هنوز شبکه های ICS خود را از تهدیدات رایج سایبری که به طور عمده شبکه های IT را هدف قرار می دهند، در نظر می گیرند. با این حال، دو حادثه اخیر استخراج ارز دیجیتال نشان می دهد که شبکه های ICS از نرم افزار ناخواسته "استریل" نیستند

شرکت دراگوس در راستای شناسایی تهدیدات امنیتی در حوزه سیستم‌های کنترل صنعتی با شرکت‌های ThreatConnect، Recorded Future، ThreatQuotient و EclecticIQ همکاری جدیدی را آغاز کرد.

نگرانی آمریکا از شروع حملات سایبری ایران: در روز سه شنبه، دونالد ترامپ، رئیس جمهور آمریکا، اعلام کرد که ایالات متحده از معاهده هسته ای ایران خارج خواهد شد و همچنین قول داده است تحریم های اقتصادی علیه ایران در جهت محدود کردن برنامه هسته ای ایران را باشدت بیشتری ادامه دهد. محققان می گویند که بر اساس فعالیت های سایبری گذشته ایران، پیش بینی می شود که حمله سایبری گسترده ای از جانب ایران به احتمال زیاد وجود داشته باشد. پریسیلا موریوچی، تحلیلگر پیشین NSA، در حال حاضر می گوید: "ما در ماههای گذشته به بررسی این موضوع می پردازیم که شرکت های آمریکایی در بخش های مالی، زیرساخت های حیاتی، بخش های نفت و انرژی، احتمالا از سوی نیروهای حمایت شده از سوی دولت ایران با حملات سایبری مخرب مواجه خواهند شد. #Cyber_Attack #Nuclear @ICSdefender

محققانی با نام های Adam Crain از شرکت Automatak و Chris Sistrunk از شرکت Mandiant آسیب پذیری resource exhaustion را در برنامه کاربردی Top Server از شرکت Software Toolbox شناسایی کرده است. در همین راستا شرکت Software Toolbox نسخه جدیدی از این محصول را به منظور کاهش آسیب پذیری گزارش شده، ارائه کرده است. این آسیب پذیری قابلیت بهره برداری از راه دور را دارد. مهاجمی که بتواند از این آسیب پذیری بهره برداری موفق داشته باشد، قادر خواهد بود که نرم افزار اپلیکیشن OPC Server را در سیستم قربانی crash کند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

محققی به نام Ivan Sanchez از شرکت NullCode و Evilcode Team آسیب پذیری چندگانه DLL Hijacking را در اجزای نرم افزاری که شامل محصول FactoryTalk View Studio از شرکت Rockwell Automation شناسایی کرده است. در همین راستا شرکت Rockwell Automation فایل بروز رسانی شده‌ای را به منظور کاهش آسیب پذیری ارائه کرده است. بهره‌برداری موفق از آسیب پذیری های DLL Hijack به مهاجم اجازه می دهد که دسترسی سطح privilege را از سیستم بگیرد. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

حداقل از سال 2016 تاکنون ، نیرو‌های سایبری دولت روسیه، بعدها به عنوان "نیرو‌های امنیت سایبری دولتی" شناخته می‌شدند موسسات دولتی و چندین زیربنای زیربناهای مهم ایالات متحده از جمله انرژی، تاسیسات هسته ای، تجاری، آب، هواپیما و بخش‌های مهم تولید را هدف قرار داده‌اند. تجزیه و تحلیل توسط DHS و FBI، منجر به شناسایی شاخص‌های مشخص و رفتار مربوط به این فعالیت است. توجه داشته باشید، گزارش Dragonfly: بخش انرژی غربی توسط گروه حمله پیچیده که توسط سیمانتک در تاریخ 6 سپتامبر 2017 منتشر شد، اطلاعات بیشتری در مورد این کمپین مداوم ارائه می‌دهد.

Ivan Sanchez از تیم Nullcode آسیب پذیری buffer overflow را در نرم افزار تجهیزات DTM (مدیر تجهیزات) در خط تولید Control Valve Positioner مدل Invensys SRD از شرکت Schneider Electric شناسایی کرده است. در همین راستا شرکت Schneider Electric نسخه جدیدی را از این محصول به منظور کاهش آسیب پذیری گزارش شده ارائه کرده است. مهاجمی که بتواند از این آسیب پذیری بهره برداری موفق داشته باشد قادر خواهد بود که کدهای دلخواه خود را اجرا کند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

محققانی با نام‌های Karsten Sohr، Bernhard Berger و Kai Hillmann از TZI-Bremen و Kim Schlyter، Seyton Bradford و Richard Warren از FortConsult و Stefan Schuhmann آسیب‌پذیری‌هایی را در در اپلیکیشن SPCanywhere شرکت زیمنس شناسایی کرده‌اند. در همین راستا شرکت زیمنس نسخه بروز رسانی شده ای از این محصول را به منظور کاهش آسیب‌پذیری گزارش شده، ارائه کرده است. برخی از این آسیب‌پذیری‌ها قابلیت بهره‌برداری از راه دور را داشته و برخی دیگر نیز قابلیت بهره‌برداری محلی را دارند. مهاجمی که بتواند از این آسیب‌پذیری‌ها بهره‌برداری موفق داشته باشد می تواند اطلاعات سطح دسترسی را بدست آورده و یا تغییر داده، تزریق کد کند و یا اینکه کنترل دسترسی را دور بزند. تاثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

محققان ناشناسی که با شرکت HP’s Zero Day همکاری می کنند آسیب پذیری stack-based buffer overflow را در نرم افزار PROMOTIC محصول شرکت MICROSYS, spol. s r.o. شناسایی کردند. در همین راستا این شرکت نسخه بروز رسانی شده ای را در راستای کاهش آسیب پذیری گزارش شده ارائه کرده است. این آسیب پذیری قابلیت بهره برداری از راه دور را دارد. بهره‌برداری موفق از این آسیب پذیری می تواند منجر به DoS شدن سیستم و یا نشت اطلاعات شود. . تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

شرکت Siemens سه آسیب پذیری را در تجهیزات نظارت و بررسی (SIMATIC HMI) خود شناسایی کرده است. این آسیب پذیری ها توسط تیم Quarkslab و محققی به نام Ilya Karpov از Positive Technologies مستقیما به زیمنس ارائه شده است. شرکت زیمنس فایل بروز رسانی شده ای را به منظور کاهش آسیب پذیری ارائه کرده است. این آسیب پذیری ها قابلیت بهره برداری از راه دور را دارد. مهاجمی که بتواند از این آسیب پذیری ها بهره برداری موفق داشته باشد، می تواند حملات man-in-the-middle ، denial‑of‑ service (DoS) و همچنین تعریف خود (مهاجم) به عنوان کاربر مجاز را پیاده سازی کند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

Johannes Klick، Christian Pfahl، Martin Gebert و Lucas Jacob از تیم SCADACS دانشگاه Freie Universität Berlin آسیب پذیری DoS را در SIMATIC S7-300 CPU شناسایی کرده است. در همین راستا شرکت زیمنس به منظور کاهش آسیب پذیری گزارش شده در حال کار می باشد. لازم به ذکر است که این آسیب پذیری قابلیت بهره براداری از راه دور را دارد. آسیب پذیری به مهاجمان اجازه می دهد که حمله DoS را بر روی شبکه S7-300 CPU و بدون احراز هویت اجرا کنند. حمله در شرایط خاصی قابل اجراست. به منظور استفاده مجدد از تجهیز، نیاز است که سخت افزار تجهیز دوباره راه اندازی شود. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

مرکز بررسی آسیب پذیری های HP اعلام کرده که محققی به نام Ariele Caltabiano آسیب پذیری stack-based buffer overflow را در تجهیزات نظارتی ActiveX مدل SDK Plus شرکت Moxa شناسایی کرده است. در همین راستا شرکت Moxa فایل بروز رسانی شده ای را به منظور کاهش آسیب پذیری ارائه کرده است. این آسیب پذیری قابلیت بهره‌برداری از راه دور را دارد. برداری موفق از این آسیب پذیری به مهاجمان اجازه می دهد که از راه دور کدهای دلخواه خود را در سطح privilege در VPort در حال اجرا، اجرا کنند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

چه تعداد از گروه‌های هکری بر سیستم های ICS تمرکز می‌کنند؟ با توجه به تحقیقات صورت گرفته، در سال 2017 حداقل پنج گروه در این حوزه فعالیت کردند. در حالی که همه ما فکر می‌کنیم بدافزار‌های مخرب در زیرساخت‌های کنترل صنعتی تنها با هدف تخریب یک زیرساخت‌ بوجود آمده‌اند، آنها با انتشار خود مشغول جمع‌اوری اطلاعات و شناسایی اطلاعات اطراف محیط‌های صنعتی هستند. در واقع برخی از گروه‌های هکری که گاها از سمت نهاد‌های حاکمیتی کشور‌های متخاصم تغذیه مالی و اطلاعاتی می‌شوند، توانایی دسترسی به این توان را دارند. در این میان پنچ گروهی که در زیر معرفی می‌شوند بیشترین زمینه را برای فعالیت بر روی زیرساخت‌های صنعتی دارند.

محققی به نام Martin Jartelius از شرکت Outpost24 آسیب پذیری پیمایش دایرکتوری (directory traversal) را در کنترلر وبی XL محصول شرکت Honeywell شناسایی کرده است. در همین راستا شرکت Honeywell فایل بروز رسانی شده ای را به منظور کاهش آسیب پذیری گزارش شده ارائه کرده است. این آسیب پذیری قابلیت بهره برداری از راه دور را دارد. یک مهاجم می تواند با بهره برداری از این آسیب پذیری، لاگین های معتبری را با سطح دسترسی Admin در کنترلر وبی XL شرکت Honeywell ایجاد کند. این لاگین ها به مهاجمان اجازه می دهد سطح دسترسی کامل به سیستم داشته باشند. برنامه XLWEB یک نقطه ورودی به شبکه می باشد که مهاجم می تواند از آن طریق شبکه را مکان یابی کند. . تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

زیمنس SIPROTEC 4، SIPROTEC Compact، DIGSI 4 و ماژول اترنت EN100 تحت تاثیر این آسیب‌پذیری قرار دارند. 

با توجه به این تغییرات که قرار است در سال‌های آتی برای پیام‌رسان غیربومی از جمله تلگرام رخ دهد، در صورت نیاندیشیدن تدبیر مناسب توسط مسئولین ممکن است معایب استفاده از آن نسبت به محاصنش پیشی گرفته و بسیاری از قوانین و سیاست‌های تصویب، اعمال و اجرا شده در کشور را تحت‌الشعاع قرار دهد.

Narvaja و Joaquín Rodríguez از شرکت Core Security به تازگی آسیب پذیری buffer overflow را در محصولات اشنایدر الکتریک گزارش کرده است. این آسیب پذیری در نرم افزار VAMPSET وجود دارد. آنها این آسیب پذیری را مستقیما به اشنایدر گزارش کرده است. شرکت اشنایدر الکتریک فایل بروز رسانی را به منظور کاهش این آسیب پذیری ارائه کرده است.

پیش بینی خسارت ۲ میلیارد دلاری حملات سایبری صنعت نفت جهان در سال ۲۰۱۸ : صنعت نفت و گاز در سال های اخیر با تهدیدهای گسترده سایبری و بسیار فراتر از مانند سرقت اطلاعات و نادیده گرفتن حقوق مالکیت معنوی روبرو شده است.

 شرکت Radiflow در اسرائیل که ارائه دهنده راهکارهای امنیت زیرساخت‌های حساس و حیاتی است، توانسته اولین حمله بدافزاری cryptocurrency را در شبکه OT مربوط به زیرسخت منابع آب کشف کند. یک حمله مخرب Cryptocurrency باعث افزایش مصرف CPU دستگاه و مصرف پهنای باند شبکه می شود و همچنین باعث می‌شود که زمان پاسخ دادن به ابزارهایی که برای نظارت بر تغییرات فیزیکی در شبکه OT نظیر HMI و SCADA استفاده می شود، به شدت تحت تاثیر قرار گیرد. این، به نوبه خود، شاخص کنترل را که یک اپراتور زیرساختی حیاتی بیش از عملیاتش مربوط به آن است را کاهش می دهد و همچنین زمان پاسخ آن را به مشکلات عملیاتی کاهش می‌دهد.

محققی به نام Jürgen Bilbergerاز شرکت Daimler TSS GmbH آسیب پذیری تزریق کد را در نرم افزار IntraVue محصول شرکت Network Vision شناسایی کرده است. در همین راستا شرکت Network Vision نسخه جدیدی از نرم افزار خود را به منظور کاهش آسیب پذیری گزارش شده ارائه کرده است. این آسیب‌پذیری قابلیت بهره برداری از راه دور را دارد. بهره برداری موفق از این آسیب پذیری به مهاجمان اجازه می دهد که از راه دور به عنوان یک کاربر بدون احراز هویت دستورات (در سیستم عامل) دلخواه خود را اجرا کند. اجرای این کدها می تواند محرمانگی، یکپارچگی و دسترسی را در سرورهای آلوده تحت تاثیر قرار دهد. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

شرکت زیمنس دو آسیب پذیری را در SIMATIC STEP 7 (TIA Portal) شناسایی کرده است. در همین راستا شرکت زیمنس فایل پچی را به منظور کاهش این آسیب پذیری ها ارائه کرده است. این آسیب پذیری ها در ابتدا توسط تیم Quarkslab و Dmitry Sklyarov از شرکت PT-Security به شرکت زیمنس ارائه شده است. یکی از این آسیب پذیری ها به مهاجم اجازه می دهد که از راه دور حمله man-in-the-middle را انجام دهد. این مهاجم می تواند داده هایی که بین سیستم و کاربر رد و بدل می شود را ببیند و تغییر دهد. آسیب پذیری دیگر به مهاجم محلی (local) اجازه می دهد که رمز عبور سیستم ها را بازسازی کند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.