‫ حمله نوع جديدي از بدافزار havex به كاربران Scada و سيستم كنترل

 
 
تاريخ : 93/4/9
 

بدافزاري كه پيش از اين در حمله به شركت­هاي بخش انرژي بكار رفته بود، در حال حاضر سازمان هايي را كه برنامه­هاي كاربردي صنعتي و ماشين آلات را استفاده مي كند و يا توسعه مي­دهند هدف قرار داده است. بررسي ها نشان مي دهد كه در طي ماه هاي پيش، مهاجمان شروع به توزيع نسخه جديدي از برنامه تروجان دسترسي از راه دوري به نام Havex از طريق هك كردن وب سايت­هاي توليدكنندگان سيستم­هاي كنترل صنعتي (ICS) و نيز آلوده كردن نرم­افزارهاي قانوني قابل دانلود در وب سايت ها، كردند.

همچنين در طي تحقيقات، سه سايت فروشنده اين نرم افزارها كه به اين طريق آلوده شده اند، كشف گرديده است. نصب كننده هاي نرم­افزار موجود در اين سايتها آلوده به تروجان دسترسي از راه دور Havex شده­اند. به نظر مي رسد، احتمالاً موارد مشابهي ديگري نيز موجود باشد كه تاكنون كشف نگرديده است.

F-Secure نام اين فروشنده­هاي آلوده شده را بيان نكرده است اما اظهار داشت كه دو شركت از آنها توسعه­دهنده نرم­افزار مديريت از راه دور ICS بودند و سومي تهيه­كننده دوربين­هاي صنعتي با دقت بالا و نرم­افزارهاي مرتبط با آن مي­باشد. به گفته اين شركت امنيتي، فروشندگان در آلمان، سوئيس و بلژيك هستند.

مهاجمان، برنامه­هاي installer قانوني را براي اضافه و اجرا كردن فايلهاي اضافي در كامپيوتر تغيير مي‌دهند. فايل اضافه شده mbcheck.dll نام دارد و در حقيقت همان بدافزار Havex مي­باشد.

اين روش توزيع جديد به علاوه براي حملات معمولي مانند ايميل هاي اسپم و exploitهاي مبتني بر وب مورد استفاده قرار گرفته اند، و نشان مي دهد كساني كه در پشت اين عمليات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهايي كه از برنامه هاي كاربردي ICS و SCADA استفاده مي كنند، شده اند.

نتيجه اينكه برنامه مخرب Havex جديد با هدف اسكن شبكه هاي محلي براي دستگاه­هايي كه به درخواست OPC (Open Platform Communications) پاسخ مي­دهند به وجود آمده­اند. OPC يك استاندارد ارتباطي است كه اجازه تعامل بين برنامه­هاي كاربردي SCADA مبتني بر ويندوز و فرآيند كنترل سخت­افزار را مي دهد.

به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC براي جمع آوري اطلاعات در مورد دستگاه هاي كنترل صنعتي نفوذ مي‌كند. بدافزار Havex اطلاعات جمع آوري شده را به سرور C&C خود، جهت   تحليل توسط مهاجمان ارسال مي‌كند. در نتيجه به نظر مي­رسد كه بدافزار Havex به عنوان يك ابزار براي جمع آوري اطلاعات استفاده مي­شود. تاكنون نيز هيچ payload ايي كه سعي در كنترل سخت افزارهاي متصل شده داشته باشد، مشاهده نگرديده است.

محققان F-Secure بيان كردند: "اكثر قربانيان در اروپا هستند، هرچند در زمان نوشتن اين گزارش حداقل يك شركت در كاليفرنيا مشاهده شده است كه اطلاعات به سرورهاي C&C ارسال كرده است". از سازمان­هاي اروپايي، دو نهاد آموزشي بزرگ در زمينه پژوهش­هاي مربوط به فناوري در فرانسه، دو توليدكننده برنامه­هاي كاربردي يا دستگاه­هاي صنعتي در آلمان، يك توليدكننده ماشين­آلات صنعتي فرانسوي و يك شركت ساخت و ساز متخصص در مهندسي سازه در روسيه به عنوان قربانيان شناخته شده­اند.

در گزارشي كه در ماه ژانويه2014(دي ماه 92) منتشر شد، شركت اطلاعاتي امنيتي CrowdStrike، گزارشي را درباره Havex RAT كه حمله­هاي هدفمند بر عليه سازمان­هاي بخش انرژي در سپتامبر 2013(شهريور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهي از مهاجمان وابسته به دولت روسيه هستند، دانست. شركت امنيتي به اين گروه مهاجم لقب "خرس پر انرژي" داد و احتمال داد كه زمان اين بدافزار مخرب به آوت 2012 برمي گردد.

پس از كشف بدافزار خرابكار صنعتي استاكس نت در سال 2010(1389شمسي)، محققان امنيتي در مورد ناامني سيستم­هاي كنترل صنعتي و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند. با وجود اين نگراني ها تاكنون حملات گسترده بدافزارها عليه ICS ها و سيستم هاي SCADA به وقوع نپيوسته است ولي وجود بدافزاري مانندHavex اتفاقي است كه ممكن است در آينده نيز مشاهده گردد.

منبع:
 
 
 
 

 


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 9 تیر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0