حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT)

حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT)

مقدمه

معمولا زیرساخت‌های حساس و حیاتی هر کشور از سیستم‌های کنترل صنعتی و اسکادا برای نظارت دقیق فعالیت‌ها در فرآیند‌ها استفاده می‌کنند. زیرساخت‌هایی مانند نیروگاه‌های انرژی اتمی، تولید و انتقال برق، سدها، خطوط لوله انتقال نفت و گاز و میعانات گازی، کارخانه‌های مهم کشور و همچنین پالایشگاه‌ها که تاثیرات بالایی در اقتصاد، اشتغال و محیط زیست دارند در این تقسیم‌بندی قرار می‌گیرند. بعد از حمله سایبری به سامانه‌ها و زیرساخت‌های سازمان انرژی اتمی‌و همچنین نیروگاه نطنز در تاریخ 22 ژوئن سال 2009 توسط بد‌افزار استاکس‌نت، در حوزه زیر‌ساخت‌های اشتراکی صنعتی و سایبری به منظور امن‌سازی و جلوگیری و تشخیص حملات به این شبکه‌ها فعالیت‌هایی صورت گرفت که با اتکا به آن‌ها امکان غیر فعال کردن بدافزار استاکس‌نت بعد از حدود دو سال فعالیت مخرب فراهم شد. با توجه به این مهم که در حملات صورت گرفته به زیرساخت‌های حساس و حیاتی در تمامی‌کشورها معمولا از تهدیدات هوشمند و پایدار[1]استفاده شده است و البته استاکس‌نت نیز یکی از انواع خطرناک آن‌ها بود. در این مقاله ابتدا حملات پایدار و پیشرفته بررسی خواهد شد و پس از آن چند نمونه از حملات APT معرفی می‌شوند که مخاطبین محترم با قدرت نهفته در این حملات آشنا شوند.

حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی

سیرتکاملی اهداف و پیچیدگی نفوذهای رخ داده در شبکه‌های کامپیوتری چنین راهکارهایی را برای متخصصان حوزه امنیت ناکارآمد ساخته است. نسل جدیدی از تهدیدات، که به درستی تهدیدات پایدار پیشرفته (APT) نام گرفته است، حکایت از وجود مهاجمان سایبری آموزش دیده و خبره با پشتوانه ای قوی دارد که با هدف قرار دادن امنیت اطلاعات بخش‌های دولتی و اقتصادی حساس، حملات چند لایه ای را ترتیب می‌دهند. این افراد با به کارگیری تکنیک‌ها و ابزارهای پیشرفته برای دورزدن مکانیزم‌های دفاعی مرسوم در شبکه، اهداف خود را جامه عمل می‌پوشانند. تکنیک‌های دفاعی که دانش [جمع آوری شده موجود در این حوزه را] را در برابر چنین مهاجمانی به کار می‌بندند، می‌توانند یک چرخه بازخورد اطلاعاتی ایجاد کنند که برتری اطلاعاتی را برای متخصصان امنیت سایبری به ارمغان خواهد آورد؛ چنین برتری از نظر اطلاعات امنیتی احتمال موفقیت مهاجمان و نفوذهای متعاقب و بعدی را کاهش می‌دهد.

یک ‌حمله پیشرفته و پایدار advanced persistent threat (APT) در واقع مجموعه‌ای از فرایندهای دنباله‌دار است که اغلب هدف مشخصی را دنبال می‌کند و البته برای این مهم روش‌های متعددی را در خود جا داده است. این حملات بعد از انتقال، انتشار و اتصال از طریق روال‌های C2 توسط فرد، افراد، گروه و یا یک نهاد خاص با انگیزه‌های خصمانه نسبت به قربانی هدایت می‌شوند. لازم به ذکر است، حملات پیشرفته و پایدار معمولا سازمان‌ها و یا کشور‌ها را به دلایل تجاری و یا سیاسی مورد هدف قرار می‌دهد. فرایندهای حمله پیشرفته و پایدار به سطح بالایی از استتار و پوشش برای یک دوره زمانی طولانی نیازمند است. این فرایند این طور عمل می‌کند که یک سیستم فرمان و کنترل بیرونی به طور مداوم یک هدف خاص را مانیتور کرده و داده‌های آن را استخراج می‌کند. البته این امکان نیز وجود دارد که این حملات نیاز به برقراری ارتباط را در کد‌های خود برطرف کنند و در برابر هر نوع رفتار، کد متناظر برای واکنش را داشته باشند.

1-1- استاکس‌نت اولین سلاح سایبری مبتنی بر حملات پایدار و پیشرفته

استاکس‌نت یک بدافزار پیچیده می‌باشد که در جهت آسیب‌رسانی به سیستم اسکادا زیمنس طراحی شده است. این بدافزار که در تقسیم‌بندی حملات پایدار و پیشرفته قرار می‌گیرد، از چهار آسیب‌پذیری بی‌سابقه روز صفر استفاده می‌کند، همچنین این بدافزار از تکنیک‌های Rootkit پیشرفته برای مخفی کردن خودش از کاربران و نرم‌افزار‌های ضد‌‌ بدافزار در سیستم‌عامل‌های ماکروسافت و کامپیوتر‌های کنترل کننده‌ای که مقصد آن است، استفاده می‌کند. آن دو گواهی دیجیتال دزدیده شده را برای ثبت نام در درایور‌ها به کار می‌گیرد و سازندگان آن نیاز به یک مقدار زیادی از دانش سیستم‌های هدف دارند. در شکل زیر یک بررسی کلی از استاکس‌نت را می‌توانید ببینید.

1-1-1- سناریوی حمله به زیرساخت‌‌های انرژی اتمی‌ کشور

سیستم‌های کنترل صنعتی (ICS) توسط کنترل کننده‌های منطقی برنامه پذیر که کدهای برنامه کنترل کننده بر روی آن‌ها اجرا می‌شود اداره می‌شود. این PLC ها اغلب توسط کامپیوترهایی که سیستم‌عامل آنها مبتنی بر ماکروسافت است، برنامه‌ریزی می‌شوند. برای حمله به این سیستم‌ها ابتدا مهاجمان نیاز دارند تا روش‌های اتصال را شناسایی کنند. همان‌گونه که هر کنترل کننده به یک طریق منحصر به فرد پیکربندی می‌شود، مهاجمان در ابتدای کار نیاز به طرح کلی سیستم‌های کنترل صنعتی دارند. این اسناد طراحی ممکن است که توسط یک عامل داخلی سرقت شده باشد یا اینکه بوسیله بازیابی یک ورژن قدیمی‌از استاکس و یا کدهای باینری خرابکارانه این نقشه‌ها را بدست آورده باشند و یا رسانه‌های داخلی ناخواسته اقدام به انتشار آنها از طریق گزارش بازدید‌های صورت گرفته در تلویزین ملی نموده باشند. هنگامی‌که مهاجمان مدارک مربوط به طراحی و همچنین توانایی آگاهی از یک محیط صنعتی در یک کارخانه را داشته باشند آن‌ها توانستند آخرین ورژن استاکس‌نت را در آن‌جا گسترش دهند. هر ویژگی استاکس‌نت برای یک هدف خاص پیاده‌سازی شده و هدف نهایی توانایی تخریب سیستم‌های کنترل صنعتی زیرساخت‌های انرژی اتمی‌کشور بوده است.

مهاجمان به منظور تست کدهای برنامه خود نیازمند نصب یک محیط آزمایشی (مشابه با زیر ساخت­های هسته­ای نطنز ایران) که شامل ملزومات سخت‌افزاری ICS از قبیل کنترل کنند­ها، ماژول‌ها و وسایل جانبی است، بودند. به علاوه کدهای باینری خرابکارانه بد افزار شامل فایل‌های راه‌انداز هستند که نیاز به امضاء دیجیتالی برای دوری کردن از سوءظن دارند. برای این منظور مهاجمان دو گواهی دیجیتالی را جعل کردند. مهاجمان نیازمند بدست آوردن گواهی دیجیتال برای معتبر نشان دادن برنامه بد فزار خود از دید محصولات امنیتی سیستم مورد حمله بودند و که این امضاءها توسط شخصی که ممکن است به صورت فیزیکی وارد شرکت شده است و دو امضای دیجیتالی را سرقت کرده است انجام گرفته باشد. این احتمال از آنجا قوت می‌گیرد که دو شرکت از نظر فیزیکی در مجاورت یکدیگر قرار گرفته‌اند.

هنگامی‌که استاکس‌نت یک کامپیوتر را آلوده می‌کند بخش مدیریت آن شروع به جستجو در مورد Field PG ها می­کند، که نوعی برنامه­ی قابل نصب بر روی ویندوز هستند و برای برنامه‌نویسی کنترل کننده­ها مورد استفاده قرار می‌گیرند. هنگامی‌که بیشتر این کامپیوترها شبکه نیستند استاکس‌نت ممکن است ابتدا سعی کند تا از طریق کامپیوترهای دیگر در LAN با استفاده از آسیب‌پذیری‌های روز صفر انتشار یابد و همچنین پروژه STEP7 را آلوده کند و نیز از طریق حافظه قابل حمل (فلش) گسترش پیدا کند. انتشار درون یک LAN به عنوان مرحله اول و انتشار از طریق درایوهای قابل حمل (فلش) به‌عنوان وسیله‌ای برای پوشش آخرین حربه برای نفوذ به یک Field PG که هرگز به یک شبکه نامطمئن وصل نمی‌شود باشد. در حالی که مهاجمان می‌توانند استاکس‌نت را از طریق یک سرور فرمان و کنترل یا کامپیوتر کلیدی همچنان که قبلاً ذکر شد کنترل کنند اما ممکن است که کامپیوتر اصلی برای دسترسی به خارج از شبکه به اینترنت متصل نباشد، بنابراین تمام قابلیت‌های مورد نیاز برای خرابکاری یک سیستم به طور مستقیم در استاکس‌نت جاسازی شده است.

هنگامی‌استاکس‌نت بالاخره یک کامپیوتر مناسب که روی آن نرم‌افزار STEP7 در حال اجرا باشد پیدا کند، کد PLC را تغییر می‌‌‌دهد. این تغییرات به سیستم صدمه وارد می‌کند که یک هدف بسیار با ارزش با توجه به منابع بزرگ سرمایه گذاری در ایجاد استاکس‌نت تلقی می‌شود.

1-1-1- عملیات استاکس‌نت در زیرساخت‌های هسته‌ای

مسئله‌‌ای که استاکس‌نت را از دیگر نرم‌افزار‌های مخرب در حال اجرا متمایز می‌سازد این است که سازندگان آن توانایی‌های بسیاری را داخل آن ترکیب نموده‌اند. این درجه از سوء‌استفاده متعدد از آسیب‌پذیری‌های روز صفر، تغییرات در کتابخانه سیستم، حمله و تغییر در کدهایStep7 و اجرای یک RPC سرور به منظور نصب درایور‌های ثبت نام روی سیستم‌عامل ویندوز بسیار شگفت‌انگیز بود. شکل زیر یک بررسی اجمالی از مولفه‌های متعددی که در بدافزار ارائه شده است را نشان می‌دهد. استاکس‌نت با بردار‌های متعددی گسترش می‌یابد که بدون شک انتخاب شده‌اند تا در نهایت مجوز آلوده کردن PLC‌هایی که هدف آن‌ها هستند را بگیرند. این بدافزار توانایی انجام به روز رسانی خودکار را نیز داشت که همی‌توانست خودش را به ورژن جدید روی شبکه محلی آپدیت کند. آن با دستورات و کنترل‌های سرور ارتباط برقرار می‌کند تا اطلاعاتی را برای سازندگانش فراهم و منتشر کند و همچنین راه دیگری را برای آپدیت آن فراهم کنند. این بدافزار حضور خودش و منابع اثرات مخربش را از پرسنل نیروگاه پنهان می‌کند که ممکن است کاملا بی اطلاع باشند که این بدافزار علت مشکلات ناشناخته می‌باشد.

1-1-2- راه‌های انتشار استاکس‌نت

استاکس‌نت به راحتی گسترش می‌یابد اما همچنین دارای تدابیر حفاظتی برای محدود کردن انتشار خودش می‌باشد. آن فقط سه کامپیوتر را از طریق یک دارایو فلش آلوده کرد و بعد از 24 ژوئن سال 2012 انتشار خودش را متوقف کرد. همانطور که در شکل زیر مشاهده می‌کنید استاکس‌نت برای انتشار خودش چندین روش را به کار می‌گیرد.

  • با استفاده از درایو فلش USB
  • انتشار با استفاده از WinCC
  • با استفاده از شبکه‌های به اشتراک گذاشته شده
  • با استفاده از آسیب‌پذیری روز صفر MS10-061 Print Spooler
  • با استفاده از آسیب‌پذیری MS08-067 SMB
  • با استفاده از پروژه‌های Step7

1-1-1- روش‌های مورد استفاده توسط استاکس‌نت

دو روش توسط استاکس‌نت برای آسیب‌رساندن به سانترفیوژ‌ها مورد استفاده قرار گرفته است. روش اول سانترفیوژ‌ها تحت فشار قرار می‌گرفتند و در روش دوم بالا‌بردن سرعت سانترفیوژ به عنوان فاز حمله پیاده‌سازی می‌شد. به منظور ایجاد یک فرآیند صنعت اتمی‌یا نیروگاه هسته‌ای، ایزوتوپ U235 مورد نیاز است. سنگ معدن اورانیم از زمین برداشته شده و به منظور ایجاد اکسید اورانیوم مورد پردازش قرار می‌گیرد. این اکسید شامل دو اورانیوم ایزوتوپ U235 و U238 می‌باشد. از آن‌جایی که اکسید اورانیوم شامل 99%U238 و فقط حدود 1% U235 می‌باشد، یک سانترفیوژ به صورت جداگانه از 2 ایزوتوپ استفاده می‌کند. یکی از اجزای اصلی غنی‌سازی اورانیوم ایران، سانترفیوژ IR-1 می‌باشد. این طراحی از آن‌جایی که در اواخر دهه‌ی شصت طراحی شده و توسط A.Q پاکستان دزدیده شده، غیر قابل اعتماد و ناکارامد است و ایران یک سیستم حفاظت آبشاری طراحی کرده است. این سیستم از دریچه‌هایی تشکیل شده است که وقتی بسته می‌شوند، سانترفیوز را منزوی می‌کنند. هنگامی‌که سانترفیوژ‌های متعدد خاموش شوند، فشار گاز UF6 افزایش یافته و باعث خسارات دائمی‌می‌شود. این هدف اولین روش حمله است. روش حمله دوم، سرعت روتور‌های سانترفیوژ‌ها را افزایش می‌دهد. استاکس‌نت، سانترفیوژ را از سرعت عملیات طبیعی از 63.000 دور در دقیقه (rpm) به 84.600 دور در دقیقه می‌برد. این فرایند به طور بحرانی می‌تواند به سانترفیوژ‌ها آسیب برساند. استاکس‌نت از لحاظ فنی به عنوان یک حمله‌ای پایدار و پیشرفته دسته بندی شده است. استاکس‌نت با استفاده از یکی از حالات انتشار به یک سیستم کامپیوتری هدف وارد شده و از یک گواهی امنیتی به سرقت رفته شده از Realtek برای فرار از تشخیص توسط نرم‌افزار آنتی بدافزار استفاده می‌کند. استاکس‌نت این کار را با نصب یک درایور جدید روی سیستم به انجام ‌می‌رساند. استاکس‌نت خود را با سوء‌استفاده از آسیب‌پذیری‌های امنیتی سرور منتشر می‌کند. این آسیب‌پذیری‌ها شامل ارتباطات و به روز رسانی‌های نظیر به نظیر، ماشین‌های WinCC آلوده، انتشار از طریق شبکه‌های به اشتراک گذاشته شده، بهره‌برداری از Ms10-061 چاپ اسپولر آسیب‌پذیری روز صفر و آسیب‌پذیری خدمات سرور ویندوز MS08-067 می‌باشد. آن همچنین یک فایل .dll به فرایند قابل اعتماد از هر نرم‌افزار آنتی بدافزار که بر روی ماشین نصب شده است، تزریق می‌کند. این امر به استاکس‌نت اجازه می‌دهد که تقریبا از آنتی‌بدافزار‌هایی که به طور معمول فایل‌های برنامه خودشان را بررسی نمی‌کنند، غیر قابل تشخیص باشد. هنگامی‌که استاکس‌نت در حال آلوده کردن یک کامپیوتر می‌باشد، بررسی می‌کند تا ببیند که آیا ماشین شامل نرم‌افزار سیستم کنترل صنعتی ساخته شده توسط زیمنس است یا خیر؟ اگر کامپیوتر نرم‌افزار مناسب (زیمنس) را نداشته باشد، در نتیجه استاکس‌نت هیچ‌کاری نمی‌کند و نهفته باقی می‌ماند. اگر کامپیوتر دارای نرم‌افزار مناسب باشد، در نتیجه آنتی بدافزار تلاش می‌کند تا خودش را از طریق اینترنت به روز رسانی کند. فاز بعدی حمله استاکس‌نت، به خطر انداختن کنترل‌کننده‌های منطقی سیستم است. استاکس‌نت این کار را با بهره‌گیری از آسیب‌پذیری‌های روز صفر انجام می‌دهد. این نوع از حمله از آسیب‌پذیری‌هایی استفاده می‌کند که برای ایجاد کنندگان نرم‌افزار نیز ناشناخته می‌باشد و سیستم را در معرض خطر قرار می‌دهد. یک آسیب‌پذیری که مورد سوء‌استفاده قرار گرفته، MS10-061 نامیده شده است. این نام شرکت مایکروسافت برای آسیب‌پذیری Print Spooler می‌باشد. استاکس‌نت از آسیب‌پذیری‌ها استفاده می‌کند تا یک فایل را در فولدر %system% بنویسد. استاکس‌نت خود را یکبار به عنوان %system% یا winsta.exe و سپس یکبار خود را داخل کامپیوتر تغییر می‌دهد و شروع به اجرای خودش می‌کند. یکی از راه‌ها برای اینکه ببینیم که آیا استاکس در حال آلوده کردن سیستم ما می‌باشد یا خیر، بررسی اندازه Winsta.exe می‌باشد. آن به صورت غیر طبیعی رشد خواهد کرد چرا که ممکن است شامل نسخه‌های متعددی از استاکس‌نت باشد. آسیب‌پذیری دیگری که استاکس‌نت تلاش خواهد کرد که از آن استفاده کند، MS08-067 می‌باشد. این آسیب‌پذیری می‌تواند به اجرای کد از راه دور از طریق یک سرویس سرور مجوز دهد. استاکس‌نت کنترل کننده‌های منطقی شناخته شده مانند SCADA را با استفاده از یک حمله مرد میانی آلوده می‌کند. این نوع از حمله زمانی که بین دو سیستم کامپیوتری قرار می‌گیرد، اتفاق می‌افتد. حمله کننده می‌تواند داده‌هایی که ارسال می‌شود را تغییر و وارد کند. یک ویندوز کامپیوتر شخصی باید به یک کنترل کننده منطقی به منظور آپلود دستورات جدید، وصل شود. بعد از اینکه تکنسین سیستم دستورات را آپلود کرد، استاکس‌نت آن‌ها را شناسایی کرده و سپس به عوض آن دستورات مخرب را ارسال می‌کند. استاکس‌نت به تکنیسن گزارش می‌دهد که دستورالعمل‌های مناسب با موفقیت آپلود شدند اما در حقیقت دستورات مخرب به جای آن لود شدند. حالا که استاکس‌نت کنترل کننده‌های منطقی را آلوده کرد، آن شروع به خرابکاری بر روی سیستم می‌کند. آن اطلاعات کافی را جمع‌آوری می‌کند تا فشار بر روی سانترفیوژ‌ها را افزایش دهد و چرخش روتور‌های سانترفیوژ را بالا ببرد. در حالی که همه‌ی این‌ها در جریان است، استاکس‌نت یک بازخورد غلطی را برای تکنسین کامپیوتر فراهم می‌کند، با ایجاد این توهم که همه چیز خوب است. از آن‌جایی که استاکس‌نت می‌تواند از آنتی بدافزار فرار کند و می‌تواند از طریق درایو‌های فلش USB انتقال یابد، چطور می‌توانیم از یک حمله استاکس‌نت جلوگیری کنیم؟ راه‌های مختلفی برای انجام این کار وجود دارد. هیچ روشی به تنهایی نمی‌تواند از این حمله جلوگیری کند اما وقتی که آن‌ها با هم اداره می‌شوند، می‌توانند کمک کنند تا از وقوع یک نوع حمله استاکس‌نت جلوگیری شود.

1-1- دوکو و حملات پایدار و پیشرفته

این بدافزار برای اولین بار در تاریخ 14 اکتبر 2011 در سازمانی در مجارستان مشاهده گردید و در مدت زمان کوتاهی در دیگر سازمان‌های اروپایی انواع دیگری از این بدافزار مشاهده شد. بر اساس نظر سیمانتک این بدافزار از Dec 2010 فعالیت داشته‌است. این بدافزار از گواهینامه متعلق به شرکت C-Media که تا آگوست 2012 اعتبار داشته، جهت نصب درایور خود استفاده کرده است. درایورهای استاکس‌نت با امضاهای دیجیتالی به سرقت رفته از دو شرکت تایوانی RealTek و JMicron تائید شده بودند و یکی از درایورهای دوکو با امضاهای دیجیتالی به سرقت رفته از شرکت تایوانی C-Media تائید شده‌است. بر طبق بررسی‌های صورت گرفته این بدافزار توسط نویسندگان بدافزار استاکس‌نت یا افرادی که کد منبع آن را در اختیار داشته‌اند تولید گردیده و به با توجه به تاریخ کامپایل دو نمونه یافت شده از این بدافزار، احتمالا این بدافزار پس از آخرین نمونه بدافزار استاکس‌نت تولید شده است.

بر اساس تحقیقات، ظاهرا این بدافزار تعداد محدود و مشخصی از سازمان‌ها را جهت ارزیابی و جاسوسی اطلاعات خاص هدف قرار داده است. Dave Marcus، رئیس آزمایشگاه‌های ارتباطات و تحقیقات شرکت مکافی، هدف این بدافزار را حمله به سیستم‌های CA و در ادامه تولید گواهینامه جهت حمله‌های بعدی اعلام کرده است. همچنین وی شباهت‌های بسیار زیاد بین دوکو و استاکس‌نت را دلیل محکمی‌مبنی بر ارتباط بین آن دو می‌داند. مشابه استاکس‌نت، بدافزار دوکو نیز توسط سرور کنترل و فرمان (Command & Control) پشتیبانی می‌شود. توسط این سرور، مهاجمان قادر به دریافت داده‌های سیستم‌ها و نیز نصب دیگر برنامه‌ها جهت جمع‌آوری داده‌های مورد نظر خود می‌باشند.

1-1-1- نمونه­های مشاهده شده

تا کنون چندین نمونه از این بدافزار با اسامی‌و checksums متفاوتی مشاهده شده است، اما بر اساس گفته­های یکی از کارشناسان آزمایشگاه کسپراسکی حداقل 14 درایور متفاوت از این بدافزار موجود می­باشد. وی همچنین مشاهده پنج نمونه از درایورهای Duqu را در ایران تایید کرده است. در پایین مشخصات نمونه‌های مشاهده شده از این بدافزار ارایه شده است:

نمونه اول بدافزار دوکو‌‌ پس از مدت زمان 36 روز و نمونه دوم پس از 30 روز خود را از روی سیستم حذف می­کند. این احتمال وجود دارد که بدافزار پس از نصب keylogger یا برنامه مورد نظر خود روی سیستم، خود را از سیستم حذف کند. به صورت پیش­فرض بدافزار خود را به صورتی پیکربندی می­کند که بعد از 30 روز پاک شود ولی دوکو‌‌ قادر به دانلود فایل­هایی جهت تغییر زمان فعالیت خود در سیستم بوده و نهایتا زمانیکه بدافزار شناسایی شده یا قابلیت کنترل سیستم­های آلوده شده را نداشته باشد(برای مثال زمانیکه سرور C&C خاموش شود) بدافزار به صورت اتوماتیک خود را از روی سیستم حذف می­کند. بدافزار دوکو‌‌ مشابه استاکس‌نت از اجزاء زیر تشکیل شده است:

  • Installer که هنوز کشف نشده است(جهت نصب درایور)
  • فایل Driver
  • DLL اصلی
  • فایل پیکربندی
  • سایر ماژول‌ها

1-1- معرفی بدافزار Dragonfly

شرکت «سیمانتک» یکی از معتبر‌ترین و سابقه‌دار‌ترین شرکت‌های فعال در عرصه امنیت سایبری، سال گذشته اعلام کرده ‌بدافزاری را کشف کرده که با نفوذ در بیش از ۱۰۰۰ واحد نیروگاهی تأمین انرژی در سرتاسر اروپا و ایالات متحده، سیستم‌های کنترل کننده این واحد‌ها را در اختیار هکر‌ها می‌گذارده است. سیمانتک که این ویروس را کشف کرده، ‌نام آن را Energetic Bear گذاشته است. سیمانتک یادآور شده است، این بد افزار به هکرها امکان رصد میزان مصرف انرژی را به شکل Real-Time می‌دهد ‌و توان از کار انداختن سیستم‌های فیزیکی همچون توربین‌های بادی، خطوط لوله انتقال گاز و واحد‌‌های نیروگاهی را تنها با یک کلیک ماوس‌ فراهم می‌کند.

گروه هکرهای مسئول این عملیات که سیمانتک آن‌ها را با نام Dragonfly می‌شناسد، موفق به کشف و نفوذ در برخی از سازمان‌های استراتژیک در راستای امور جاسوسی شده‌اند و چنانچه از توان تخریبی خود استفاده می‌کردند، می‌توانستند در سراسر نیروگاه‌های آلوده اقدام به وارد کردن آسیب‌های جدی و قطع شریان انرژی کنند. گفته می‌شود، این حمله سایبری که در هجده ماه صورت گرفته‌، بیش از هزار سازمان و واحد نیروگاهی را در ۸۴ کشور ‌هدف قرار داده است. در میان هزاران هدف Dragonfly، اپراتورهای شبکه انتقال انرژی، واحد‌های تولید برق، اپراتورهای خطوط لوله انتقال نفت و گاز تولید کنندگان تجهیزات صنایع تولید انرژی دیده می‌شوند. همچنین بخش عظیمی‌از هدف‌ها در کشورهای ایالات متحده، اسپانیا، فرانسه، ایتالیا، آلمان، ترکیه و لهستان قرار داشته‌اند. شکل زیر کشورهای تحت حمله Dragonfly را نشان می­دهد.

 

آن گونه که مشخص است، این حمله با نفوذ به سیستم‌های کنترل صنعتی تولید‌کنندگان این گونه تجهیزات برای واحد‌های نیروگاهی و از طریق آلوده کردن نرم‌افزارهای آن‌ها در یک بروز رسانی، به یک گونه از تروجان Remote Access صورت گرفته است. گفتنی است، گروه Dragonfly که با نام Energetic Bear شناخته می‌شوند، این عملیات را از سال ۲۰۱۱ آغاز کرده و از آن زمان تا کنون فعالیت داشته‌اند. این گروه پیش از این نیز حملات سایبری گسترده و پیچیده‌ای ‌علیه نهادهای دفاعی و هوا‌نوردی در اروپا و آمریکا صورت داده است.

سیمانتک بر این باور است، ‌این گروه که از تکنیک‌های فوق پیشرفته برای حمله سایبری و هک استفاده می‌کنند، علایم و شاخصه‌های یک گروه دولتی را دارا هستند. به گفته سیمانتک، تجزیه و تحلیل رد پای فعالیت این بد افزار حاکی از آن است که گروه Dragonfly در روزهای دوشنبه تا جمعه فعال بوده ‌و ساعات فعالیت آن‌ها در این روز‌ها نیز یک بازه زمانی ۹ ساعته از ساعت ۹ صبح تا ۶ بعد از ظهر بوده است Time Zone گروه نیز دقیقا UTC 4+ بوده است. بر پایه این اطلاعات، سیمانتک بر این باور است که مقر این گروه جایی در اروپای شرقی است.
این‌ها همه در حالی است که «استوارت پی راب» افسر ارشد سابق MI6 پیش از این به فایننشیال تایمز گفته ‌که یک چنین عملیات‌ پیچیده و گسترده در این سطح، تنها برای به دست آوردن اطلاعات و داده‌های استراتژیک و تنها به دستور و حمایت دولت‌ها می‌تواند صورت پذیرد.

1-1- معرفی بد افزار Havex

محققان امنیتی بدافزار جدیدی شبیه به استاکس‌نت را کشف‌ کرده‌اند که Havex نام دارد، و در برخی از حملات سایبری علیه زیر‌ساخت‌های انرژی اروپا مورد استفاده قرار گرفته است. همانند ویروس استاکس‌نت، که به صورت ویژه برای حمله به سامانه‌های کنترل صنعتی و نرم‌افزار‌های اسکادا در تاسیسات هسته‌ای کشور عزیزمان ایران توسعه پیدا کرده بود، بدافزار Havex نیز به نحوی طراحی شده است که نرم‌افزار‌های اسکادا و سامانه‌های کنترل صنعتی از جمله منابع انرژی سازمان­ها و کارخانه­های صنعتی، سدهای آب به منظور تولید برق، سایت نیروگاه‌های هسته‌ای و حتی حمله به تاسیسات برق یک کشور تنها با یک کلید را دارا است را هدف قرار دهد. علاوه براین این بدافزار از کمپانی­های اروپایی جاسسوسی می­کرده و توانسته است بیش از ۱۰۰۰ شرکت انرژی در اروپا و آمریکای شمالی را در معرض خطر قرار دهد. محققان فنلاندی شرکت امنیتی F-Secure، اولین بار این بدافزار را با نام Backdoor:۳۲/Havex.A شناسایی کرده‌اند. بدافزار مذکور به صورت یک تروجان با دسترسی از راه دور یا RAT عمل می‌کند و به ‌تازگی اقداماتی در به ‌کارگیری مولفه‌های جاسوسی علیه برخی شرکت‌های اروپایی که استفاده کننده یا تولید کننده ماشن‌آلات و نرم‌ افزار‌های هستند، توسط این بدافزار مشاهده شده است. مهاجمین از سه شیوه‌ی مهم برای آلوده‌ کردن قربانیان استفاده کرده‌اند که دو روش اول نسبتاً مرسوم و روش سوم بسیار خلاقانه است:

  • سوء‌استفاده از آسیب‌پذیری‌های موجود در ماشین‌آلات و نرم‌افزار‌های قربانیان
  • ارسال هرزنامه‌های همراه با بدافزار
  • نفوذ به سایت‌های منتشر‌ کننده‌ی نرم‌افزار‌ها و فریم ‌افزار‌های کنترل صنعتی و اسکادا و انتظار برای قربانیانی که نسخه‌های آلوده از نرم‌افزار‌ها را از سایت بارگیری نمایند

در روش سوم سایت‌هایی که مانند promotic.eu مورد نفوذ قرار گرفته است، پس از این‌ که قربانیان نسخه‌های فریم‌افزار و نرم‌افزار آلوده به ‌بدافزار را دریافت می‌کنند، پرونده‌ای به نام mbcheck.dll که درواقع بدافزار Havex است در سامانه قربانی بارگیری می‌شود و یک درب پشتی برای مهاجمین باز می‌کند. سپس سرور کنترل فرمان با ارسال دستور‌هایی، منجر به بارگیری سایر مولفه‌های بدافزار خواهد شد. F-secure نام شرکت‌ها و تاسیسات آلوده را منتشر نکرده است، اما گزارش داده است که ۲ تولیدکننده‌ی ماشین‌آلات و ۲ موسسه‌ی آموزشی در فرانسه، و هم‌چنین برخی شرکت‌های آلمانی مورد هدف این حملات قرار گرفته‌اند. پرونده‌هایی از این بدافزار که توسط آزمایشگاه F_Secure بررسی شده‌اند دارای کدهای درهم SHA-1 به صورت زیر هستند:

  • 7f249736efc0c31c44e96fb72c1efcc028857ac7
  • 1c90ecf995a70af8f1d15e9c355b075b4800b4de
  • db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
  • efe9462bfa3564fe031b5ff0f2e4f8db8ef2288

مهاجمان، برنامه­های installer قانونی را برای اضافه و اجرا کردن فایلهای اضافی در کامپیوتر تغییر می‌دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex می­باشد. این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل­های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته­اند، و نشان می­دهد کسانی که در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمان‌هایی که از برنامه­های کاربردی ICS و SCADA استفاده می­کنند، شده­اند. نتیجه اینکه برنامه مخرب Havex جدید با هدف اسکن شبکه‌های محلی برای دستگاه­هایی که به درخواست OPC (Open Platform Communications) پاسخ می­دهند به وجود آمده­اند. OPCپروتکل برقراری ارتباط در شبکه‌های صنعتی است. سیستم­های ویندوزی Supervisory Control and Data Acquisition و دیگر سیستم­های کنترل صنعتی از طریق این پروتکل با یکدیگر ارتباط برقرار می­کنند.OPC یکی از پروتکل­های رایج میان سیستم­های کنترل صنعتی است. سیستم­های Industrial Control Systems و SCADA به وسیله نرم افزار OPC client با OPC server تعامل مستقیم دارند. این سیستم‌ها برای کنترل سخت‌افزارهای صنعتی با یک Programmable Logic Controller به صورت سری وصل شده­اند. پس از نفوذ Havex به شبکه، بدافزار تابع rundllرا فراخوانی می­کند و سپس سرورهای OPC در شبکه SCADA را اسکن می­کند.

برای شناسایی سرور OPC هدف، ماژول OPC scanner از تابع­های Windows Networking مانند WNetOpenEnum و WNetEnumResourcesاستفاده می­کند. این بدافزار اطلاعات سیستم و داده‌های ذخیره شده در کلاینت یا سرور را جمع آوری می‌کند. هم چنین تمامی‌ارتباط ها و منابع شبکه را نیز شناسایی می‌کند. سپس اطلاعات به دست آمده را به سرور C&C برای تجزیه و تحلیل می‌فرستد. واضح است که از این بدافزار برای جمع آوری اطلاعات برای حملات آینده استفاده می­شود.

1-2- بلک انرژی

در 23 دسامبر 2015 بیش از نیمی‌از خانه‌های منطقه lvano-Frankivsk در اکراین (با جمعیتی حدود 1.4 میلیون نفر) برای چند ساعت برقشان قطع شد. علت اصلی این قطع برق حملات هکری با استفاده از جاسوسی سایبری بوده است. این جاسوسی سایبری توسط یک بدافزار جدید که توانایی خرابکاری در سیستم‌های کنترل صنعتی اسکادا را دارد، صورت گرفته است. با توجه به تحقیقات شرکت امنیتی ESET این حمله یک حمله سایبری بوده است که به صورت جداگانه از سایر حملات بر روی فیلدهای صنعتی برق در اکراین واقع شده است. با توجه به گزارشات ESET این تنها حمله سایبری نبوده است و دیگر شرکت‌های انرژی در همین زمان مورد حمله سایبری قرار گرفتند. علاوه بر این، متخصصان امنیتی دریافتند که این حملات از یک خانواده بدافزار با عنوان BlackEnergy استفاده کرده‌اند. در این حملات بدافزار BlackEnergy از درب‌پشتی خود، مؤلفه KillDisk برای Unbootable کردن کامپیوترهای هدف استفاده می‌کند.

در حملات سایبری اخیر، KillDisk تغییر یافته و با تمرکز بر روی سیستم‌های کنترل اسکادا، با استفاده از کدهایی که سیستم مدیریت را تحت تاثیر قرار می‌دهند سیستم را کاملا از سرویس دهی خارج می‌کند. با توجه به تحلیل ESET بد افزار Kill Disk در بسیاری از شرکت‌های برق و رسانه‌های خبری اکراین وجود دارد. در حملات اخیر به شرکت‌های توزیع برق در اکراین، یک تروجان مخرب KillDisk بر روی سیستم‌هایی که قبل توسط BlackEnergy آلوده شده بودند، دانلود و اجرا شده است. خانواده بد افزار BlackEnergy یک پلاگین مخرب در 2014 داشته است، با این حال، برخلاف گونه­های مختلف KillDisk که اخیرا در حملات شرکت‌های رسانه­ای و صنعت توزیع برق اکراین مورد استفاده قرار گرفته است، پلاگین به عنوان یک مؤلفه خود نابودگر گسترش می‌یابد و کسی از اهداف آن مطلع نیست.

راهکاری برای روبرو‌شدن با تهدیدات پایدار و پیشرفته

دفاع هوشمند در شبکه‌های کامپیوتری یک استراتژی مدیریت ریسک است که با ترکیبی از تحلیل توانایی و قابلیت‌ها، اهداف، اصول و محدودیت‌ها و همچنین تحلیل اقدامات مهاجمان سایبری مؤلفه تهدید از مؤلفه‌های ریسک را پوشش می‌دهد. قطعاً فرآیند مذکور، فرآیندی مداوم است که از شاخص‌ها (نشانه‌های حمله) برای کشف فعالیت‌های جدید و آتی مهاجمان و یا حملات APT بهره می‌برد. این مسئله نیازمند درک نوینی از خود واژه" نفوذ" است که نباید به عنوان رخدادهای منحصر به فرد، بلکه به عنوان فرآیند چندفازی یا چندگامی‌به آن نگاه کرد. در مدل Kill Chain نفوذها قابل تحلیل و اقدامات متقابل در برابر حملات را جهت دهی می‌کند. عاملان APT‌هایی مانند: استاکس‌نت، دوکو، دراگون‌فلای، هوکس و بلک انرژی، با تنظیم اقدامات خود بر مبنای موفقیت یا عدم موفقیت تلاش‌های [قبلی]، پس از انجام یک نفوذ، اقدام به نفوذهای دیگری می‌کنند. در یک Kill Chain، تنها یک اقدام دفاعی کافی است تا زنجیره قطع و هدف مهاجم خنثی شود، بنابراین مدافعان شبکه باید راهکارهای دفاعی را برای هر توالی و مرحله از نفوذ را شناسایی و اعمال کنند. درصورتی که مدافعان شبکه راهکارهای مقابله را سریعتر از اقدامات خرابکارانه مهاجمان پیاده سازی کنند، هزینه رسیدن به هدف را برای مهاجم افزایش خواهد داد. این مدل نشان می‌دهد، برخلاف باور رایج، مهاجمان هیچ برتری ذاتی بر مدافعان ندارند.

1-1- تعریف نشانه‌های نفوذ

یکی از عنصر اطلاعاتی اساسی در این مدل، نشانه یا شاخص است. هر نشانه به عنوان بخشی از اطلاعات است که یک نفوذ را توصیف می‌کند. نشانه‌های نفوذ را می‌توان به سه نوع تقسیم بندی کرد.

اتمیک[2]: نشانه‌های اتمیک آن دسته از نشانه‌هایی هستند که نمی‌توان آن ها را به بخش‌های کوچکتر تقسیم کرد و به بیانی دیگر خود نفوذ را معنی می‌دهند. نمونه‌هایی متعارف از اینگونه نشانه‌ها، شناسه‌های آسیب‌پذیری، آدرس ایمیل و آدرس IP است.

محاسبه شده: نشانه‌های محاسبه شده، نشانه‌هایی هستند که از داده‌های درگیر در یک نفوذ برگرفته می‌شوند. نشانه‌های محاسبه شده متداول شامل مقادیر Hash و عبارات با قاعده است.

رفتاری[3]: شاخص‌های رفتاری مجموعه‌ای از شاخص‌های اتمیک و محاسبه شده هستند که اغلب در منطق ترکیبی مورد استفاده قرار می‌گیرند. مثالی از این نوع شاخص می‌تواند عبارت زیر باشد:

تحلیلگران حوزه امنیت، با استفاده از مفاهیم موجود در این راهکار و همچنین از طریق تحلیل یا همکاری این نشانه‌ها را مشخص می‌کنند، و به واسطه بکارگیری آن در ابزارهای خود آنها را به بلوغ رسانده و سپس هنگامی‌که فعالیت مخربی با آنها تطبیق یافت، از این نشانه‌ها بهره می‌برند. هنگامی‌که فعالیت مذکور مورد بررسی قرار می‌گیرد، اغلب نشانه‌های بیشتری را نتیجه خواهد داد که هدف مجموعه اقدامات یکسانی قرار خواهد گرفت؛ به بیان دیگر این نشانه ها می‌توانند برای مجموعه‌ای از فعالیت‌ها یکسان باشند. چرخه این اقدامات و نشانه‌های متناظر آن‌ها، چرخه حیاتی به نام چرخه حیات نشانه را شکل می‌دهد که در شکل زیر قابل مشاهده است. چرخه مذکور، بدون هیچ تفاوتی برای همه نشانه ها صرف نظر از صحت و کاربردشان، به کار می‌رود.

1-1- معرفی Kill Chain

یک Kill Chain فرآیندی سیستماتیک است که یک مهاجم برای رسیدن به نتایج مطلوب خود طی می‌کند. دکترین هدف گذاری ارتش آمریکا این فرآیند را به در قالب گام‌های زیر تعریف کرده است. یافتن، ساختن، رهگیری، هدف گیری، ارتباط و استفاده، ارزیابی: یافتن اهداف مناسب برای حمله، فیکس کردن مکان هدف، هدف قرار دادن با ابزاری مناسب جهت رسیدن به نتایجی مطلوب، درگیر شدن دشمن در مبارزه، نتایج ارزیابی (وزارت دفاع ایالات متحده آمریکا – سال 2007). فرآیند مذکور، یک فرآیند مجتمع شده است که به عنوان زنجیره یا Chain توصیف می‌شود زیرا نقص در یکی از اجزا (مراحل) منجر به اخلال در کل فرآیند خواهد شد. پژوهشگران شرکت Lockheed Martine، به عنوان پایه گذاران Cyber Kill Chain، از مدل نظامی‌مذکور اقتباس کرده و مدل جدیدی را ارایه داده اند؛ مدلی که مشخصاً برای نفوذ و خصوصا APT‌ها معرفی شده است. ماهیت نفوذ، به گونه ای است که مهاجم باید فضایی را برای نفوذ به یک ناحیه قابل اعتماد، توسعه دهد و حضورش را در آن ناحیه تثبیت کرده و به واسطه آن نفوذ اقداماتی در راستای اهداف خود بردارد؛ این اقدامات می‌تواند حرکت و جابه جایی در ناحیه فعلی یا دور زدن محرمانگی، جامعیت و یا دسترس پذیری یک سیستم در آن محیط باشد.

1-1-1- فازهای Kill Chain

همانگونه که در شکل زیر مشاهده می‌شود، مدل پیشنهادی پژوهشگران Lockheed Martin، با عنوان Cyber Kill Chain از فازهای زیر تشکیل شده است.

  • فاز Reconnaissance: در این مرحله از حلقه مذکور، تحقیق، شناسایی و انتخاب اهداف صورت می‌گیرد. به عنوان نمونه رفتارهایی که در این فاز صورت می‌گیرد می‌توان به بررسی وب سایت‌های مختلف برای جمع آوری اطلاعات در مورد هدف و یا اسکن مستقیم شبکه یا میزبان هدف نام برد.
  • فاز Weaponization: آماده سازی و افزودن پیلود مخرب به کد اکسپلویت یا در حالت کلی‌تر، تجهیز بدافزار برای خرابکاری در سیستم قربانی از جمله اقداماتی است که در این فاز انجام می‌شود. اقدامات یاد شده در این فاز، تنها در سمت مهاجم انجام می‌شود و در برخی از پیاده سازی‌های این مدل، فاز مذکور با فاز بعدی تجمیع شده است.
  • فاز Delivery: در این فاز انتقال پیلود یا بدافزار مخرب به محیط قربانی انجام می‌شود. سه روش شایع در انتقال عبارتند از ضمیمه‌های ایمیل، وب سایت‌هایی که حاوی محتوای مخرب هستند و فلش USB آلوده.
  • فاز Exploitation: پس از عرضه و تحویل پیلود مخرب به محیط قربانی، در این فاز پیلود مذکور اجرا می‌شود. در اغلب موارد در این فاز، آسیب پذیری موجود روی سیستم عامل یا نرم افزار مورد استفاده قربانی هدف قرار می‌گیرد.
  • فاز Installation: نصب تروجان دسترسی از راه دور یا Backdoor روی سیستم قربانی در این فاز انجام می‌شود که این اقدام به مهاجم امکان حفظ دسترسی را می‌دهد.
  • فاز on Objectives Actions: این مرحله شامل اقدامات و اهدافی است که مهاجم بعد از دسترسی به سیستم قربانی انجام خواهد داد. به بیان دیگر این مرحله، فاز Post Exploitation خواهد بود که می‌تواند شامل نقض جامعیت، محرمانگی و یا دسترس پذیری در شبکه هدف باشد. 

1-1-1- مدل‌های مشابه

درحالی که مدل سازی تهدیدات پایدار پیشرفته و پاسخ متناظر به هرتهدید با استفاده از Kill Chain منحصر به فرد است، اما دیگر مدل‌های فاز محور مشابه نیز ارایه شده است که در این بخش به آنها پرداخته می‌شود. ساکورابا و همکاران در پژوهش [9] چارچوبی برای مدل سازی حملات به نام ABSAC پیشنهاد دادند که در آن انواع راهکارهای مقابله با فاز زمانی یک حمله تراز (مطابقت داده) می‌شود. مدل مذکور اغلب شامل راهکارهای مقابله انفعالی پس از مخاطره است و کمتر به راهکارهای مقابله در فازهای اولیه حمله و همچنین پوشش تهدیدات پایدار پیشرفته است. علاوه بر این، روش مدل سازی دیگری توسط دوران و همکارانش در پژوهش ارایه شد که تنها در مدل‌سازی تهدیدات با منشا داخلی[4] کاربرد دارد. شرکت امنیتی Mandiant نیز در سال 2010 روشی به نام چرخه حیات اکسپلویت ارایه کرده است. در مدل ارایه شده توسط شرکت مذکور، اقدامات متقابل (درحین حمله) برای هر یک از فازهای تعریف شده، نگاشت نمی‌شود و تنها اقدامات دفاعی بعد از مخاطره به فازهای آن نگاشت شده است. مدل دیگری که در این پژوهش مورد بررسی قرار گرفت مدلی به نام "درخت حمله"[5] بود. در مدل مذکور هرگام از حمله یا نفوذ به عنوان یک گره درخت قلمداد می‌شود؛ بنابراین نودهای برگ مراحل ابتدایی حمله و نودهای ریشه مراحل پایانی یا ریسک ناشی از حمله را نشان می‌دهد. ایراد مدل درخت حمله پیچیدگی بسیار زیاد آن بود که باعث کاهش کارآیی آن می‌شد.

[1] Advanced persistent threat (APT)

[2] Atomic

[3] Behavioral

[4] Insider Threat

[5] Attack Tree

مولف: اسماعیل باقری اصل

کد: 50015316

زمان انتشار: یکشنبه 13 خرداد 1397 07:30 ب.ظ

تعداد نمایش: 243

ورود به سامانه


نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید