چشم‌انداز تهدیدات سیستم‌های کنترل صنعتی

به گزارش کارگروه امنیت سایبربان؛ در این گزارش تمام داده‌های آماری مورداستفاده توسط آزمایشگاه امنیت شبکه کسپرسکی (KSN) منتشرشده است. در این میان تمام اطلاعات توسط کاربران دریافت شده و پس از بررسی سیستم‌های کاربران به‌صورت ناشناس اطلاعات موردنظر را به دست آورده‌اند.
تمام اطلاعات مورداستفاده در این آزمایش از رایانه‌های محافظت‌شده توسط محصولات آزمایشگاه کسپرسکی دریافت شده است. این در حالی است که آزمایشگاه کسپرسکی و ICS CERT به‌عنوان دو مرجع بررسی زیرساخت‌ها صنعتی در میان سازمان‌های دیگر به شمار می‌روند که به بررسی رایانه‌های ویندوزی می‌پردازد که توابع زیر را موردبررسی قرار می‌دهد.

•    کنترل و نظارت و کسب اطلاعات از سرورهای سیستم SCADA
•    سرورهای ذخیره اطلاعات
•    گیت وی‌های اطلاعات (OPC)
•    ایستگاه‌های ثابت کاری کاربران
•    ایستگاه‌های کاری تلفن همراه کاربران
•    رابط انسان و کاربر (HMI)

این گروه از ابزار و تجهیزات شامل رایانه‌های کاربران و مدیران شبکه‌های کنترل صنعتی و توسعه‌دهندگان نرم‌افزارها هستند که در این میان موردبررسی قرارگرفته‌اند.

مهم‌ترین رخدادها
در ماه آوریل، گروه هکری Shadow Brokers پس از دسترسی به آرشیو سازمان امنیت ملی (NSA) به ابزار و نرم‌افزارهای سوءاستفاده علیه کاربران توسط این سازمان دست پیدا کرد.
در ابتدا گروه نام‌برده در تلاش برای فروش اطلاعات بایگانی‌شده در این سازمان پرداخت. اطلاعات منتشرشده شامل سوءاستفاده از تجهیزات شبکه و روتر ها، سیستم‌های بانکی، سیستم‌های یونیکس و نسخه‌های مختلف ویندوز است. برخی از آسیب‌پذیری‌های منتشرشده، آسیب‌پذیری‌های روز صفرم نیز به چشم می‌خورد.
در ژوئن سال 2017، نتایج تحقیقات مربوط به بدافزار CrashOverride / Industroyer منتشر شد. کارشناسان شرکت ESET و Dragos Inc؛ و همچنین تعدادی از محققان مستقل به این نتیجه رسیدند که این بدافزار به‌منظور اختلال در کار سیستم‌های کنترل صنعتی (ICS)، به‌خصوص پست‌های برق طراحی‌شده است. CrashOverride / Industroyer قادر به کنترل مستقیم سوئیچ‌ها و قطع کننده‌های مدار در مدارهای پست برق است.
پس از تحلیل و بررسی حملات صورت گرفته توسط آزمایشگاه کسپرسکی و ICS CERT مشخص شد حملات صورت گرفته روی زیرساخت‌های صنعتی و شرکت‌های حمل‌ونقل توسط مهاجمان نیجریه‌ای صورت گرفته است. این در حالی است که نتیجه بررسی‌ها نشان می‌دهد بیش از 80 درصد زیرساخت‌های مورد هدف را زیرساخت‌های صنعتی تشکیل می‌دهد که در بیش از 50 کشور 500 شرکت هدف حملات مهاجمان قرارگرفته است.
در شش ماه اول سال جاری آژانس مرکزی اطلاعات آمریکا گزارشی را منتشر که در این گزارش اطلاعاتی مانند ابزارهای مورداستفاده هکرهای سازمان سیا، آسیب‌پذیری‌های روز صفرم، ابزار دسترسی از راه دور و بخشی از آرشیو WikiLeaks قرار دارد...
امروزه از باج افزارها (Ransomware) به‌عنوان تهدیدات قابل‌توجهی برای شرکت‌ها صنعتی به‌حساب می‌روند. این امر برای شرکت‌هایی که امکانات زیرساخت‌های حیاتی را دارند این در حالی است که فعالیت بدافزار می‌تواند برای فرایندهای صنعتی مشکل‌آفرین باشد و فرایند ارائه سرویس توسط این زیرساخت را با اختلال روبرو کند.
در طی شش ماه اول سال 2017 حملات باج افزارهای رمزگذاری شده موفق به ایجاد اختلال در 33 زیرساخت شده است؛ اما باوجوداین حملات تابه‌حال هیچ‌گونه برنامه‌ای برای ایجاد اختلال در زیرساخت‌های صنعتی شناسایی نشده است.
براساس حملات صورت گرفته روی زیرساخت‌های موردنظر در اوایل سال جاری بدافزار WannaCry بیشترین قربانیان خود را در میان زیرساخت‌های صنعتی با 13.4 درصد به دام انداخت.

اجرای کدهای WannaCry ممکن است به علت خطاهای پیکربندی شبکه‌های معمولی باشد. کارشناسان پس از بررسی تمام‌مسیرهای آلوده‌شده به این نتیجه رسیدند که اغلب موارد سیستم‌های اتوماسیون توسط بدافزار WannaCry آلوده‌شده است که با استفاده از شبکه محلی شرکت و اتصالات VPN موردحمله توسط این بدافزار قرارگرفته است.

آمار تهدیدات
در نیمه اول امسال محصولات امنیتی آزمایشگاه کسپرسکی بیش از 37.6 درصد حملات به این تجهیزات را در برابر حملات محافظت کردند این در حالی است که نسبت به سال 2016 با رشد 1.6 درصدی روبرو بوده است.
این در حالی است که نسبت تجهیزات مورداستفاده در نیمه دوم 2016 با افزایش چشم روبرو بوده و این روند رشد و تغییر در شش ماه اول سال 2017 متفاوت بوده است. این در حالی است که پس از بررسی‌های صورت گرفته مشخص شد که در ماه جولای فعالیت مهاجمان روی زیرساخت‌های نام‌برده به نسبت کمتر شده است.

ازنظر استفاده از فن‌آوری‌های مورداستفاده شبکه‌های صنعتی به طور فزاینده‌ای شباهت زیادی با شرکت‌های بزرگ دارند. این در حالی است که چشم‌انداز تهدید برای سیستم‌های صنعتی شبیه به چشم‌انداز تهدید برای سیستم شرکت‌های بزرگ است.
در میان بررسی‌های صورت گرفته در نیمه اول سال حدود 18000 تغییرات مختلف روی بدافزارها شناسایی‌شده است که بیش از 2500 بدافزار شناسایی‌شده تمرکز خود را روی زیرساخت‌های سیستم‌های اتوماسیون صنعتی قرار داده‌اند.
نیمه اول سال تلاش برای دانلود نرم‌افزارهای مخرب از طریق اینترنت یا دسترسی به منابع مخرب و فیشینگ در 20.4 درصد از رایانه‌های صنعتی شناسایی‌شده است مسدود شده‌اند.
اجرای فایل بدافزارهای مخرب در زیرساخت‌های صنعتی تنها باوجود اینترنت در این بخش امکان‌پذیر است. عواملی در این بخش وجود دارند که شامل ارتباط شبکه شرکت‌های خصوصی و زیرساخت‌های صنعتی، دسترسی شبکه‌های صنعتی به اینترنت از طریق اپراتورهای تلفن همراه (با استفاده از تلفن‌های همراه، مودم‌های USB یا روترهای WI-Fi با پشتیبانی 3G/LTE) صورت می‌گیرد.

تروجان‌ها در قالب ویندوز (Win32 / Win 64) فایل‌های اجرایی بیش از 50 درصد از تمام رایانه‌های موردحمله را مسدود کردند. به‌جای توسعه یک فایل اجرایی، مهاجمان اغلب قابلیت‌های مخرب را با استفاده از یک‌زبان اسکریپت اجرا می‌کنند که روی کامپیوتر قربانی ممکن است نصب‌شده باشند. رتبه‌بندی سیستم‌عامل‌های اصلی بدافزار، ازجمله ویندوز، در شکل زیر ارائه‌شده است.

باید به این نکته توجه کرد که اغلب مهاجمان با استفاده از اجراکننده‌های نوشته‌شده با زبان‌های جاوا اسکریپت، Visual Basic Script یا Powershell استفاده می‌کنند که با استفاده از پارامترهای خط فرمان برای کاربران راه‌اندازی می‌شود.