کابوس استاکس نت دوباره در راه است؟
محققان بدافزاری را یافتهاند که برای دستکاری سیستمهای کنترلی و نظارتی با قابلیت جمع آوری اطلاعات توسعه یافته است. هدف اصلی این بدافزار که کارکردی شبیه به استاکسنت دارد، ایجاد اختلال در سیستمهای صنعتی است.
دانشمندان بدافزاری با کارکردی شبیه به استاکسنت کشف کردهاند که هدف آن ایجاد اختلال و سرقت اطلاعات از سیستمهای صنعتی است که وظایفی نظارتی و جمعآوری اطلاعات را بر عهده دارند.
همانطور که اشاره کردیم این بدافزار کارکردی شبیه به استاکسنت دارد و توسط آمریکا و اسرائیل به منظور ایجاد اختلال در برنامهی صلح آمیز هستهای کشورمان ایجاد شده بود. اسرائیل و آمریکا کرم استاکسنت را به منظور اختلال در چرخهی غنیسازی اورانیوم کشورمان و با هدف ایجاد اختلال در سانتریفیوژها توسعه داده بودند.
بدافزار جدید توسط یک موسسه امنیتی با نام FireEye در نیمهی دوم سال گذشته میلادی کشف شده است. این ویروس در دیتابیس VirusTotal مشاهده شده و ماهیت آن در جریان یک حملهی امنیتی مشخص نشده است. VirusTotal وبسایتی است که تحت تملک گوگل قرار دارد و با استفاده از آن کاربران میتوانند فایلهای مشکوک خود را برای اسکن شدن توسط موتورهای امنیتی یا آنتی ویروس، در اختیار این سرویس قرار دهند.
این بدافزار که FireEye نام IRONGATE را روی آن نهاده، در نوبتهای مختلف از سال ۲۰۱۴ میلادی در دیتابیس VirusTotal قرار گرفته که در آن زمان هیچ یک از ۹ آنتی ویروس مورد استفاده قادر به شناسایی فایلهای آلوده به این بدافزار نبودهاند.
یکی از مواردی که در خصوص این بدافزار جالب توجه است، عدم شناسایی این برنامهی مخرب توسط آنتی ویروسهای مشارکت کننده در VirusTotal تا اواخر سال ۲۰۱۵ میلادی است، چراکه VirusTotal آخرین بروزرسانی پایگاه دادهی خود را با تمام کمپانیهای امنیتی دارای آنتی ویروس را که در این وبسایت مشارکت دارند، به اشتراک میگذارد.
FireEye نیز موفق شده تا بدافزار مورد نظر را از طریق جستجوی نمونههای مشکوک کامپایل شده توسط PyInstaller که توسط هکرهای متعددی مورد استفاده قرار میگیرد، پیدا کند. براساس اطلاعات ارائه شده دو نمونه از این بدافزار کشف شده که هدف آنها پیدا و جایگزین کردن یک فایل DLL مخصوص برای ارتباط با نرمافزار SMIATIC S۷-PLCSIM کمپانی زیمنس است. این نرمافزار امکان اجرای برنامهها روی کنترلرهای قابل برنامهریزی (PLC) شبیه سازی شدهی S۷-۳۰۰ و S۷-۴۰۰ را امکان پذیر میکند.
PLCها ماژولهای سختافزاری خاصی هستند که برای مانیتورینگ و کنترل سیستمهای صنعتی مورد استفاده قرار میگیرند. از جملهی کاربردهای PLC میتوان به کنترل دور موتور یا باز و بسته کردن دریچهها در فرآیند صنعتی اشاره کرد. PLCها اطلاعات دریافتی را به نرمافزارهای کنترلی مجهز به رابط گرافیکی کاربر انتقال میدهند تا مهندسانی که در اتاقهای کنترل قرار دارند، بتوانند کل سیستم را با در اختیار داشتن اطلاعات جزئیترین بخش از سیستم، کنترل و هدایت کنند. هدف بدافزار IRONGATE همچون استاکسنت، سرقت اطلاعات و دستکاری روند کاری سیستم بصورت پنهانی است، بطوریکه ناظران سیستم قادر به تشخیص تغییرات از روی نرمافزارهای مانیتورینگ نباشند.
استاکسنت با نفوذ به PLCهای کنترل کنندهی موتور سانتریفیوژها، موتوری را که باعث چرخش میشد، متوقف میکرد، حال آنکه در ظاهر و در نرمافزارهای کنترلی، کارشناسان روند کارکرد سیستم را بصورت عادی مشاهده میکردند. IRONGATE با جمعآوری اطلاعات صحیح در سیستم، در زمان تغییر و سرقت اطلاعات به تغذیهی سیستم مانیتورینگ با اطلاعات صحیح میپردازد. این موضوع شبیه پخش ویدیوی ضبط شدهی دوربینهای مدار بسته توسط سارقان در زمان قطع سیستم است.
با توجه به کارکرد این سیستم که طی آن یک فایل DLL غیر پیش فرض سیستم زیمنس جایگزین فایل اصلی میشود، متخصصان FireEye را به این نتیجه رسانده که این بدافزار برای انجام آزمایش توسعه یافته است. بخش نظارتی کمپان زیمنس با تایید وجود این بدافزار به این نکته اشاره کرده که این برنامهی مخرب قادر نیست تا روی سیستمهای استاندارد زیمنس تغییراتی ایجاد کند.
با توجه به آزمایشی بودن IRONGATE به نظر میرسد توسعهدهندگان این بدافزار را برای یافتن راههای نفوذ در سیستمهای نظارتی صنعتی توسعه دادهاند و از اینرو احتمال میرود برنامه مخرب اصلی که هنوز اثری از آن یافت نشده، وجود داشته باشد.
باید دید که آیا در ماههای آینده شاهد انتشار اخباری از کشف بدافزار مخصوص سیستمهای صنعتی خواهیم بود یا خیر؟
ارسال نظر