سیستم های صنعتی قربانی نوع جدید بدافزار Havex

در ابتدای این ماه بدافزار Havex شناخته شد که شکل دیگری از بدافزار Stuxnet بود. هدف آن حمله به منابع انرژی سازمان ها و کارخانه های صنعتی بود. همچنین این بدافزار از کمپانی های اروپایی جاسسوسی می کرد و توانست بیش از 1000 شرکت انرژی در اروپا و آمریکای شمالی را در معرض خطر قرار دهد.

اکنون نوع جدیدی از بدافزار Havex توسعه یافته است که قابلیت اسکن سرورهای Object linking and embedding for Process Control را دارد.

OPC پروتکل برقراری ارتباط در شبکه های صنعتی است. سیستم های ویندوزی Supervisory Control and Data Acquisition و دیگر سیستم های کنترل صنعتی از طریق این پروتکل با یکدیگر ارتباط برقرار می کنند. OPC یکی از پروتکل های رایج میان سیستم های کنترل صنعتی است.

سیستم های Industrial Control Systems و SCADA بوسیله نرم افزار OPC client با OPC server تعامل مستقیم دارند. این سیستم ها برای کنترل سخت افزارهای صنعتی با یک Programmable Logic Controller به صورت سری وصل شده اند.

بعد از نفوذ Havex به شبکه، بدافزار تابع  rundllرا فراخوانی می کند و سپس سرورهای OPC در شبکه SCADA را اسکن می کند.

برای شناسایی سرور OPC هدف، ماژول OPC scanner از تابع های Windows Networking مانند WNetOpenEnum و  WNetEnumResourcesاستفاده می کند.

این بدافزار اطلاعات سیستم و داده های ذخیره شده در کلاینت یا سرور را جمع آوری می کند. هم چنین تمامی ارتباط ها و منابع شبکه را نیز شناسایی می کند. سپس اطلاعات به دست آمده را به سرور C&C برای تجزیه و تحلیل می فرستد. واضح است که از این بدافزار برای جمع آوری اطلاعات برای حملات آینده استفاده می شود.