03/09/1403  
 
چهارشنبه, ۱۸ تیر ۱۳۹۳ ۰۷:۴۵ ۲۳
طبقه بندی: اخبار سازمان
چچ
 هشدار مرکز ماهر به حمله یک بدافزار به سامانه‌های کنترل صنعتی

هشدار مرکز ماهر به حمله یک بدافزار به سامانه‌های کنترل صنعتی

بدافزاری که پیش از این در حمله به شرکت‌های بخش انرژی به‌کار رفته بود سازمان‌هایی را که برنامه‌های کاربردی صنعتی و ماشین آلات را استفاده می‌کنند و یا توسعه می‌دهند هدف قرار داد.

بر اساس گزارش مرکز ماهر: بررسی‌ها نشان می‌دهد که در طی ماه‌های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex، از طریق هک سایت‌های تولیدکنندگان سیستم‌های کنترل صنعتی (ICS) و نیز آلوده کردن ‌افزارهای قانونی قابل دانلود در سایت‌ها، کردند.
همچنین طی تحقیقات، سه سایت فروشنده این نرم‌افزارها که به این طریق آلوده شده‌اند، کشف شده است. نصب کننده‌های نرم‌افزار موجود در این سایت‌ها آلوده به تروجان دسترسی از راه دور Havex شده‌اند. به نظر می‌رسد، احتمالا موارد مشابه دیگری نیز موجود باشد که تاکنون کشف نشده است.F-Secure نام این فروشنده‌های آلوده شده را بیان نکرد اما گفت: دو شرکت توسعه دهنده نرم‌افزار مدیریت از راه دور ICS بودند و سومی تهیه کننده دوربین‌های صنعتی با دقت بالا و نرم افزارهای مرتبط با آن است.
بر این اساس مهاجمان، برنامه‌های installer قانونی را برای اضافه و اجرا کردن فایل‌های اضافی در کامپیوتر تغییر می‌دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex است.این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل‌های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته‌اند و نشان می‌دهد کسانی که در پشت این عملیات هستند به طور خاص علاقه‌مند به هدف قرار دادن سازمان‌هایی که از برنامه‌های کاربردی ICS و SCADA استفاده می‌کنند، شده‌اند.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع‌آوری اطلاعات در مورد دستگاه‌های کنترل صنعتی نفوذ می‌کند. بدافزار Havex نیز اطلاعات جمع‌آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می‌کند. در نتیجه به نظر می‌رسد که بدافزار Havex به عنوان یک ابزار برای جمع آوری اطلاعات استفاده می‌شود. تاکنون نیز هیچ گونه payload که سعی در کنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است.
محققان F-Secure اعلام کردند: اکثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یک شرکت در کالیفرنیا مشاهده شده که اطلاعات به سرورهای C&C ارسال کرده است. از سازمان‌های اروپایی نیز دو نهاد آموزشی بزرگ در زمینه پژوهش‌های مربوط به فناوری در فرانسه، دو تولیدکننده برنامه‌های کاربردی یا دستگاه‌های صنعتی در آلمان، یک تولیدکننده ماشین‌آلات صنعتی فرانسوی و یک شرکت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده‌اند.در گزارشی که دی ماه 92 منتشر شده بود، شرکت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT که حمله‌های هدفمند بر علیه سازمان‌های بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر کرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست.
 

منبع:
آدرس کوتاه شده: