درباره گروه هکری انتقام‌جویان سایبری

به گزارش کارگروه بین‌الملل سایبربان؛ سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» طی گزارشی با عنوان «Cyber Av3ngers»، ساختار، اهداف و روش‌های این گروه هکری را مورد بررسی قرار داد. گزارش جدید این سایت به شرح زیر است:

«انتقام‌جویان سایبری (Cyber Av3ngers)، یک گروه تهدید پایدار پیشرفته (APT) وابسته به سپاه پاسداران انقلاب اسلامی ایران، به عنوان یک تهدید مهم برای زیرساخت‌های حیاتی، به ویژه هدف قرار دادن دارایی‌های فناوری عملیاتی (OT) ظاهر شده است. این گروه که در کنار درگیری اسرائیل و حماس به شهرت رسیده، بر بهره‌برداری از آسیب‌پذیری‌ها در دستگاه‌های متصل به اینترنت، با تأکید ویژه بر کنترل کننده‌های منطقی برنامه‌پذیرUnitronics  (PLC) تمرکز دارد. اقدامات آنها که با انگیزه‌های سیاسی مرتبط با منافع ایران انجام می‌شود، خطری جدی برای زیرساخت‌های حیاتی، به ویژه در ایالات متحده و اسرائیل ایجاد می‌کند. اقدامات انتقام‌جویان سایبری درحالی‌که ویژگی‌های هکتیویسم تحت حمایت دولت را نشان می‌دهد، آسیب‌پذیری فزاینده سیستم‌های صنعتی به هم پیوسته را برجسته می‌کند.

خاستگاه و تکامل

انتقام‌جویان سایبری اولین بار در اوایل سپتامبر 2023 در رادار متخصصان امنیت سایبری ظاهر شد، اگرچه برخی گزارش‌ها نشان می‌دهند که فعالیت آن به سال 2020 بازمی‌گردد. حضور عمومی اولیه این گروه همزمان با تشدید درگیری اسرائیل و حماس بود. آنها در ابتدا مسئولیت ایجاد اختلال در شبکه‌های راه‌آهن و شبکه‌های برق اسرائیل را بر عهده گرفتند، ادعاهایی که عمدتاً توسط کارشناسان امنیتی مانند اطلاعات تهدید دراگوس به‌عنوان نادرست یا اغراق‌آمیز رد شد. با این حال، حمله تأیید شده به یک سازمان آب شهری ایالات متحده در نوامبر 2023، که در آن یک کنترل کننده منطقی برنامه‌پذیرUnitronics  در معرض خطر قرار گرفت و با تفسیر ضد اسرائیلی مواجه شد، وضعیت آنها را به عنوان یک تهدید معتبر تثبیت کرد.

وابستگی این گروه به سپاه ایران توسط منابع متعددی از جمله سیسا، «Secureworks» و وزارت خزانه‌داری و دولت ایالات متحده پشتیبانی می‌شود. وزارت خزانه‌داری ایالات متحده در فوریه سال قبل 6 مقام سپاه پاسداران انقلاب اسلامی را در ارتباط با انتقام‌جویان سایبری تحریم کرد. دولت آمریکا، از طریق برنامه پاداش برای عدالت (Rewards for Justice)، حداکثر 10 میلیون دلار برای اطلاعاتی که منجر به شناسایی یا مکان افراد دخیل در فعالیت‌های انتقام‌جویان سایبری شود، ارائه می‌دهد. چشم‌انداز امنیت سایبری در حال تحول مستلزم هوشیاری مداوم است.

این گروه با یک گروه دیگر مرتبط با سپاه به نام سربازان سلیمان (Soldiers of Solomon) ارتباط دارد. درحالی‌که تاکتیک‌های آن‌ها شبیه تاکتیک‌های یک جنبش هکتیویستی تحت حمایت دولت است، وابستگی سپاه پاسداران انقلاب اسلامی سطحی از سازماندهی و منابع را فراتر از گروه‌های هکتیویست معمولی نشان می‌دهد. انتقام‌جویان سایبری یک حساب تأیید شده در X (توییتر سابق) داشتند که از آن برای تقویت ادعاها و تبلیغات خود استفاده می‌کردند، تاکتیکی که در بین هکرها بیشتر رایج است.

تاکتیک‌ها و تکنیک‌ها

روش کار انتقام‌جویان سایبری بر بر بهره‌برداری از آسیب‌پذیری‌ها در دستگاه‌های فناوری عملیاتی (OT) و متصل به اینترنت، با تأکید ویژه بر کنترل کننده‌های منطقی برنامه‌پذیر Unitronics متمرکز است. بردار حمله اولیه آنها متکی به تکنیک‌های اساسی شگفت‌انگیز است:

1. اسکن و شناسایی: این گروه احتمالاً با استفاده از ابزارهایی مانند شودان (Shodan) برای شناسایی کنترل کننده‌های منطقی برنامه‌پذیر Unitronics در دسترس عموم اینترنت را اسکن می‌کند. این دستگاه‌ها اغلب به دلیل پیکربندی نادرست یا عدم آگاهی از خطرات امنیتی در معرض قرار می‌گیرند.

2. پیش‌فرض استفاده از اعتبار: یک تاکتیک کلیدی تلاش برای ورود به سیستم با استفاده از اعتبارنامه‌های پیش‌فرض است که به‌راحتی در کتابچه‌های راهنمای Unitronics آنلاین در دسترس هستند (به عنوان مثال، رمز عبور پیش‌فرض 1111). این یک ضعف امنیتی اساسی در بسیاری از استقرارهای فناوری عملیاتی را برجسته می‌کند. داشتن یک استراتژی مدیریت پچ برای کاهش چنین خطراتی بسیار مهم است.

3. Port Exploitation: مهاجمان پورت پیش‌فرضTCP  (20256) را هدف قرار می‌دهند که اغلب توسط دستگاه‌های Unitronics استفاده می‌شود.

4. Deacement: با رسیدن به دسترسی، انتقام‌جویان سایبری معمولاً صفحه منوی کنترل کننده منطقی برنامه‌پذیر یا صفحه نمایش HMI را تغییر و پیام‌های ضد اسرائیلی را نمایش می‌دهد و مسئولیت حمله را بر عهده می‌گیرد. این تخریب هم هدف تبلیغاتی دارد و هم عملیات را مختل می‌کند.

5. دستکاری منطق نردبان (Ladder): آنها فایل‌های منطقی نردبانی سفارشی را برای دانلود برای هر یک از این نوع دستگاه‌ها توسعه داده‌اند. هکرها فایل‌های منطقی نردبان اصلی را پاک و فایل‌های خود را بدون ورودی یا خروجی آپلود می‌کنند. آنها همچنین نام دستگاه‌های در معرض خطر را تغییر می‌دهند، نسخه نرم‌افزاری فایل‌های منطقی نردبان خود را روی نسخه‌های قدیمی‌تر تنظیم، عملکردهای آپلود و دانلود را غیرفعال و محافظت از رمز عبور را برای تنظیمات آپلود فعال می‌کنند و شماره پورت پیش‌فرض را برای ارتباط از راه دور تغییر می‌دهند.

6. دسترسی احتمالی بیشتر: درحالی‌که تخریب چهره قابل مشاهده‌ترین نتیجه است، سیسا هشدار داد که دسترسی به کنترل کننده منطقی برنامه‌پذیر یک مسیر بالقوه برای دسترسی عمیق‌تر به شبکه آسیب‌دیده فراهم می‌کند که به طور بالقوه منجر به اثرات شدید سایبری فیزیکی می‌شود. اهمیت ثبت و نظارت امنیتی را نمی‌توان نادیده گرفت.

7. اتصال احتمالی باج‌افزار: برخی گزارش‌ها احتمال ارتباط با باج‌افزار «Crucio» را نشان می‌دهد، اگرچه این ادعاها تأیید نشده و توسط برخی محققان امنیتی مشکوک تلقی می‌شوند.

انتقام‌جویان سایبری از ابزارهای منبعباز برای اسکن، کشف و بهره‌برداری استفاده می‌کند. حملات آنها به تکنیک‌ها، تاکتیک‌ها و روش‌های (TTP) «MITER ATT&CK» ترسیم شده است، از جمله:

[T1110] «Brute Force»
[T1078.001] حساب‌های معتبر: حساب‌های پیش‌فرض
[T1565.001] دستکاری داده‌ها: دستکاری داده‌های ذخیره شده
[T1531] حذف دسترسی به حساب
[T1499] انکار سرویس نقطه پایانی
[T1491.001] تخریب داخلی

اهداف یا قربانی‌شناسی

انگیزه اصلی انتقام‌جویان سایبری به وضوح سیاسی است و با یک برنامه ضداسرائیلی انجام می‌شود. این موضوع در پیام‌های تخریب چهره و انتخاب هدف مشهود است. حملات آنها لزوماً بر بخش‌های خاصی متمرکز نیست، بلکه بیشتر بر سازمان‌هایی تمرکز دارند که از فناوری ساخت اسرائیل، به‌ویژه کنترل‌کننده‌های منطقی برنامه‌پذیر Unitronics استفاده می‌کنند. با این حال، استفاده گسترده از این کنترل‌کننده‌ها در بخش‌های مختلف زیرساخت‌های حیاتی، یک نمایه هدف گسترده ایجاد می‌کند:

سیستم‌های آب و فاضلاب (WWS): تمرکز اصلی گروه هکری روی این بخش با حملات تأیید شده به چندین تأسیسات آبی ایالات متحده بوده است. تأثیر بالقوه بر سلامت و ایمنی عمومی این هدف را به ویژه نگران کننده می‌کند. این حملات اغلب با حملات فیشینگ شروع می‌شود.

انرژی: دستگاه‌های Unitronics در کاربردهای مختلف بخش انرژی مورد استفاده قرار می‌گیرند و این یکی دیگر از اهداف بالقوه است.

غذا و نوشیدنی: حمله به یک کارخانه آبجوسازی در پیتسبورگ نشان دهنده تمایل این گروه برای هدف قرار دادن صنایع فراتر از زیرساخت‌های حیاتی سنتی است.

تولید: کنترل‌کننده‌های منطقی برنامه‌پذیر برای بسیاری از فرآیندهای تولیدی اساسی هستند و این بخش را آسیب‌پذیر می‌کنند.

اتوماسیون ساختمان: Unitronics راه‌حل‌هایی را برای اتوماسیون ساختمان ارائه و سطح هدف بالقوه را گسترش می‌دهد.

مراقبت‌های بهداشتی: محصولات Unitronics در مراقبت‌های بهداشتی نیز یافت می‌شوند.

دامنه جغرافیایی: درحالی‌که هکرها ابتدا بر اسرائیل متمرکز بودند، حملات آنها به ایالات متحده و احتمالاً سایر کشورها گسترش یافته است.

تأثیر این حملات از اختلالات عملیاتی، همانطور که در حوادث آبجوسازی و آبجوسازی دیده می‌شود، تا خطرات بالقوه برای امنیت عمومی و امنیت ملی متغیر است. تمرکز بر زیرساخت‌های حیاتی پتانسیل عواقب قابل توجهی را برجسته می‌کند. درک چارچوب MITER ATT&CK برای دفاع بسیار مهم است.

کمپین‌های حمله

چندین کمپین حمله قابل توجه به انتقام‌جویان سایبری نسبت داده شده است:

1. سیستم‌های راه‌آهن اسرائیل (ژوئیه 2023): این گروه ادعا کرد که با هدف قرار دادن 150 سرور، عملیات 28 ایستگاه راه‌آهن اسرائیل را مختل کرده است. این ادعاها مورد مناقشه است.

2. سازمان آب شهری ایالات متحده (نوامبر 2023): این حمله تأیید شده شامل به خطر افتادن یک کنترل‌کننده منطقی برنامه‌پذیر Unitronics در یک ایستگاه پمپاژ آب در «Aliquippa»، پنسیلوانیا بود. مهاجمان HMI را خراب و عملیات را مختل کردند و مقامات مجبور شدند که به کنترل دستی روی آورند.

3. چندین تأسیسات مربوط به سیستم‌های آب و فاضلاب ایالات متحده (نوامبر 2023 - ژانویه 2024): سیسا گزارش داد که انتقام‌جویان سایبری دستگاه‌های کنترل‌کننده منطقی برنامه‌پذیرUnitronics  مستقر در ایالات متحده، مورد استفاده در صنایع زیرساختی حیاتی متعدد از جمله بخش آب و فاضلاب، را احتمالاً در 4 موج جداگانه هدف قرار داده است. هکرها حداقل 75 دستگاه از جمله حداقل 34 دستگاه در بخش آب و فاضلاب در ایالات متحده را به خطر انداختند.

4. سایر اهداف ایالات متحده: علاوه بر سازمان آب، سایر اهداف تأیید شده عبارتند از یک کارخانه آبجوسازی در پیتسبورگ و یک آبزی‌گاه (آکواریوم).

5. حمله به ایستگاه‌های تصفیه آب اسرائیل: این گروه در اکتبر 2023 ادعا کرد که به 10 ایستگاه تصفیه آب در اسرائیل نفوذ کرده، اما این ادعاها زیر سؤال رفته است.

6. هدف‌گیری در بریتانیا: این گروه همچنین کنترل‌کننده‌های منطقی برنامه‌پذیر را در بریتانیا هدف قرار داده است.

7. ارتباط باج‌افزاری: با باج‌افزار «Crucio» یک ارتباط احتمالی، هرچند تأیید نشده، وجود دارد.

دفاع‌ها

دفاع در برابر انتقام‌جویان سایبری و تهدیدهای مشابه نیازمند یک رویکرد چند لایه است که هم بر بهداشت اولیه امنیتی و هم بر روش‌های پیشرفته‌تر امنیتی فناوری عملیاتی تمرکز دارد. توصیه‌های زیر ترکیبی از راهنمایی‌های سیسا (آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده) و شرکت امنیت سایبری دراگوس (Dragos) و بهترین شیوه‌های عمومی است:

مختص کنترل‌کننده منطقی برنامه‌پذیر Unitronics:

1. تغییر فوری گذرواژه‌های پیش‌فرض: این مرحله حیاتی‌ترین و آسان‌ترین مرحله است. مطمئن شوید که رمز عبور پیش‌فرض «1111» (یا هر پیش‌فرض دیگری) استفاده نمی‌شود. احراز هویت بدون رمز عبور اهمیت فزاینده‌ای دارد.

2. اجرای احراز هویت چندعاملی (MFA): نیاز به احراز هویت چندعاملی برای همه دسترسی‌های راه دور به شبکه فناوری عملیاتی، از جمله دسترسی به کنترل‌کننده منطقی برنامه‌پذیر.

3. کنترل‌کننده‌های منطقی برنامه‌پذیر را از اینترنت عمومی جدا کنید: در صورت امکان کنترل‌کننده‌های منطقی برنامه‌پذیر را از اینترنت باز جدا کنید. اگر دسترسی از راه دور ضروری است، از وی‌پی‌ان ایمن و فایروال برای محدود کردن دسترسی استفاده کنید.

4. پشتیبان‌گیری منظم: از منطق و تنظیمات کنترل‌کننده‌های منطقی برنامه‌پذیر به طور منظم نسخه پشتیبان تهیه کنید تا در صورت حمله امکان بازیابی سریع وجود داشته باشد. استراتژی پشتیبان‌گیری 3-2-1 را اجرا کنید (3 نسخه از داده‌ها، 2 نسخه از رسانه‌های مختلف، 1 نسخه خارج از سایت).

5. تغییر درگاه پیش‌فرض: در صورت اجازه دستگاه، پورت پیش‌فرض TCP (20256) مورد استفاده در دستگاه‌های Unitronics را تغییر دهید.

6. به‌روزرسانی سیستم عامل: سیستم‌عامل کنترل‌کننده منطقی برنامه‌پذیر و HMI را به آخرین نسخه به‌روز نگه دارید تا آسیب‌پذیری‌های شناخته شده را اصلاح کنید. به نرم‌افزار «VisiLogic» ارتقا دهید که تغییر رمز عبور را الزامی می‌کند.

7. فهرست مجاز آی‌پی: کنترل‌کننده منطقی برنامه‌پذیر را طوری پیکربندی کنید که فقط اتصالات از آدرس‌های آی‌پی مجاز را بپذیرد.

8. امنیت فیزیکی: بسیاری از کنترل‌کننده‌های منطقی برنامه‌پذیر دارای کلیدهای امنیتی فیزیکی برای قفل و باز کردن قفل هستند.

بهترین شیوه‌های عمومی امنیت فناوری عملیاتی:

1. تقسیم‌بندی شبکه: تقسیم بندی شبکه قوی را بین شبکه های فناوری اطلاعات و فناوری عملیاتی اجرا کنید تا تأثیر یک نقض احتمالی را محدود کنید.

2. مدیریت آسیب‌پذیری: به‌طور منظم آسیب‌پذیری‌ها را در سیستم‌های فناوری عملیاتی اسکن و پچ کنید. یک برنامه مدیریت آسیب‌پذیری داشته باشید.

3. تشخیص نفوذ و نظارت: سیستم‌های تشخیص نفوذ (IDS) ویژه فناوری عملیاتی را اجرا و بر ترافیک شبکه برای فعالیت‌های غیرعادی نظارت کنید.

4. طرح واکنش به حادثه: یک طرح واکنش به حادثه خاص فناوری عملیاتی را ایجاد و به طور منظم آزمایش کنید.

5. آموزش آگاهی امنیتی: به پرسنل در مورد خطرات فیشینگ و مهندسی اجتماعی و اهمیت رمزهای عبور قوی آموزش دهید.

6. دسترسی از راه دور ایمن: راه‌حل‌های ایمن دسترسی از راه دور را با احراز هویت چندعاملی و کنترل‌های دسترسی قوی اجرا کنید.

7. امنیت فروشنده: شیوه‌های امنیتی فروشندگان فناوری عملیاتی را ارزیابی و اطمینان حاصل کنید که آنها از شیوه‌های توسعه ایمن پیروی می‌کنند. حملات زنجیره تأمین یک تهدید مهم هستند.

8. تست کنترل امنیتی: آزمایش کنترل امنیتی مداوم با استفاده از چارچوبی مانند MITER ATT&CK.

9. امنیت زنجیره تأمین: فروشندگان و تأمین کنندگان را برای حوادث و آسیب‌پذیری‌ها نظارت کنید.

نتیجه‌گیری

گروه هکری انتقام‌جویان سایبری، علیرغم تکیه بر تکنیک‌های نسبتاً پیچیده مانند بهره‌برداری از رمزهای عبور پیش‌فرض، به دلیل هدف قرار دادن زیرساخت‌های حیاتی و وابستگی به سپاه ایران، تهدیدی قابل توجه است. اقدامات این گروه، درحالی‌که در درجه اول بر تخریب و اختلال متمرکز است، آسیب‌پذیری سیستم‌های فناوری عملیاتی متصل به هم و احتمال عواقب شدیدتر را برجسته می‌کند. این حملات به عنوان زنگ خطری برای سازمان‌هایی است که زیرساخت‌های حیاتی را برای اولویت‌بندی بهداشت اولیه، اجرای شیوه‌های امنیتی قوی فناوری عملیاتی و هوشیاری در برابر تهدیدات سایبری در حال تکامل عمل می‌کنند. تنش‌های ژئوپلیتیکی جاری و پتانسیل تشدید بر اهمیت اقدامات پیشگیرانه امنیت سایبری برای محافظت از خدمات ضروری و امنیت ملی تأکید می‌کند.»