حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT)

حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT)

مقدمه

معمولا زیرساخت‌های حساس و حیاتی هر کشور از سیستم‌های کنترل صنعتی و اسکادا برای نظارت دقیق فعالیت‌ها در فرآیند‌ها استفاده می‌کنند. زیرساخت‌هایی مانند نیروگاه‌های انرژی اتمی، تولید و انتقال برق، سدها، خطوط لوله انتقال نفت و گاز و میعانات گازی، کارخانه‌های مهم کشور و همچنین پالایشگاه‌ها که تاثیرات بالایی در اقتصاد، اشتغال و محیط زیست دارند در این تقسیم‌بندی قرار می‌گیرند. بعد از حمله سایبری به سامانه‌ها و زیرساخت‌های سازمان انرژی اتمی‌و همچنین نیروگاه نطنز در تاریخ 22 ژوئن سال 2009 توسط بد‌افزار استاکس‌نت، در حوزه زیر‌ساخت‌های اشتراکی صنعتی و سایبری به منظور امن‌سازی و جلوگیری و تشخیص حملات به این شبکه‌ها فعالیت‌هایی صورت گرفت که با اتکا به آن‌ها امکان غیر فعال کردن بدافزار استاکس‌نت بعد از حدود دو سال فعالیت مخرب فراهم شد. با توجه به این مهم که در حملات صورت گرفته به زیرساخت‌های حساس و حیاتی در تمامی‌کشورها معمولا از تهدیدات هوشمند و پایدار[1]استفاده شده است و البته استاکس‌نت نیز یکی از انواع خطرناک آن‌ها بود. در این مقاله ابتدا حملات پایدار و پیشرفته بررسی خواهد شد و پس از آن چند نمونه از حملات APT معرفی می‌شوند که مخاطبین محترم با قدرت نهفته در این حملات آشنا شوند.

حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی

سیرتکاملی اهداف و پیچیدگی نفوذهای رخ داده در شبکه‌های کامپیوتری چنین راهکارهایی را برای متخصصان حوزه امنیت ناکارآمد ساخته است. نسل جدیدی از تهدیدات، که به درستی تهدیدات پایدار پیشرفته (APT) نام گرفته است، حکایت از وجود مهاجمان سایبری آموزش دیده و خبره با پشتوانه ای قوی دارد که با هدف قرار دادن امنیت اطلاعات بخش‌های دولتی و اقتصادی حساس، حملات چند لایه ای را ترتیب می‌دهند. این افراد با به کارگیری تکنیک‌ها و ابزارهای پیشرفته برای دورزدن مکانیزم‌های دفاعی مرسوم در شبکه، اهداف خود را جامه عمل می‌پوشانند. تکنیک‌های دفاعی که دانش [جمع آوری شده موجود در این حوزه را] را در برابر چنین مهاجمانی به کار می‌بندند، می‌توانند یک چرخه بازخورد اطلاعاتی ایجاد کنند که برتری اطلاعاتی را برای متخصصان امنیت سایبری به ارمغان خواهد آورد؛ چنین برتری از نظر اطلاعات امنیتی احتمال موفقیت مهاجمان و نفوذهای متعاقب و بعدی را کاهش می‌دهد.

یک ‌حمله پیشرفته و پایدار advanced persistent threat (APT) در واقع مجموعه‌ای از فرایندهای دنباله‌دار است که اغلب هدف مشخصی را دنبال می‌کند و البته برای این مهم روش‌های متعددی را در خود جا داده است. این حملات بعد از انتقال، انتشار و اتصال از طریق روال‌های C2 توسط فرد، افراد، گروه و یا یک نهاد خاص با انگیزه‌های خصمانه نسبت به قربانی هدایت می‌شوند. لازم به ذکر است، حملات پیشرفته و پایدار معمولا سازمان‌ها و یا کشور‌ها را به دلایل تجاری و یا سیاسی مورد هدف قرار می‌دهد. فرایندهای حمله پیشرفته و پایدار به سطح بالایی از استتار و پوشش برای یک دوره زمانی طولانی نیازمند است. این فرایند این طور عمل می‌کند که یک سیستم فرمان و کنترل بیرونی به طور مداوم یک هدف خاص را مانیتور کرده و داده‌های آن را استخراج می‌کند. البته این امکان نیز وجود دارد که این حملات نیاز به برقراری ارتباط را در کد‌های خود برطرف کنند و در برابر هر نوع رفتار، کد متناظر برای واکنش را داشته باشند.

1-1- استاکس‌نت اولین سلاح سایبری مبتنی بر حملات پایدار و پیشرفته

استاکس‌نت یک بدافزار پیچیده می‌باشد که در جهت آسیب‌رسانی به سیستم اسکادا زیمنس طراحی شده است. این بدافزار که در تقسیم‌بندی حملات پایدار و پیشرفته قرار می‌گیرد، از چهار آسیب‌پذیری بی‌سابقه روز صفر استفاده می‌کند، همچنین این بدافزار از تکنیک‌های Rootkit پیشرفته برای مخفی کردن خودش از کاربران و نرم‌افزار‌های ضد‌‌ بدافزار در سیستم‌عامل‌های ماکروسافت و کامپیوتر‌های کنترل کننده‌ای که مقصد آن است، استفاده می‌کند. آن دو گواهی دیجیتال دزدیده شده را برای ثبت نام در درایور‌ها به کار می‌گیرد و سازندگان آن نیاز به یک مقدار زیادی از دانش سیستم‌های هدف دارند. در شکل زیر یک بررسی کلی از استاکس‌نت را می‌توانید ببینید.

1-1-1- سناریوی حمله به زیرساخت‌‌های انرژی اتمی‌ کشور

سیستم‌های کنترل صنعتی (ICS) توسط کنترل کننده‌های منطقی برنامه پذیر که کدهای برنامه کنترل کننده بر روی آن‌ها اجرا می‌شود اداره می‌شود. این PLC ها اغلب توسط کامپیوترهایی که سیستم‌عامل آنها مبتنی بر ماکروسافت است، برنامه‌ریزی می‌شوند. برای حمله به این سیستم‌ها ابتدا مهاجمان نیاز دارند تا روش‌های اتصال را شناسایی کنند. همان‌گونه که هر کنترل کننده به یک طریق منحصر به فرد پیکربندی می‌شود، مهاجمان در ابتدای کار نیاز به طرح کلی سیستم‌های کنترل صنعتی دارند. این اسناد طراحی ممکن است که توسط یک عامل داخلی سرقت شده باشد یا اینکه بوسیله بازیابی یک ورژن قدیمی‌از استاکس و یا کدهای باینری خرابکارانه این نقشه‌ها را بدست آورده باشند و یا رسانه‌های داخلی ناخواسته اقدام به انتشار آنها از طریق گزارش بازدید‌های صورت گرفته در تلویزین ملی نموده باشند. هنگامی‌که مهاجمان مدارک مربوط به طراحی و همچنین توانایی آگاهی از یک محیط صنعتی در یک کارخانه را داشته باشند آن‌ها توانستند آخرین ورژن استاکس‌نت را در آن‌جا گسترش دهند. هر ویژگی استاکس‌نت برای یک هدف خاص پیاده‌سازی شده و هدف نهایی توانایی تخریب سیستم‌های کنترل صنعتی زیرساخت‌های انرژی اتمی‌کشور بوده است.

مهاجمان به منظور تست کدهای برنامه خود نیازمند نصب یک محیط آزمایشی (مشابه با زیر ساخت­های هسته­ای نطنز ایران) که شامل ملزومات سخت‌افزاری ICS از قبیل کنترل کنند­ها، ماژول‌ها و وسایل جانبی است، بودند. به علاوه کدهای باینری خرابکارانه بد افزار شامل فایل‌های راه‌انداز هستند که نیاز به امضاء دیجیتالی برای دوری کردن از سوءظن دارند. برای این منظور مهاجمان دو گواهی دیجیتالی را جعل کردند. مهاجمان نیازمند بدست آوردن گواهی دیجیتال برای معتبر نشان دادن برنامه بد فزار خود از دید محصولات امنیتی سیستم مورد حمله بودند و که این امضاءها توسط شخصی که ممکن است به صورت فیزیکی وارد شرکت شده است و دو امضای دیجیتالی را سرقت کرده است انجام گرفته باشد. این احتمال از آنجا قوت می‌گیرد که دو شرکت از نظر فیزیکی در مجاورت یکدیگر قرار گرفته‌اند.

هنگامی‌که استاکس‌نت یک کامپیوتر را آلوده می‌کند بخش مدیریت آن شروع به جستجو در مورد Field PG ها می­کند، که نوعی برنامه­ی قابل نصب بر روی ویندوز هستند و برای برنامه‌نویسی کنترل کننده­ها مورد استفاده قرار می‌گیرند. هنگامی‌که بیشتر این کامپیوترها شبکه نیستند استاکس‌نت ممکن است ابتدا سعی کند تا از طریق کامپیوترهای دیگر در LAN با استفاده از آسیب‌پذیری‌های روز صفر انتشار یابد و همچنین پروژه STEP7 را آلوده کند و نیز از طریق حافظه قابل حمل (فلش) گسترش پیدا کند. انتشار درون یک LAN به عنوان مرحله اول و انتشار از طریق درایوهای قابل حمل (فلش) به‌عنوان وسیله‌ای برای پوشش آخرین حربه برای نفوذ به یک Field PG که هرگز به یک شبکه نامطمئن وصل نمی‌شود باشد. در حالی که مهاجمان می‌توانند استاکس‌نت را از طریق یک سرور فرمان و کنترل یا کامپیوتر کلیدی همچنان که قبلاً ذکر شد کنترل کنند اما ممکن است که کامپیوتر اصلی برای دسترسی به خارج از شبکه به اینترنت متصل نباشد، بنابراین تمام قابلیت‌های مورد نیاز برای خرابکاری یک سیستم به طور مستقیم در استاکس‌نت جاسازی شده است.

هنگامی‌استاکس‌نت بالاخره یک کامپیوتر مناسب که روی آن نرم‌افزار STEP7 در حال اجرا باشد پیدا کند، کد PLC را تغییر می‌‌‌دهد. این تغییرات به سیستم صدمه وارد می‌کند که یک هدف بسیار با ارزش با توجه به منابع بزرگ سرمایه گذاری در ایجاد استاکس‌نت تلقی می‌شود.

1-1-1- عملیات استاکس‌نت در زیرساخت‌های هسته‌ای

مسئله‌‌ای که استاکس‌نت را از دیگر نرم‌افزار‌های مخرب در حال اجرا متمایز می‌سازد این است که سازندگان آن توانایی‌های بسیاری را داخل آن ترکیب نموده‌اند. این درجه از سوء‌استفاده متعدد از آسیب‌پذیری‌های روز صفر، تغییرات در کتابخانه سیستم، حمله و تغییر در کدهایStep7 و اجرای یک RPC سرور به منظور نصب درایور‌های ثبت نام روی سیستم‌عامل ویندوز بسیار شگفت‌انگیز بود. شکل زیر یک بررسی اجمالی از مولفه‌های متعددی که در بدافزار ارائه شده است را نشان می‌دهد. استاکس‌نت با بردار‌های متعددی گسترش می‌یابد که بدون شک انتخاب شده‌اند تا در نهایت مجوز آلوده کردن PLC‌هایی که هدف آن‌ها هستند را بگیرند. این بدافزار توانایی انجام به روز رسانی خودکار را نیز داشت که همی‌توانست خودش را به ورژن جدید روی شبکه محلی آپدیت کند. آن با دستورات و کنترل‌های سرور ارتباط برقرار می‌کند تا اطلاعاتی را برای سازندگانش فراهم و منتشر کند و همچنین راه دیگری را برای آپدیت آن فراهم کنند. این بدافزار حضور خودش و منابع اثرات مخربش را از پرسنل نیروگاه پنهان می‌کند که ممکن است کاملا بی اطلاع باشند که این بدافزار علت مشکلات ناشناخته می‌باشد.

1-1-2- راه‌های انتشار استاکس‌نت

استاکس‌نت به راحتی گسترش می‌یابد اما همچنین دارای تدابیر حفاظتی برای محدود کردن انتشار خودش می‌باشد. آن فقط سه کامپیوتر را از طریق یک دارایو فلش آلوده کرد و بعد از 24 ژوئن سال 2012 انتشار خودش را متوقف کرد. همانطور که در شکل زیر مشاهده می‌کنید استاکس‌نت برای انتشار خودش چندین روش را به کار می‌گیرد.

  • با استفاده از درایو فلش USB
  • انتشار با استفاده از WinCC
  • با استفاده از شبکه‌های به اشتراک گذاشته شده
  • با استفاده از آسیب‌پذیری روز صفر MS10-061 Print Spooler
  • با استفاده از آسیب‌پذیری MS08-067 SMB
  • با استفاده از پروژه‌های Step7

1-1-1- روش‌های مورد استفاده توسط استاکس‌نت

دو روش توسط استاکس‌نت برای آسیب‌رساندن به سانترفیوژ‌ها مورد استفاده قرار گرفته است. روش اول سانترفیوژ‌ها تحت فشار قرار می‌گرفتند و در روش دوم بالا‌بردن سرعت سانترفیوژ به عنوان فاز حمله پیاده‌سازی می‌شد. به منظور ایجاد یک فرآیند صنعت اتمی‌یا نیروگاه هسته‌ای، ایزوتوپ U235 مورد نیاز است. سنگ معدن اورانیم از زمین برداشته شده و به منظور ایجاد اکسید اورانیوم مورد پردازش قرار می‌گیرد. این اکسید شامل دو اورانیوم ایزوتوپ U235 و U238 می‌باشد. از آن‌جایی که اکسید اورانیوم شامل 99%U238 و فقط حدود 1% U235 می‌باشد، یک سانترفیوژ به صورت جداگانه از 2 ایزوتوپ استفاده می‌کند. یکی از اجزای اصلی غنی‌سازی اورانیوم ایران، سانترفیوژ IR-1 می‌باشد. این طراحی از آن‌جایی که در اواخر دهه‌ی شصت طراحی شده و توسط A.Q پاکستان دزدیده شده، غیر قابل اعتماد و ناکارامد است و ایران یک سیستم حفاظت آبشاری طراحی کرده است. این سیستم از دریچه‌هایی تشکیل شده است که وقتی بسته می‌شوند، سانترفیوز را منزوی می‌کنند. هنگامی‌که سانترفیوژ‌های متعدد خاموش شوند، فشار گاز UF6 افزایش یافته و باعث خسارات دائمی‌می‌شود. این هدف اولین روش حمله است. روش حمله دوم، سرعت روتور‌های سانترفیوژ‌ها را افزایش می‌دهد. استاکس‌نت، سانترفیوژ را از سرعت عملیات طبیعی از 63.000 دور در دقیقه (rpm) به 84.600 دور در دقیقه می‌برد. این فرایند به طور بحرانی می‌تواند به سانترفیوژ‌ها آسیب برساند. استاکس‌نت از لحاظ فنی به عنوان یک حمله‌ای پایدار و پیشرفته دسته بندی شده است. استاکس‌نت با استفاده از یکی از حالات انتشار به یک سیستم کامپیوتری هدف وارد شده و از یک گواهی امنیتی به سرقت رفته شده از Realtek برای فرار از تشخیص توسط نرم‌افزار آنتی بدافزار استفاده می‌کند. استاکس‌نت این کار را با نصب یک درایور جدید روی سیستم به انجام ‌می‌رساند. استاکس‌نت خود را با سوء‌استفاده از آسیب‌پذیری‌های امنیتی سرور منتشر می‌کند. این آسیب‌پذیری‌ها شامل ارتباطات و به روز رسانی‌های نظیر به نظیر، ماشین‌های WinCC آلوده، انتشار از طریق شبکه‌های به اشتراک گذاشته شده، بهره‌برداری از Ms10-061 چاپ اسپولر آسیب‌پذیری روز صفر و آسیب‌پذیری خدمات سرور ویندوز MS08-067 می‌باشد. آن همچنین یک فایل .dll به فرایند قابل اعتماد از هر نرم‌افزار آنتی بدافزار که بر روی ماشین نصب شده است، تزریق می‌کند. این امر به استاکس‌نت اجازه می‌